RootServer Ddos Schutz

  • Jein;)
    Naja es gibt ein paar Möglichkeiten bloß wenn ein richtiger DDoS kommt (also nicht 200-500k pc´s) Dann hast du eh ein Problem :D:p

    Ein paar Tipps
    fail2ban Denyhosts (wohl eher gegen bruteforce)


    KISS Firewall


    http://www.rfxn.com/projects/advanced-policy-firewall/


    .....



    Dein Server----- Anderer Root Server-----Client
    |________________ |
    | ________________|
    Anderer Root Server
    |
    |
    |

    Client


    Rot=Verbindung
    Schwarz ignorieren^^


    Eine kleine lösung die aber für was kleineres ist ;)


  • Ein Schutz vor einem "richtigen" DDoS ist nur eine entsprechend gute Infrastruktur. Wenn bei einem DDoS ganz gewöhnliche Anfragen an einen Webserver geschickt werden, kann diesen keine Firewall erkennen.


    Jeder Provider der einen einen DDoS-Schutz für wenige hundert Euro verkauft, scheint seinen potentiellen Kunden etwas vorgaukeln zu wollen was es zu dem Preis nicht gibt.

  • Diesbezüglich kann ich Dir nur *** ans Herz legen. Wenn es wirklich sehr kritische Anwendungen sind, dann lohnt sich das. Ansonsten eher nicht, da dieser Service doch nicht gerade billig ist.

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Zitat

    Geändert von [netcup] Felix (Heute um 14:32 Uhr) Grund: Keine Namen von Mitbewerbern im netcup-Forum bitte


    Zensursula 2.0


    Zitat

    Ein Schutz vor einem "richtigen" DDoS ist nur eine entsprechend gute Infrastruktur.


    Bei einer richtigen DDoS hilft keine Infrastruktur der Welt - jediglich abschalten und warten.


    Zitat

    Wenn bei einem DDoS ganz gewöhnliche Anfragen an einen Webserver geschickt werden, kann diesen keine Firewall erkennen.


    Natürlich kann eine Firewall in Verbindung mit einfachen Scripten soetwas sehr wohl erkennen, auch bei zuvielen Verbindungen automatisch die Ports sperren bzw. die IPs aussperren.
    Genaueres dazu steht in gängiger Lekture über Serversicherheit ung IPTables.


    Zitat

    Jeder Provider der einen einen DDoS-Schutz für wenige hundert Euro verkauft, scheint seinen potentiellen Kunden etwas vorgaukeln zu wollen was es zu dem Preis nicht gibt.


    Stimmt auch nicht, einige Firmen bieten sogenannte DDoS Proxys an, diese bekommen dann die DDoS ab und sind von Spezialisten darauf konfiguriert soetwas abzuwehren, solche gibts auch bereits für einiges unter 1000€!


    Zitat

    gibt es da eine möglichkeit?


    Es gibt einige Möglichkeiten wie auch verschiedene Formen der DDoS, einfach Syn Floods etc. kann man einfach blockieren, andere legen einfach die Netzwerk Leitung larm und der Server ist in der Zeit nicht erreichbar, ist störend und lästig.
    Aber im großen und ganzen kann jeder ansatzweise routinierte Systemadministrator gegen DDoS vorgehen, ein guter Ansatz ist immer erstmal IPTables.
    Weiterführende Lektüre gibt es im Buchhandel. Auch gibt es viele IPTables Tipps etc. im Internet, diese findest Du per Google.


    Eine schöne Einleitung ist dies:
    http://www.online-tutorials.ne…l/tutorials-t-29-214.html


    Have a nice day :).

  • Sorry Felix, aber warum löscht Du das raus? Das sind keine Mitwettbewerber, die bieten lediglich DDOS-Schutz an. Was ist daran bitte Wettbewerb? Sowas bietet Ihr doch garnicht an - kann die Zensur an dieser Stelle nicht nachvollziehen.


    Bitte klär mich auf.

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Eine derart individuelle Leistung bieten wir auf Anfrage an und ist bei einigen großen Kunden bereits im Einsatz. Auch wenn es nicht direkt als DDoS-Schutz verkauft wird. Einen pauschalen DDoS-Schutz gibt es nach unserer Auffassung (Geschäftsführer beide Dipl.-Ings. (BA) für IT) nicht :)

  • Zitat

    Geschäftsführer beide Dipl.-Ings. (BA)


    Mit Sicherheit ein großes Qualitätsmerkmal, aber wie jeder gute Systemadministrator weiß - man kann und muss auch nicht alles wissen, man kann ja lernen.


    Also immer offen sein für neue Erfahrungen, gell! :)


    Und ein solches System ist definitiv ein Schutz gegen DDoS, ob dabei das schützende System überlebt ist eine vollkommen andere Sache. :)

  • Zitat von [netcup] Felix;16838

    Eine derart individuelle Leistung bieten wir auf Anfrage an und ist bei einigen großen Kunden bereits im Einsatz. Auch wenn es nicht direkt als DDoS-Schutz verkauft wird. Einen pauschalen DDoS-Schutz gibt es nach unserer Auffassung (Geschäftsführer beide Dipl.-Ings. (BA) für IT) nicht :)


    Ich bin auch angehender Dipl. Ing. (BA) für IT, aber ich schätze die Arbeit meines vorher genannten Dienstes sehr ;) - nichts desto Trotz, eure auch ;)


    Btw - wie siehts mit meiner 3. IP aus, noch keine Antwort aufs Ticket erhalten :(

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Tut mir leid, dass ich dieses Thema wieder ausgrabe, aber unter Anderem das ist der Grund, warum ich mich hier registriert habe. Einige Informationen hier sind doch sehr fragwürdig.


    Jein;)
    Naja es gibt ein paar Möglichkeiten bloß wenn ein richtiger DDoS kommt (also nicht 200-500k pc´s) Dann hast du eh ein Problem :D:p

    Jein. Etwa 300k PPS SYN lassen sich noch relativ einfach mit einem Quadcore blocken, mit Hilfe von entsprechenden iptables Regeln und deaktiviertem ip_conntrack zum Beispiel. Etwa 800k PPS lassen sich auch noch mit einem Quadcore blocken, solange man *BSD verwendet, entsprechende ACLs für pf erstellt und desweiteren noch pf synproxy einsetzt. Man könnte so ein ganzes Subnet per GRE schützen.


    Wenn bei einem DDoS ganz gewöhnliche Anfragen an einen Webserver geschickt werden, kann diesen keine Firewall erkennen.

    Falsch. Es gibt etwas, das nennt sich "Behavior Analysis" und ist beispielsweise in einige spezielle Boxen zum Schutz gegen DDoS integriert und man könnte so etwas auch selbst schreiben. Je nach dem was man unter "ganz gewöhnlichen Anfragen" versteht, könnte man sogar so etwas wie fail2ban oder BARF verwenden, um mit entsprechender Regex zu viele Requests von der selben IP per iptables zu blocken. Dies funktioniert natürlich nur, wenn die angreifenden IPs mehr Anfragen versenden, als gewöhnliche Besucher.
    Darüber hinaus gibt es noch Browser Integrity Checks. Hier wird überprüft, ob es sich um einen vollständigen Browser-Stack handelt, bevor die Anfrage an den eigentlichen Webserver übergeben wird. Beispielsweise indem die Anfrage nur übergeben wird, wenn ein kurzer JavaScript- oder Flash-Code erfolgreich verarbeitet wurde. Dies ist auch in entsprechende Anti DDoS Firewalls integriert, kann aber auch selbst mit beispielsweise NGINX + LUA (oder Perl) geschrieben werden. Das Konzept demonstriert das NGINX Modul "Roboo" (yuri-gushin/Roboo · GitHub) recht gut, auch wenn es für den Produktiveinsatz nicht so geeigent ist.


    Einen pauschalen DDoS-Schutz gibt es nach unserer Auffassung (Geschäftsführer beide Dipl.-Ings. (BA) für IT) nicht :)

    Dazu sage ich mal gar nichts, außer entsprechender Upstream und: NSFOCUS, Arbor Networks, RioRey, Andrisoft, F5, Fortigate.