Wo sind die 5 GBit/s vom DDOS-Filter ?

  • Leider musste ich meine Projekte auch auf einen anderen Anbieter wechseln mit gutem DDOS Schutz. Ich habe zu Testzwecken meine eigenen Server bei Netcup angegriffen und bereits unter 5GBIT/s wurde mein Server einfach für ne halbe Stunde komplett vom Netz genommen. Selbst eine gut konfigurierte IP Tables können nicht viel deffen!

    Aber was Preis/Leistung angeht bin ich hier weiterhin sehr zufrieden. Habe auch noch einige kleinere Server hier die für private Zwecke genutzt werden. Hat also keiner die IP davon und bin recht wenig betroffen von DDOS Angriffen!

  • Leider musste ich meine Projekte auch auf einen anderen Anbieter wechseln mit gutem DDOS Schutz. Ich habe zu Testzwecken meine eigenen Server bei Netcup angegriffen und bereits unter 5GBIT/s wurde mein Server einfach für ne halbe Stunde komplett vom Netz genommen. Selbst eine gut konfigurierte IP Tables können nicht viel deffen!

    Aber was Preis/Leistung angeht bin ich hier weiterhin sehr zufrieden. Habe auch noch einige kleinere Server hier die für private Zwecke genutzt werden. Hat also keiner die IP davon und bin recht wenig betroffen von DDOS Angriffen!

    Mhhh, waren die Ports bei dir auch UDP ?

  • Aber nicht auf illegalem Wege.

    Das stimmt schon. Aber das löst jetzt auch nicht mein Problem :D
    Ich versuche später mal die Firewall so einzustellen, dass nur wichtiges Ports erlaubt sind.

    Und dann werde ich wahrscheinlich ein neuen Thread öffnen, falls ich mal wieder erfolgreich angegriffen worden bin

  • Aber nicht auf illegalem Wege.

    Das ist kein illegaler Weg. Es ist erlaubt seine eigenen Server anzugreifen.



    Das stimmt schon. Aber das löst jetzt auch nicht mein Problem :D
    Ich versuche später mal die Firewall so einzustellen, dass nur wichtiges Ports erlaubt sind.

    Und dann werde ich wahrscheinlich ein neuen Thread öffnen, falls ich mal wieder erfolgreich angegriffen worden bin

    Problem ist halt, wie oben erwähnt, Firewall kann dagegen nicht viel machen. Der Traffic muss vorher geblockt werden. IPTables kann ein Teil davon blocken. Nutzt dann aber auch CPU Leistung. Und wenn diese Schwach ist, wirds dennoch scheppern.

  • Es ist erlaubt seine eigenen Server anzugreifen.

    Nein, das ist es nicht. Es ist schließlich nicht dein eigener physikalischer Server und dein eigenes Rechenzentrum. Der DDoS geht schließlich durch Netze des Rechenzentrums und von Netcup und kann somit andere User behindern, im schlimmsten Fall sogar der Totalausfall. Außerdem erzeugt es Traffic, der für Netcup nicht kostenlos ist.

  • Es ist erlaubt seine eigenen Server anzugreifen.

    Selbstverständlich, das habe ich auch nie in Frage gestellt. Ich wusste leider nicht, das du einen "eigenen" (dezidierten) Server bei netcup hast. Solange du nicht über das Netzwerk gehst (das gehört dir ja nicht alleine) ist alles im grünen Bereich :)

  • Du wirst den Server mittels iptables nicht vernünftig absichern können, kannst jedoch die Last am System etwas minimieren. Der benötigte UDP Port muss offen bleiben - dadurch hast du einen Angriffsvektor den du nicht eliminieren kannst. Dennoch solltest du möglichst früh alles rejecten oder droppen, was nicht legitim ist, denn dann muss dein System nicht erst nachsehen ob unter dem Dstport ein Dienst lauscht oder nicht und sendet auch keine ICMP Unreachable Messages mehr zurück. (UDP Flood)


    Edit: Kleiner Tipp: Versuche deine Firewall stateless zu bauen, das bringt Performance-Vorteile.

  • DDoS filtern ist sehr komplex und nicht einfach so getan. Wir können uns freuen zu dem Preis einen Basic-Schutz zu erhalten.


    Bei uns fängt DDoS Schutz für geringe Bandbreiten in einem weitaus höheren Preissegment an. Da ist nunmal viel spezifisches Know-How und die passende Infrastruktur nötig um Angfriffe erfolgreich mitigieren zu können. Das gibt‘s niemals um 2,50€ pro Monat.

  • Was war hieran so schwer zu verstehen?

    Mit UDP lassen sich Angriffe so fahren, dass sie im ungünstigen Fall nicht gefiltert werden können. So lässt sich z.B. jedes eintreffende Paket mit einem anderen Absender versehen. Daraus das Muster abzuleiten ist nicht immer möglich und damit kann nicht sauber gefiltert werden. Kein DDoS-Filter kann das.

  • DDoS filtern ist sehr komplex und nicht einfach so getan. Wir können uns freuen zu dem Preis einen Basic-Schutz zu erhalten.


    Bei uns fängt DDoS Schutz für geringe Bandbreiten in einem weitaus höheren Preissegment an. Da ist nunmal viel spezifisches Know-How und die passende Infrastruktur nötig um Angfriffe erfolgreich mitigieren zu können. Das gibt‘s niemals um 2,50€ pro Monat.

    Das ist mir bewusst. Andere gute Hoster packen das. Netcup muss mal dafür spezialisierte Leute einstellen ^^

    Trotzdem finde ich netcup gut als Hoster ;)