[hanskanns]

Ein Kumpel von mir hatte einen Website mir über 100.000 Views pro Tag, jetzt musste er seine Seite Offline gnehmen wegen anhaltender DDOS Attacke.

Hab mal gegoogelt und auch ein paar Seiten gefunden, die Versprechen DDos Attacken erfolgreich abzuwehren z.B. http://www.ddosprotection.com/ http://blockdos.net http://www.activewebshield.com/ aber nützt sowas überhaupt ?
Was kann man noch tun ?

[vmk]

Kannst du mal etwas präziser werden?

Die Boardsuche liefert auch einiges zum Thema.

Und du bist im falschen Forum.

[MissAntroph]

http://www.modsecurity.org/

[Roger Wilco]

Zitat:

Zitat von MissAntroph 

http://www.modsecurity.org/

Schön, dadurch wird die Sache noch schlimmer, da der Webserver bzw. mod_security plötzlich auch noch die Requests analysieren muß. Bis mod_security an die Daten herankommt, haben diese aber schon die Netzwerkschnittstelle in dem Rechner und den Apache passiert...

Gegen eine echte DDoS hilft entweder ein sehr dicker Geldbeutel (indem man sich so viele Rechner, z. B. von Akamai hinzumietet, dass die Bandbreite der DDoS-Attack < verfügbarer Serverbandbreite) oder die Kiste solange herunterzufahren. Der Provider sieht i. d. R. am Switchport, ob unzählige Anfragen hereinkommen.

[StarShaper]

Es gibt keine Möglichkeit sich effektiv gegen einen DDos-Angriff zu schützen. Roger Wilco hat die wesentlichen Punkte bereits genannt. Unter DDoS Mitigation Techniques findest du allerdings einige Methoden um DDoS-Angriffe abzulindern.

cu

[Toady]

Zitat:

Zitat von StarShaper 

Es gibt keine Möglichkeit sich effektiv gegen einen DDos-Angriff zu schützen.

Es kommt drauf an, wie man angegriffen wird. Geht der Angriff nur auf den Zielhost sind Produkte wie zB Block-DDoS sinnvoll (das ist der IMHO seriöseste Anbieter, da es eine Tochter der GreenGate-Labs ist.
Bei solchen Methoden wird im falle einer DDoS-Attacke am BorderRouter des Hosters alles mit der Ziel-IP des Opfers gedroppt, die A-RRs werden zum Anbieter dirigiert, der recht hoch angebunden ist und in jedem Fall alles schlucken kann, der leitet es durch eine Waschmaschine und schickt es dann zum eigentlichen Zielsystem.

Das ist aber in der Praxis weit weniger trivial wie es sich hier in der Theorie anhört, denn das kann man praktisch nur durch diverse MPLS-Tricks erreichen, bei der jede Menge schief laufen kann (Loops usw.).

Ist es ein ernstzunehmender Angriff und wird nachgeregelt kann der Angreifer aber dann einfach die Infrastruktur des ISPs selbst angreifen (Routerinterfaces, DNS-Server, ...).

[hanskanns]

ok danke, mein kumpel verhandelt gerade mit block-ddos.

[shafire]

wie teuer ist den block-ddos?

[Globestern]

Zitat:

Zitat von hanskanns 

ok danke, mein kumpel verhandelt gerade mit block-ddos.

und hats was gebracht?

edit: ich sehe gerade das könnte sehr gut funktionieren

[hanskanns]

Seite funzt jetzt wieder, hat ihn 700$ gekostet. Die haben dann alles weitere für ihn gemanaged und eingestellt. Ist aber fraglich ob er sich diesen Schutz dauerhaft leisten kann. Seine Seite wirft auch nur ~500€ im Monat ab. Pro Monat verlangen die 500$ für folgendes: up to 500MBps of attack, Free Static IP.

[repeXX]

hm schon echt krass, dass man wirklich effectiv nicht wirklich selber was machen kann gegen ddos.. das kost echt schon ein haufen geld sowas... würd mal gern wissen wie das bei tto angelaufen ist damals alles.. :x

[Toady]

Zitat:

Zitat von repeXX 

hm schon echt krass, dass man wirklich effectiv nicht wirklich selber was machen kann gegen ddos..

Das kommt ganz auf den ISP an - bei Colt hast du das schon in der Leistung drinne - wenngleich nicht so ausgereift.
Du selbst kannst nichts gegen DDoS machen, das ist ja nichts anderes als eine totale Überflutung.

Zitat:

das kost echt schon ein haufen geld sowas...

ACK. Die Dunkelziffer ist ebenfalls immens hoch (also Unternehmen, die dem Angreifer einfach "Schutzgeld" zahlen - ist unterm Strich meist günstiger, wenn du auf den Dienst angewiesen bist).

[cemil]

Als damals die Angriffe auf gulli.com kamen, haben wir erst den Traffic analysiert, dann ein eindeutiges Pattern endeckt, mit mod_security gefiltert und die IPS, die gematched haben in iptables reingeschmissen - das hat damals geholfen.

[ClemensBW]

Hm, mir war so, dass iptables ab etwa 500-1k Regeln "etwas" langsam wird. War das auch bei der DDoS auf gulli der fall? Oder waren das nicht so viele ips die ihr mit iptables geblockt hattet?

[vmk]

Man kann Ranges blocken, man kann Pakete nach regulären Ausdrücken filtern u.s.w.

Und: Iptables ist der populärste Paketfilter, es gibt aber noch schnelle Filter die viele Regeln verkraften. Iptables verliert wie von der beschrieben ab einer bestimmten Regelgröße massiv an Performance *g*

[Bestrafer]

Zitat:

Zitat von ClemensBW 

Hm, mir war so, dass iptables ab etwa 500-1k Regeln "etwas" langsam wird. War das auch bei der DDoS auf gulli der fall? Oder waren das nicht so viele ips die ihr mit iptables geblockt hattet?

Es waren mehr IPs als 1k, allerdings haben wir da kein iptables mehr verwendet.

[Toady]

Zitat:

Zitat von cemil 

Als damals die Angriffe auf gulli.com kamen, haben wir erst den Traffic analysiert, dann ein eindeutiges Pattern endeckt, mit mod_security gefiltert und die IPS, die gematched haben in iptables reingeschmissen - das hat damals geholfen.

Dann war es kaum ein echter DDoS, sondern ein DoS. Ein DDoS ist es, wenn die Bandbreite des Angriffes an einer Stelle zum Ziel größer ist als die vorhandene Bandbreite, das ist üblicherweise spätestens am Switchport der Fall. Was machst du denn, wenn der Angriff mit einer größeren Bandbreite erfolgt als der Switchport im RZ verträgt?
1GBit/s ist da eine harte Grenze, da musst du schon im Core filtern.

[ClemensBW]

Zitat:

Zitat von Bestrafer 

Es waren mehr IPs als 1k, allerdings haben wir da kein iptables mehr verwendet.

Sondern?

Ich habe ja gelesen, dass ihr auch was am Router gemacht habt.

edit: danke

[Bestrafer]

nf-hipac

[Globestern]

Zitat:

Zitat von Bestrafer 

nf-hipac

hast du da ne rule dafür?

[vmk]

Was ist "ne rule"?

nf-hipac hat doch eine Dokumentation ;-)

[Bestrafer]

Man lese hier:

Zitat:

nf-HiPAC is both syntactically and semantically identical to iptables apart from some specialties described below.

[Globestern]

Zitat:

Zitat von vmk 

Was ist "ne rule"?

nf-hipac hat doch eine Dokumentation ;-)

hmm jo nf-hipac ist doch eigentlich nur ne verbesserung der iptables?

irgend eine blacklist sollte es doch gegen für die ddos bekannten ips?

[Lim_Dul]

Zitat:

Zitat von Globestern 

hmm jo nf-hipac ist doch eigentlich nur ne verbesserung der iptables?

irgend eine blacklist sollte es doch gegen für die ddos bekannten ips?

*.aol.com
*.t-dialin.net

Ernsthaft. Ein Distributed Denial of Service zeichnet sich dadurch aus, dass er von vielen IPs kommt. Dazu werden meistens Botnetze genommen, die sich allen IP Bereichen befinden. Daher kann man die nicht sinnvoll sperren. Außerdem bringt das Sperren am Server eh so gut wie garnichts, da der Traffic dennoch bis zum Server kommt und die Leitung dann dicht ist. Man kann nur verhindern, dass der Serverdienst überlastet wird, aber den Traffic und das dichtmachen der Leitung kann man nur an den Routern davor verhindern.

[hanskanns]

mein kumpel überlegt gerade ob er seine domain zu https://joker.com/index.joker?mode=page&page=ddos
wechseln soll. ob das ganze so sicher ist weiss er allerdings nicht, da er von ddos nicht genug ahnung hat. ist auf jeden fall deutlich billiger als blockdos, es fallen nur die domain kosten an.
bin auch schon am überlegen ob ich meine domains dahin wechseln soll, domains sind sehr billig und schaun gut aus.

vielleicht kann jemand etwas zu dem anbieter sagen ?