Onderwerp: Ddos

Hallo,

Ik ben redelijk nieuw hier op het forum en vroeg mij af of het mogelijk is om een DDOS aanval te voorkomen. En ook als deze 'bezig' is hoe deze het beste te stoppen.

Alvast bedankt.

Uitgaande dos zijn te voorkomen door je server goed te beveiligen.
Inkomende ddos zijn te beveiligen met behulp van een Firewall die veel aanvragen van het zelfde IP stopt. Echter is er bij een grote ddos dus vanaf vele geinfecteerde PC's zover ik weet niet veel meer te doen op technisch gebied behalve de verbinding afsluiten.

Beste Noodles,

Door middel van bijvoorbeeld een router en een firewall (Cisco PIX), kan je IP access-lists voor je netwerk creëeren, en zoveel mogelijk UDP en TCP pakketten te blokkeren, zorgt ervoor dat je voor DoS en andere gevaren een héél stuk veiliger bent. Meer info: http://www.cisco.com/en/US/products/...080091b13.html

Er zijn wel meerdere soorten firewalls die dergelijke attacks isoleren. Een IDS is ook een oplossing, alleen duur. Een voorbeeld van IDS:
http://www.juniper.net/products/intrusion/

Normaal kan je ISP je hierin toch ondersteunen?

Nog wat meer info omtrent DoS: http://www.cisco.com/en/US/netsol/ns...tion_home.html

Bedankt... Ik zal de info eens even doornemen.

Als je vragen hebt... shoot :-)

dus ehh kosmozz jij doet een DDoS van 5gigE even filteren op je PIX firewall?

pcies

ok genoeg "afkraak-modus" even terug in help-modus.

Om een DDoS of een DrDoS te kunnen blokkeren/weren moet je zaken doen met een partij die eigen routers in het beheer heeft en met een grote Backplane.

Deze partij zal jou moeten adviseren en informeren zodra er een D(r)(D)oS plaats vindt.
Een goede NOC e.d. is hier weer belangrijk.

Ja ik heb weleens D(r)DoSSen geweerd tot een meerdere gigE en kan je uit ervaring vertellen dat wat voor firewall dan ook niet meer toe komt na 200mbps.
(De huis/tuin/keuken versies die de average provider heeft staan)
Ook heeft iedere router een max aantal mpps.

Je zult je goed moeten laten informeren bij de aanschaf van wat voor apparatuur dan ook.

*Ik wil aan bovenstaand nog het volgende toevoegen ook kunt u zich natuurlijk altijd laten informeren over de juiste ISP die bij u past*

Origineel geplaatst door Unixboy
Om een DDoS of een DrDoS te kunnen blokkeren/weren moet je zaken doen met een partij die eigen routers in het beheer heeft en met een grote Backplane.

Zou je misschien kunnen uitleggen wat een DrDoS is? Ik heb er namelijk nog nooit van gehoord.

Trouwens, je kan wel een fantastische backplane in je routers en switches hebben (ik neem aan dat je dat bedoelt), maar zonder de nodige capaciteit aan uplinks en capabele NOC mensen, heb je daar weinig aan

But still, eigenlijk is er niet behoorlijk tegen een Ddos te vechten, ook al denk je voldoende capaciteit te hebben liggen, kan het nog totaal verkeerd gaan.

Zelfs een een behoorlijke router vind het niet prettig om tegen 10 of 20 miljoen packets te vechten (grote...troep).

Stappenplan:
- Zoeken waar het opgericht is (indien mogelijk)
- Contact met klant (indien bereikbaar)
- Nullroute target
- Contact NOC uplinks
- Uitzitten van DDOS

Moet zeggen dat wij nog nooit een grotere attack hebben gehad van over de paar honderduizend pps (*afklop*).
De enige manier om het snel te stoppen (dat is ook de manier die wij hanteren), is het blackholen van het target. Uiteindelijk heeft degene die de DDoS uitvoert dan wel z'n zin (het target is down), maar je als ISP blijft je netwerk wel normaal doordraaien (je transit providers blackholen dit traffic dan ook hun netwerk, en dan krijg je het dus niet meer binnen). Inmiddels zijn ze bij o.a. Juniper bezig met een manier van blackholen waarbij je ook kan aangeven welk type verkeer er geblackholed moet worden (tcp/udp/icmp etc, poort 25, 80 etc). Dat is natuurlijk een nog betere manier om DDoS verkeer te filteren.

Origineel geplaatst door ProServe

Zou je misschien kunnen uitleggen wat een DrDoS is? Ik heb er namelijk nog nooit van gehoord.

Zie http://grc.com/dos/drdos.htm , beetje door de vage marketingpraat van Gibson heen kijken

Ah, juist. Ik noem dat gewoon spoofed attacks, maar als dat een DrDoS heet tegenwoordig, OK!