Tut mir leid, dass ich dieses Thema wieder ausgrabe, aber unter Anderem das ist der Grund, warum ich mich hier registriert habe. Einige Informationen hier sind doch sehr fragwürdig.
Jein;)
Naja es gibt ein paar Möglichkeiten bloß wenn ein richtiger DDoS kommt (also nicht 200-500k pc´s) Dann hast du eh ein Problem :D:p
Jein. Etwa 300k PPS SYN lassen sich noch relativ einfach mit einem Quadcore blocken, mit Hilfe von entsprechenden iptables Regeln und deaktiviertem ip_conntrack zum Beispiel. Etwa 800k PPS lassen sich auch noch mit einem Quadcore blocken, solange man *BSD verwendet, entsprechende ACLs für pf erstellt und desweiteren noch pf synproxy einsetzt. Man könnte so ein ganzes Subnet per GRE schützen.
Wenn bei einem DDoS ganz gewöhnliche Anfragen an einen Webserver geschickt werden, kann diesen keine Firewall erkennen.
Falsch. Es gibt etwas, das nennt sich "Behavior Analysis" und ist beispielsweise in einige spezielle Boxen zum Schutz gegen DDoS integriert und man könnte so etwas auch selbst schreiben. Je nach dem was man unter "ganz gewöhnlichen Anfragen" versteht, könnte man sogar so etwas wie fail2ban oder BARF verwenden, um mit entsprechender Regex zu viele Requests von der selben IP per iptables zu blocken. Dies funktioniert natürlich nur, wenn die angreifenden IPs mehr Anfragen versenden, als gewöhnliche Besucher.
Darüber hinaus gibt es noch Browser Integrity Checks. Hier wird überprüft, ob es sich um einen vollständigen Browser-Stack handelt, bevor die Anfrage an den eigentlichen Webserver übergeben wird. Beispielsweise indem die Anfrage nur übergeben wird, wenn ein kurzer JavaScript- oder Flash-Code erfolgreich verarbeitet wurde. Dies ist auch in entsprechende Anti DDoS Firewalls integriert, kann aber auch selbst mit beispielsweise NGINX + LUA (oder Perl) geschrieben werden. Das Konzept demonstriert das NGINX Modul "Roboo" (yuri-gushin/Roboo · GitHub) recht gut, auch wenn es für den Produktiveinsatz nicht so geeigent ist.
Einen pauschalen DDoS-Schutz gibt es nach unserer Auffassung (Geschäftsführer beide Dipl.-Ings. (BA) für IT) nicht
Dazu sage ich mal gar nichts, außer entsprechender Upstream und: NSFOCUS, Arbor Networks, RioRey, Andrisoft, F5, Fortigate.