DDos-Protection.. Welche Hardware?

**gurqe** · 29. 12. 2011, 10:06

Hi!
Da wir auf lange Sicht planen DDos-Protection für unsere Serverumgebung zu nutzen, würd ich mich gerne etwas genauer damit befassen. Da ich aber relativ neu im serveradministrativen Bereich tätig bin, hab ich gewisse "Startschwierigkeiten" im Zusammenfassen der Informationen. Vielleicht könnt ihr mir ja helfen

Welche Hardware wird benötigt? Auf welche Komponenten muss besonders acht gegeben werden? Auf was muss genau geachtet werden? Welche Firewalls brauch ich dazu? In welchen Themenbereich sollte ich mich genau einlesen, um so ein Ding auch aufzuziehen?

Vielen Dank im Voraus!
Beste Grüße

**dynamikemiller** · 29. 12. 2011, 18:55

Die Frage der Hardware ist vllt. etwas bald, aber grundsätzlich ein paar Dinge:

zur Hardware:

NIC's (MultiQueue NIC)
Hardwarearchitektur Mainboard - damit du MultiQueue NIC's auch sinnvoll nutzen kannst.
potente MultiCore CPU's (Xeon)
Richtig flotte Harddisks, wenn du Logs schreiben willst

zur Software:

Kernel der mit Multiqueue NIC's umgehen kann, oder besser die Receive Queues auf die einzelnen Core's deiner CPU aufteilen kann.

zum Einlesen:

Was ist DDoS und was für Typen gibt es (http://en.wikipedia.org/wiki/Denial-of-service_attack)

Das ist nur mal ein erster Tipp, ich denke damit kannst du dir mal ein Bild machen ...

Eines möchte ich dir noch mit auf den Weg geben:
Das ist ein sehr komplexes und schwieriges Thema und da haben sich schon sehr viele den Kopf zerbrochen, die schon jahrelang SysAdmins sind. Desweiteren kann man gegen somanche DDos Attacke kaum etwas tun, vor allem wenn die Intensität so gross ist, dass dein Provider schon zu drastischen Maßnahmen greifen muss, wie z.B. Blackholing (http://en.wikipedia.org/wiki/Black_h...8networking%29) etc.

lg,
dynamikemiller

**gurqe** · 30. 12. 2011, 08:23

Danke für die Informationen!

Natürlich bin ich dann nicht alleine für die Errichtung eines Reverse-Proxys zuständig, dafür haben wir hier sehr fähige Kollegen, denen ich das auch zutraue. Aber an irgendeiner Ecke möcht ich mich halt auch gern einbringen, und da werden mir deine Infos als Art Fundament sehr behilflich sein!

Aber eine kleine Frage hätte ich zum geposteten. "Hardwarearchitektur Mainboard": Meinst du damit einfach nur ein physisches Gerät, also keine VM?

Vielen Dank nochmals, und einen guten Rutsch!

**dynamikemiller** · 30. 12. 2011, 09:47

Ich meine physische Hardware. Einen Reverse Proxy in einer VM aufzuziehen ist in meinen Augen nicht besonders intelligent. Gerade bei solchen Teilen in der Infrastruktur ist eine Virtualisierung nicht zu empfehlen, da auf einem solchen Node eh nichts anderes laufen sollte!

Ja es gibt ältere Architekturen, die eine Weiterleitung der Requeste in den MultiQueue NIC's physisch nicht zulassen und somit die NIC umsonst wäre weil alles an den Core0 weitergegeben würde.

Sollte aber bei heutigen guten Maschinen nicht mehr das Problem sein, eher noch das OS welches eingesetzt wird.

lg,
dynamikemiller

**gurqe** · 30. 12. 2011, 10:40

Ja, das hab ich mir wohl gedacht.
Eine Frage hätt ich dann wohl doch noch

Gibts denn eine Möglichkeit sich testweise aus dem botnet angreifen zu lassen? Ist das überhaupt legal/halblegal?
Funktioniert das mit dieser Software denn auch zuverlässig? Ist es denn nicht ein Unterschied, wenn die Pakete aus abertausenden Quellen kommen? Mit der Software kann man ja nur eine Quelle emulieren. Oder denk ich da falsch?

Hab natürlich gegoogelt, aber keine zufriedenstellende Antwort gefunden. Kann aber auch leicht sein, dass ich falsch gesucht habe.

Beste Grüße

**dynamikemiller** · 30. 12. 2011, 15:18

Die Möglichkeit sich per Auftrag angreifen zu lassen gibt es sicher, ob das mit dieser Software klappt kann ich nicht sagen, da ich sie nicht kenne.

Grundsätzlich reicht aber auch ein Angreifer, wenn du das simulieren möchtest. Die meisten Schwieriegkeiten wirst du dir selber machen können, wenn du mit einer SynFlood Attack auf deinen Test-Host losgehst

.

Viel Glück bei deinen Forschungen!

lg,
dynamikemiller