DDoS Filter bei TCP Verbindungen und großen Datenmengen

  • Moin,


    gestern Nacht habe ich folgende EMail erhalten:



    Ich bin gerade dabei einen alten dedizierten Server auf den neuen KVM Server hier bei netcup zu migrieren. Zu dem Zeitpunkt kopierten zwei TAR Archive mit einer Gesamtgröße von ~60 Gigabyte via scp vom dedi auf den neuen KVM Server.


    Als der DDoS Schutz einsetzte, lief der Kopiervorgang wunderbar weiter.


    Leider funktionierten keinerlei DNS Auflösungen mehr. Was schlecht ist, wenn man bedenkt, dass der Schutz insgesamt fast sechs Stunden aktiv war und der Kopiervorgang schon lange davor beendet war. Als DNS Server nutze ich den Google DNS.


    Finde das komisch, dass ein einzelner dedizierter Server der zwei SSH Verbindungen öffnet den DDoS Schutz auslösen kann. Auch wenn der Dedi eine Gigabit Anbindung hat.


    Hat hier jemand Erfahrung?


    VG
    Christian

  • Die spannende Frage ist, ab welcher Bandbreite oder Datenmenge der DDoS-Filter ausgelöst wird. Das Übertragen von größeren Datenmengen von einem Server auf einen anderen ist schließlich kein ungewöhnliches Vorgehen.

  • perryflynn
    Nur mal so eine Idee: Eventuell wäre es hier geschickt, wenn du noch einen zweiten Server gleichen Typs dir bei Netcup bestellst und das vorhandene Image des bisherigen darauf einspielst, damit du dann gezielt und ohne zu übertreiben auf einen der beiden Server das Problem unter gleichen Bedingungen durch entsprechende Tests gezielt analysieren beziehungsweise eingrenzen kannst.
    Den Provider, obwohl es eventuell den Betrieb stören könnte, sollte man in diesem Fall dann besser nicht über diese Tests informieren, da diese dann eventuell das Ergebnis verfälschen könnten.

  • Naja, aber 30.000 Pakete pro Sekunde erreicht man schon mit ~250 Mbit/s. Und das auch nur bei der Annahme, dass die Pakete bis zur maximalen Größe (MTU) vollgestopft sind, sonst geht es noch schneller. Ist ein wenig witzlos, wenn der vServer mehr Bandbreite hergibt, als das Netzwerk ohne DDoS-Filter erlaubt, oder? Von anderen Providern kenne ich teilweise Schwellenwerte im sechsstelligen Bereich. Über den Sinn davon kann man sich natürlich immer streiten, für Gigabit sollte das aber schon eine Voraussetzung sein. Ansonsten kann man gleich drosseln…


    Chris: Ging dann nur DNS (über UDP) nicht mehr oder gar nichts mehr nach extern, was nicht von außerhalb aufgebaut wurde? Hast Du schon den Support kontaktiert?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hallo,



    der Algorithmus des DDoS-Filters ist relativ komplex. Wenn die Filterung aufgrund eines False-Positive angeschlagen ist, freuen wir uns, wenn unser Support darüber in Kenntnis gesetzt wird. Fast täglich optimieren wir die Regeln bzw. passen sie aktuellen Gegebenheiten an.


    Da die größten Probleme hinsichtlich DDoS auf UDP zurück zu führen sind, greift hinsichtlich UDP der Filter schneller.


    Was generell nie gefiltert wird sind die netcup eigenen Resolver. Wenn Sie diese als Fallback mit in die resolv.conf aufnehmen, geht DNS auch wenn UDP geblockt wird.



    Mit freundlichen Grüßen


    Felix Preuß