Hoe DDoS attacks op netwerk in colo afwenden? *

Je moet de IPs waarvan de attacks komen nullrouten..

Nulrouten in je router (source-IP) of door je transit-provider laten doen.

Kunnen die 10k's het echt niet aan ?

De search al eens gebruikt? Al eens gegoogled?
Je topicstart getuigt nou niet echt van enig zoekwerk, je geeft niet aan wat je allemaal al hebt geprobeerd, en waar je zelf aan zit te denken.

Komt er in mijn ogen op neer dat je probeert hier de info in te winnen, om vervolgens zelf bij die vergadering goed geïnformeerd over te komen... Zeg niet dat het zo is, maar zo komt het wel over.

Moet volgens mij genoeg over te vinden zijn, DDoS is nou niet iets van de laatste weken, gebeurde 5 jaar geleden ook al wel. Misschien eens wat vakliteratuur er op naslaan?

Je kan ook een Snortmachine installeren die je router-config aanpast

Je moet contact opnemen met je hostingpartner om te achterhalen of het verkeer geblokkeerd kan worden bij hun bron.

Eventueel kan het ook zijn dat het verkeer niet eens voor jou bedoeld is.

Als het verkeer geadresseerd is aan het IP-adres één server dan kan je die uit dienst nemen en de content overzetten naar een server (met een ander ip-adres) die nu nog niet in gebruik is.

Verwijderd schreef op zondag 12 februari 2006 @ 23:42:
[...]

Zelf zat ik te denken aan:

Een console server op een andere uplink, onbekend IP, geen DNS, die console op een interne switch, waar je dan zowiezo bij kan wanneer er attacks gaande zijn.

Als je router-engines niet geheel op zijn gat liggen kun je er met telnet wellicht bij ja via RS232.

Verwijderd schreef op zondag 12 februari 2006 @ 23:44:
[...]


dat klinkt wel goed... mmm

Moet je wel even flink aan de Tweak en enige support vanuit Cisco kan handig zijn.

Verwijderd schreef op zondag 12 februari 2006 @ 23:42:Verkeer is wel voor ons bedoeld omdat er al meerdere malen aan ons is duidelijk gemaakt dat het doel "DUIDELIJK" is om ons plat proberen te krijgen.

Heb je al aangifte gedaan bij de politie?

Verwijderd schreef op zondag 12 februari 2006 @ 23:38:
[...]


Op zich na wat ik qua informatie heb gevonden valt er weinig te doen tegen echte grotere ddoss attacks.

@BredeP,
Je kunt of antwoorden op berichten of niet, maar kom niet over alsof ik nog niks geprobeerd heb te vinden. @ Deze forum heb ik niet veel gezocht klopt, maar niks mis mee met gewoon een nieuwe topic te openen toch. Ik wil inderdaad geinformeerd over komen op een vergadering, omdat ik geen systeem operator zelf ben wil nog niet zeggen dat ik niet wat informatie kan meenemen dat de systeem beheerders een idee geven van wat andere systeem beheerders vinden.

Remko, het was ook absoluut niet op die manier bedoeld.
Aangezien een boel topics worden gesloten omdat er te weinig info vanuit de TS komt, wilde ik je er meer voor waarschuwen. Ik kan me voorstellen dat een DDoS aanval erg vervelend is, en een boel werkt oplevert etc.
Aangezien er op Tweakers nogal wat gebruikers zijn, zou het erg vervelend werken als iedereen voor iedere vraag maar meteen een nieuw topic zou openen. Vaak zijn er veel dezelfde vragen die worden gesteld.
Wat dat geïnformeerd overkomen, tuurlijk, helemaal gelijk in, maar doordat je relatief weinig info gaf, kan het op anderen overkomen alsof je met hun informatie jezelf beter voor de dag wil laten komen. Natuurlijk zijn je bedoelingen goed, daar ga ik ook vanuit, ik probeerde alleen duidelijk te maken hoe het ook kan overkomen.

Mijn advies voor nu verder: Probeer je wat verder in te lezen op DDoS, en de mogelijkheden om het tegen te gaan (nullrouten zoals hier werd genoemd).
Het zegt mij ook allemaal erg weinig, dus ik ben nu ook lekker aan het googlen, wat meer erover te weten aan het komen. Best interessante stuff.

Sta je bij EuroAccess ?

Verwijderd schreef op maandag 13 februari 2006 @ 00:19:
[...]


nee bij Mountain Cablevision in canada, we zijn een internationaal bedrijf, hebben lang geleden gekozen voor Canada, om onze servers daar te plaatsen. Goede service, en erg stabiel.

Daar is namelijk ook een DDos van 500Mbit ofzo.

Maar Canada zit je wel goed lijkt me zo, die Canadesen weten wel wat goed is !

Ga anders ter "lering ende vermaeck" het verhaal van de ddos op grc.com lezen.


Maar de houding van de provider van "het verkeer is wel voor jullie bestemd" is wel wat erg makkelijk imho. Je zou kunnen zeggen dat ze op deze manier medeplichtig zijn


Edit: het wordt nog leuker, er is ook nog een andere truuk om dit soort rottigheid uit te halen. (distributed reflection denial of service (DRDoS) attack)

[ Voor 36% gewijzigd door aZuL2001 op 13-02-2006 00:54 . Reden: linkjes en aanvulling ]

RemkoK ik moet toch echt zeggen dat ik het hier mee eens ben : BredeP in "DDoS attacks"

Het is inmiddels een wat groter topic met interessante info, maar ik vind het eigen initiatief van jou kant bijzonder mager. Er wordt gerefereerd naar een snort doos, en het enige wat je kunt antwoorden is een vraagteken. Als er iets geadviseerd word waarvan je geen idee hebt wat het is, kun je op z'n minst even 5 tellen zoeken voordat je reageerd met de vraag wat het is.
Al met al loopt het topic nu en laat ik 'm open, maar ik verwacht wel een iets andere insteling voor dit topic.

En ik verander je topictitel ook, in het vervolg zou je daar wat meer aandacht aan kunnen besteden.

[ Voor 8% gewijzigd door Verwijderd op 13-02-2006 16:20 ]

Algemeen gesteld moet je bij DDoS-attacks ervoor zorgen dat je zo snel mogelijk van de packets af bent en wel op de plek waar dat zo goed mogelijk kan. 'Af zijn' wil dan zeggen dat je ze dropt, zonder dus antwoord terug te sturen. Vaak wil het filteren van honderden IP-ranges of duizenden IP-adressen niet zo makkelijk op een (upstream) router. In dat geval moet je dus andere oplossingen gaan zoeken.

Tijdens een aanval is het nuttig om te weten met wat voor verkeer je van doen hebt. Icmp echo requests? TCP SYN? ACK? Misschien zelfs HTTP-requests? Daarna moet je oplossingen vinden om met dat soort verkeer om te gaan.

ICMP echo requests kun je in principe gewoon helemaal filteren zonder problemen. Wil filteren niet, dan kun je op je servers gaan ratelimiten, zodat ze in ieder geval niet op elke inkomende echo request antwoord gaan sturen (je vergroot de effectiviteit van de DDoS dan natuurlijk nogal).
TCP SYNs zijn lastiger. Die kun je niet volledig gaan filteren, want het is benodigde functionaliteit. Wel kun je op specifieke poorten gaan filteren, als de DDoS-attack bestaat uit TCP SYNs op willekeurige poorten. Zo niet, dan kun je weer ratelimiting gaan doen, bijv 2 SYNs per seconde per /24 (ofzo). Zet ook syncookies aan zodat je servers blijven leven.
TCP ACKs zijn alleen nodig voor established TCP-connecties. Stateful filteren zorgt er voor dat TCP ACKs niet je TCP/IP-stack ingeschoten worden en er geen RST's of ICMP destination unreachables teruggestuurd zullen worden. Zoals gezegd, je moet zo snel mogelijk van de packets af: dus filteren door een firewall en keihard droppen, zonder te loggen natuurlijk. Stateful filtering is ook nog es aardig snel.
Connection-based attacks kun je ook minder effectief maken door te gaan ratelimiten, bijv. op aantal connecties per IP-adres per minuut. Eventueel kun je logfiles erbij pakken en op je servers de aanvallende IP-adressen filteren (zorg er dan wel voor dat je niet per ip-adres een firewall-regel nodig hebt, maar gebruik tables die erg snel doorzocht kunnen worden).

Ik heb geen idee of Windows2k3 dit soort dingen implementeert (ben bang van niet).. Ook zegt het niks over de verspilde bandbreedte, waar je waarschijnlijk wel voor moet betalen. Bij langer aanhoudende DDoS-attacks is het dan ook handig upstream te gaan filteren. Met wat simpele sniffers kun je vrij snel zien welke IP-adressen het meeste verkeer veroorzaken, zodat je die het eerst kunt filteren. Server hardening is echter altijd nuttig: hoe langer je systemen/netwerken blijven leven, hoe beter.

serkoon schreef op maandag 13 februari 2006 @ 18:31:
ICMP echo requests kun je in principe gewoon helemaal filteren zonder problemen.

Doe het andersom: in plaats van blokkeren wat je niet nodig denkt te hebben, openzetten wat je wel nodig denkt te hebben. Voor wat betreft ICMP hoeft eigenlijk alleen Path MTU Discovery (RFC 1191 / 2923) te blijven werken.

TCP SYNs zijn lastiger. Die kun je niet volledig gaan filteren, want het is benodigde functionaliteit. Wel kun je op specifieke poorten gaan filteren, als de DDoS-attack bestaat uit TCP SYNs op willekeurige poorten.

Zet er een firewall voor die als SYN proxy fungeert. Je krijgt ze nog wel binnen en hebt nog steeds een stapel half-open connecties, maar dat is op de firewall in plaats van op een applicatieserver en een firewall is er voor ontworpen om minimale overhead per half-open connectie te hebben.

Ik heb geen idee of Windows2k3 dit soort dingen implementeert (ben bang van niet).

Er zijn een paar mogelijkheden waarmee je er voor kan zorgen dat je servers niet hard down gaan, maar niet veel meer dan dat. Zie de MS TCP/IP whitepaper op hun website (en kijk als die nog steeds een 404 geeft naar de versie voor Windows 2000, die is op hoofdlijnen het zelfde).


Kan je naast een schatting van de grootte van de aanval in bits ook een schatting van de grootte van de aanval in packets geven?