Onderwerp: Anti-DDoS

Hallo,

Het goed beveiligen van mijn servers voor een DDoS lukt me niet! Ik heb tools zoals APF (Advanced Policy Firewall), DDoS Deflate, anti SYN flood, etc. maar DDoS'sen gaat nog steeds heel makkelijk, aangezien ik regelmatig DDoS aanvallen naar mijn eigen netwerk simuleer.

Hebben jullie nog tips?

Ja. Stoppen met DDoS aanvallen simuleren. Wordt je leverancier ook een stuk vrolijker van.

Een RioRey of een andere DDOS appliance aanschaffen?
Netwerk met meer netwerkcapaciteit?
IP-adres null-route via BGP?

Het ligt er aan hoeveel geld je er aan uit wil geven.
De laatste optie is het goedkoopst.

Met IPtable rules krijg je niet alles gedetecteerd en heeft bij een grote aanval geen nut omdat alles nog steeds binnenkomt op je netwerkkaart.
Het beste kan je filteren met een firewall voordat het binnenkomt op de server.

Hoeveel servers gaat het om? Wat is het budget? Hoeveel wil je kunnen filteren (gbps / pps)?

Je zou je servers bij een partij kunnen onderbrengen die dat al voor je filtert. Je zult het upsteam moeten afvangen, op je servers zelf is al te laat want je nic loopt gewoon vol.

Anti DDOS bestaat niet, aangezien DDOS aanvallen uw netwerk binnentreed moet uw netwerk groot genoeg zijn om het DDOS op te vangen.

Er zijn applicaties dat DDOS kan tegenhouden van uw systeem resources te gebruiken of misbruik te voorkomen. Dat is APF, ddos deflate enzovoort. Maar deze gebruikt extra CPU kracht om dat te doen en dat is vaak een optie wat servers niet bepaald leuk vindt.

Duur hardware en filters is mogelijk, maar dit is vaak kosten dat beter besteed kan worden aan een beter netwerk en servers om toch de klap te kunnen opvangen. Zonder een goede netwerk is de filter eigenlijk nutteloos. Uiteraard heb je ook een keus om met PFSENSE te gaan werken.

Zelf denk ik dat AFP het beste keus is met alleen de benodigde modules ingeschakeld. En een Varnish/nginx frontend met cache omdat daarop sync aanvallen niet werkt en natuurlijk het caching is uitermate geschikt om een DDOS aanval minder belastend voor de server te maken.

Anti-DDoS bestaat wel degelijk. Natuurlijk loop je daarna weer tegen de volgende bottleneck aan (bijvoorbeeld je uplinks), maar dat neemt niet weg dat het zeker kan lonen goede maatregelen te nemen. Wij hebben zelf een grote Huawei Anti-DDoS appliance staan. Heeft zeker al wat aanvallen netjes tegengehouden, zodat de website van de betreffende klant gewoon bereikbaar was. Een dergelijke aanval had ik niet met een softwarematige firewall kunnen tegenhouden.

Anti is zorgen dat iets niet gebeurd, aangezien het netwerk volgepompt wordt houd het een DDOS nog niet tegen. Hij filtert alleen de goede een slechte traffic voor een groot deel uit, zodat desbetreffende server geen onnodige lading krijgt. Maar uiteraard bestaan er manieren om toch door een Anti-DDOS appliance te gaan en dat wordt een layer 7 aanval genoemd. Er zijn volgens mij wel appliances tegen dit ~ maar deze kost weer extra geld. als er wat tegen te doen is trouwens.

Natuurlijk is het beter om een hardware DDOS protectie te hebben. Aangezien ze gespecialiseerd zijn en het direct tegenhoud zonder extra bandbreedte te gebruiken. Dit zie ik ook niet gebeuren met software. Maar er is altijd wel iets te doen om te zorgen dat de lading op de server zelf wordt weggenomen. Caching bijvoorbeeld dit heeft weinig effect op de server maar nog steeds wordt dan bandbreedte weg genomen. Maar het is een kost efficiënt manier om minder gevoelig tegen DDOS te zijn of hoge ladingen.

Voor de topic starter een versimpeld voorbeeld waarom DDOS protectie zo moeilijk is:

internet ---[10 Gbps]--- datacenter router ---[1 Gbps]--- je rackswitch ---[100 Mbps]--- je servers

Als er in bovenstaande plaatje een DDOS van 200 Mbps binnenkomt, dan kun je die "aan" als je het op de een of andere manier weet te stoppen op je switch. Het verkeer achter je switch blijft dan doorgaan, de verbinding naar je servers loopt dan niet vol. Je zult het verkeer van de 200 Mbps traffic wel aan het datacenter moeten betalen uiteraard.

Als er een DDOS van 2 Gbps binnen komt, dan kan het datacenter vaak nog wel wat doen. Dit begint al wat moeilijker te worden om zelf geregeld te krijgen. Ze zullen het verkeer nog steeds moeten betalen, alleen zie je bij een succesvolle filtering het niet over je switch heen gaan.

Als er een DDOS van 20 Gbps binnen komt, dan ligt je datacenter plat. Je moet dan gaan filteren enzo bij de netwerk leverancier van het datacenter. Dat doen ze graag voor je, als je ze daarvoor voldoende betaalt.

Als je datacentrum leverancier maaar 10 Gbps aan capaciteit heeft is dat inderdaad het geval. Bij onze (en de meeste) netwerkleveranciers is dat echter geen enkel probleem. Wij filteren aanvallen overigens al voor onze eigen core-routers bereiken weg. Het punt is natuurlijk dat je een inschatting moet maken van hoeveel protectie wil je hebben tegen welke kosten. Je kunt namelijk ook wel 200 Gbps wegfilteren, maar dan kost het wel een pak met geld.

Je hebt carriers die DDoS protectie aanbieden en dan alleen het schone verkeer naar je server sturen.
Wij maken gebruik van Staminus en announcen via BGP een /24 naar ze. Elk IP adres uit die /24 gaat eerst langs Staminus en hun filteren zo goed als alle voorkomende aanvallen uit. Je bedrag per maand hangt af van de capaciteit die je afneemt. Je hebt al protectie vanaf 1Gbps tot enkele tientallen Gbit/s, echter zijn de meeste aanvallen tegenwoordig wel groter dan 1Gbps. Je kunt ook DDoS protectie direct bij Staminus afnemen, je betaalt daar met een enkele server wel meer in verhouding dan wanneer je een volledige /24 laat filteren. Als het alleen om een website gaat kun je een Reverse Proxy gebruiken van ze. Als het echt om meerdere websites gaat / applicaties (bijvoorbeeld een gameserver of teamspeak server) kun je een GRE tunnel opzetten. Je krijgt een extern IP adres van hun waar jij en je bezoekers naar toe verbinden. Op dat IP adres zal dus ook de DDoS aanval binnen komen en op die manier filteren ze het weg.
NTT biedt dit ook aan, maar daar gaat het niet automatisch en heb je een transit poort nodig van ze. Persoonlijk vind ik Staminus veel mooier werken.
Je hebt ook nog CloudFlare voor DDoS protectie. CloudFlare kun je gebruiken als je een website wilt beschermen. Wil je een applicatie beschermen, bijvoorbeeld een gameserver of teamspeak server dan is CloudFlare niet de dienst die je moet hebben.

Oorspronkelijk geplaatst door WeServIT

Je hebt ook nog CloudFlare voor DDoS protectie. CloudFlare kun je gebruiken als je een website wilt beschermen. Wil je een applicatie beschermen, bijvoorbeeld een gameserver of teamspeak server dan is CloudFlare niet de dienst die je moet hebben.

Ja. Ik heb de nameservers van CloudFlare al ingesteld op een aantal van mijn domeinen maar het lijkt geen effect te hebben. Ik snap niet helemaal hoe het werkt

Ervan uitgaande dat jij het netwerk niet beheert: DDOS is niet iets wat jij als gebruiker van het netwerk kunt blokkeren. Dit kan geblokkeerd worden door de leverancier van het netwerk.

Let wel even op dat je een betaald CloudFlare pakket moet hebben ($200 / maand). Op de gratis pakketjes bieden ze geen DDoS protectie.

en weer een SPOF er bij

http://www.webhostingtalk.nl/hosting...#axzz34oh7pUK9