Wo sind die 5 GBit/s vom DDOS-Filter ?

  • Wie wehren die einen Angriff per UDP ab, bei dem jedes Paket einen anderen Absender hat?

    Ich wollte jetzt nicht unbedingt den Anbieter hier rein schreiben um Fremdwerbung zu verhindern (Weltweit Platz 3). Wie die Abwehren weiß ich nicht. Ich weiß nur das ich mehrere Angriffe bekomme, die immer abgewehrt werden. Also bei UDP sinds meistens NTP und LDAP Floods die nur kurz durchkommen bevor der Filter greift.

  • Es macht halt einen Unterschied ob in dem Fall NTP von kritischen Quellen komplett blockiert wird, dass ist das technische Vorgehen das ich kenne und das wir auch anwenden oder ob aus den kritischen Quellen nach wie vor "gute" von "schlechten" Anfragen gefiltert werden können. Letzteres geht nach meinem technischen Verständnis nicht.


    Wenn jetzt also wirklich UDP für eine mögliche Echtzeitverbindung benötigt wird (Games, Voice, etc...), ist dieses schwer filterbar, es sei denn ich greife auf einfache Maßnahmen zurück wie den Traffic aus vertrauenswürdigen Quellen zuzusammen und aus kritischen komplett zu blockieren.

  • Was ich mir höchstens vorstellen könnte wäre, dass der Server dem Filter eine Whitelist zur Verfügung stellt mit vertrauenswürdigen IP-Adressen, meinetwegen auch dynamisch erweitert um aktuell bei TS angemeldete Benutzer. Alle anderen haben dann halt während eines Angriffs keine Möglichkeit sich anzumelden und werden komplett geblockt. Das ginge aber wohl nur bei einem dedizierten TS-Server, der unter Kontrolle des Anbieters steht. Also nach dem Motto: Was für TS nicht gebraucht wird, blockieren wir während eines Angriffs mit dem Filter, ebenso komplett alles für alle IPs, die nicht auf der aktuellen Whitelist stehen.

  • Eine Möglichkeit bei Gameservern wäre ja die High-Ports auf deutsche Quelladressen zu beschränken.

    LDAP würde ich auf TCP beschränken - Empfehlung: LDAPS über Port 636.


    Mir sind keine LDAP Clients bekannt, die nur über UDP fahren.

    Mit NTP hatte ich bisher keine Probleme. Ich betreibe zwei Stratum 2 Server bei Netcup.

  • Oder so. Wie man sieht, wird da auch fein säuberlich zwischen reinen TS3-Servern und KVM-Servern unterschieden. Ist schon klar, dass ein reiner TS3-Server leichter zu schützen ist als ein Server, der für alles Mögliche eingesetzt werden kann und auf dem der Kunde Root-Rechte hat.

  • Oder so. Wie man sieht, wird da auch fein säuberlich zwischen reinen TS3-Servern und KVM-Servern unterschieden. Ist schon klar, dass ein reiner TS3-Server leichter zu schützen ist als ein Server, der für alles Mögliche eingesetzt werden kann und auf dem der Kunde Root-Rechte hat.

    Ich habe nen KVM beim (Weltweit Platz3) nur für TS3. Und die schalten erst bei Angriffen den Filter an. Bei mir kam auch nie einer durch. Man wird direkt per Mail benachrichtigt.

  • Ich habe nen KVM beim (Weltweit Platz3) nur für TS3. Und die schalten erst bei Angriffen den Filter an. Bei mir kam auch nie einer durch. Man wird direkt per Mail benachrichtigt.

    Alles nur eine Frage der Bandbreite, Geldes, Interesses. Wenn man es wirklich darauf anlegen will, dann schafft man es auch solche Provider (und sei es nur "kurzzeitig") in die Knie zu zwingen. Frag mal github. Da waren es 1.35 Terabyte pro sec. in der Spitze. Wenn du nur einen TS3 Server willst, dann bis du (IMHO) besser bei einem TS3 Anbieter aufgehoben.

  • Ist ein blockiertes Wort. Hat 3 Buchstaben XD

    Kommt wahrscheinlich ursprünglich aus Frankreich und hat in Limburg ein Rechenzentrum, oder?


    Ja, die haben aber auch einen der besten Filter von allen und sind deutlich teurer, bzw. die Qualität passt einfach nicht. Dort musst du schon einen Game DDoS Protected Dedicated Server haben, damit du vollkommen zufrieden bist.

  • Es empfiehlt sich hier immer einen Einblick ins Kleingedruckte zu nehmen. So schreibt einer unserer Mitbewerber der drei Buchstaben im Namen hat in seinen Vertragsbedingungen:


    Quote


    [...] Es ist daher möglich, dass ein Angriff durch die eingesetzten Tools nicht erkannt wird und dass die eingesetzten Tools die Funktionalität des Dienstes nicht aufrechterhalten können, worauf der Kunde ausdrücklich hingewiesen wird [...]


    DDoS Filter können auf TCP-Basis so gut wie jeden Angriff abwehren. Unsere Filter tun dieses auch, bis zu der garantierten Bandbreite. Sobald UDP ins Spiel kommt, kann nicht jeder Angriff erkannt und damit abgewiesen werden.


    Ich will damit nicht andeuten das andere Anbieter nicht besser filtern als wir es können. Mir geht es darum das uns allen bewusst ist, dass es Angriffe gibt die nicht abgewehrt werden können. Es gibt Dienste die sind von ihrem Design her anfällig für Attacken. Viele Gameserver oder Teamspeak gehören einfach dazu und diese Dienste können nicht mit herkömmlichen Filtern geschützt werden. Niemand erwartet das ein Zelt bei einem Wirbelsturm stehen bleibt, wogegen man dieses von einem aus Stein gemauerten Haus bis zu einer bestimmten Stärke des Sturms erwarten kann.


    Mit freundlichen Grüßen


    Felix Preuß

  • Wie schon gesagt, ich will hier definitiv nichts schlecht reden und habe auch schon zuviel gesagt :D


    Ein kleiner Server bei den 3 Buchstaben kostet 3,60€ also 90 Cent mehr im Monat als hier. Dass muss man sich dann überlegen ob man das mehr im Monat zahlen möchte für nen guten DDOS Schutz.


    Für meine anderen "kleineren" Projekte reichen mir die Dienste von Netcup vollkommen aus.

    Wenn es dann aber doch mal ein Teamspeak oder etwas öffentlicheres sein muss, muss ich abweichen.

  • Kommt wahrscheinlich ursprünglich aus Frankreich und hat in Limburg ein Rechenzentrum, oder?


    Ja, die haben aber auch einen der besten Filter von allen und sind deutlich teurer, bzw. die Qualität passt einfach nicht. Dort musst du schon einen Game DDoS Protected Dedicated Server haben, damit du vollkommen zufrieden bist.

    Das stimmt nicht. Auch ohne die Game Protection bist du super geschützt. Auch bei den kleineren Servern. Die Game Protection, müsste glaube ich ASA sein, dort wird der jeweilige bestimmte Port nur nochmal zusätzlich geschützt, wenn ich mich nicht Irre. Bei nem Gameserver, hast du ja auch eigentlich nicht alle Ports offen.