Firewall ?

Chromatin

Moderator
Mitarbeiter
Womit würdest du denn DDoS-Angriffe auf Webserver blocken?
Wenn ich einen Paketfilter VOR der Maschine habe, so habe ich durchaus Optionen einen solchen Angriff abzumildern oder gar aufzuhalten.

Ist ein Hostsystem davon betroffen sehe ich da nichts wirklich wirksames was man tun koennte.

Ich hoerte vor kurzen von einem DoS, der von einem Provider ausging, der seinen Traffic ungefiltert rauslaesst. Da hat einer mit nahezu vollen 100MBit gespoofte Pakete rausgedröhnt - auf ein Hostsystem im Netz eines anderen Providers. Also FW davor, dann kann man mühsam anfangen nach Mustern zu suchen und zu filtern :)



@mime

Man müsste das RFC noch um die Kategorie malformed software erweitern.
 

bitmuncher

Moderator
Ja gut, natürlich gehört ein Paketfilter vor den Server, allerdings bietet sich eine solche Option bei Rootservern zumeist nicht an und bevor die Kiste selbst total überlastet wird, so dass man nichtmal mehr über die SerCon rankommt, bevorzuge ich dann doch eher den Einsatz eines Paketfilters, der zwar nicht dagegen hilft, dass die Leitung dicht gemacht wird, aber zumindest die Last auf dem Server selbst senken kann.
 

mime

Stammuser
Ja gut, natürlich gehört ein Paketfilter vor den Server
Ja. Wer auf jedem Server einen Paketfilter betreibt, hat ein konzeptionelles Problem. ;)

allerdings bietet sich eine solche Option bei Rootservern zumeist nicht an und bevor die Kiste selbst total überlastet wird, so dass man nichtmal mehr über die SerCon rankommt, bevorzuge ich dann doch eher den Einsatz eines Paketfilters, der zwar nicht dagegen hilft, dass die Leitung dicht gemacht wird, aber zumindest die Last auf dem Server selbst senken kann.
An der Stelle sollte man den Hoster um Unterstützung bitten. Warscheinlich wird der in den meisten Fällen eh reagieren, da eine DDoS meist auch in der Infrastruktur Auffälligkeiten erzeugen wird. Der Hoster kann deine IP dann "erden" (blackholing) wenn nichts anderes mehr geht.

Micha
 

bitmuncher

Moderator
Keineswegs sind die Hoster immer so hilfsbereit, wie du annimmst. Bei vielen Hostern ist die Konsequenz aus einem DDoS, bei dem der Server auch noch Antworten liefert, eine simple Abschaltung des betroffenen Servers.
 

mime

Stammuser
Keineswegs sind die Hoster immer so hilfsbereit, wie du annimmst.
Tja...dann ist man beim falschen Hoster und sollte wechseln.

Bei vielen Hostern ist die Konsequenz aus einem DDoS, bei dem der Server auch noch Antworten liefert, eine simple Abschaltung des betroffenen Servers.
Abschalten bedeutet da genau was? Keinen Strom mehr? Oder wird die IP geerdet und zumindest kommt man noch per Console an den Server? Das erste ist eine Frechheit, das zweite eine logische und notwendige Konsequenz.

Micha
 

bitmuncher

Moderator
Abschaltet bedeutet, dass die Server im Rettungssystem gebootet werden, auf das man dann nur noch über die serielle Konsole zugreifen kann. Hab ich in meiner Zeit als Freiberufler mehr als einmal erlebt. Konsequenz für den Kunden war, dass seine auf dem Server gehosteten Dienste nicht mehr verfügbar waren. Der Hoster verlangte dann in einer entsprechenden Email, dass die Requests des DDoS vom Server nicht beantwortet werden dürfen und das liess sich nunmal am einfachsten über iptables bewerkstelligen.
 
Oben