DDoS voorkomen én genezen

Het probleem is dat men zoiets zoveel mogelijk aan de "edges" moet aanpakken. Als het SYN-packetje reeds aangekomen is aan je loadbalancer kost je dit al geld.

Er zijn verschillende oplossing te implementeren, meestal op niveau van je hoster/service-provider die zoiets in z'n datacenters gaat zetten om de klanten te beschermen.

Vele fabrikanten hebben oplossingen, zoals Arbor Networks (PeakFlow) met oa hun ATLAS (http://www.arbornetworks.com/en/atlas.html) services.

Kan je provider niet ea blokkeren op de routers?
Evt. null route.

De RioRey zijn ook leuke dingen zie ook: reviews: RioRey RX1810: een firewall onder vuur

[ Voor 59% gewijzigd door xares op 27-10-2010 11:50 ]

In principe is Arbor uitstekend, maar niet voor jou; de provider moet zoiets hebben.
Verder moet je zoiets met je provider overleggen; het kost de provider ook geld. Het is van de zotte dat je voor niet legitiem verkeer (ook al is tcp verkeer in dit geval wel "legitiem") moet betalen. Wellicht kun je dezelfde motivatie geven aan je provider. (deze moet er ook voor betalen en dat wil ie natuurlijk niet)
Een Dergelijk apparaat als zo'n RioRey werkt wellicht uitstekend, maar dat is een pleister op de wond plakken, je krijgt toch de verstookte bytes op je rekening

[ Voor 16% gewijzigd door Kabouterplop01 op 27-10-2010 19:10 ]

Bernardo schreef op woensdag 27 oktober 2010 @ 12:07:
Edit: Inmiddels is de DDoS gestaakt, we hopen dit ooit te kunnen voorkomen met zoiets als de RioRey, maar dit zijn nog erg dure oplossingen. Leuk als je dagelijks geddost word, maar niet voor 1x per half jaar.

Tja, dat is de afweging. Als een oplossing te duur is neem je het verlies. Overigens weet je natuurlijk nooit hoe vaak je geDossed gaat worden dus is het een lastige beslissing. Tot de volgende Dos natuurlijk... Zorg in ieder geval dat alle IP's waarvan de Dos afkomstig was in de blacklist komen her en der.

Kabouterplop01 schreef op woensdag 27 oktober 2010 @ 19:08:
In principe is Arbor uitstekend, maar niet voor jou; de provider moet zoiets hebben.
Verder moet je zoiets met je provider overleggen; het kost de provider ook geld. Het is van de zotte dat je voor niet legitiem verkeer (ook al is tcp verkeer in dit geval wel "legitiem") moet betalen. Wellicht kun je dezelfde motivatie geven aan je provider. (deze moet er ook voor betalen en dat wil ie natuurlijk niet)
Een Dergelijk apparaat als zo'n RioRey werkt wellicht uitstekend, maar dat is een pleister op de wond plakken, je krijgt toch de verstookte bytes op je rekening

De ISP moet er sowieso wel voor betalen, want eer het geblokkeerd kan worden moet 't wel eerst in dat netwerk zijn. En afhankelijk van 't soort DDoS kun je daar soms verdomd weinig tegen doen.

zolang dat source adress validation geen harde geschreven regel is (en spoofen dus mogelijk blijft) is het volgens mij niet evident deze dingen te stoppen.
Ik weet niet hoe correct ISP's voor hun klanten ingress packet filters (RFC2827) toepassen zodat deze klanten geen traffic op het internet kunnen sturen met source-IP's anders dan diegene de provider heeft toegekend.
Ook zaken als uRPF (unicast reverse path forwarding) helpen oa ip spoofing voorkomen.

Nochtans werkt dit concept. Successvolle ISP's hebben (extreem) conservatieve engineering regeltjes ;-)
Ik kan me echter voorstellen dat er héél wat ander zijn die allemaal denken dat ISP'tje spelen makkelijk is en het allemaal niet zo nauw nemen...

Spoofen is helemaal zo boeiend niet. Je hebt vaak te maken met een botnet van een paar duizend pc's die gewoon zo hard als ze kunnen packets sturen. Source address is daarbij compleet niet boeiend. Alleen bij bepaalde specifieke aanvallen (zorgen dat open DNS resolvers je een enorm packet sturen bijvoorbeeld) is dat interessant.

CyBeR schreef op woensdag 27 oktober 2010 @ 20:57:
Spoofen is helemaal zo boeiend niet. Je hebt vaak te maken met een botnet van een paar duizend pc's die gewoon zo hard als ze kunnen packets sturen. Source address is daarbij compleet niet boeiend. Alleen bij bepaalde specifieke aanvallen (zorgen dat open DNS resolvers je een enorm packet sturen bijvoorbeeld) is dat interessant.

Als het de "echte" IP's zijn van de botnet PC's kan je tenminste blacklisten. Met spoofen gauw enkele miljoenen random IP's genereren maakt het helemaal chaotisch en haast onwerkbaar.
Indien je zuiver vb 50.000 unieke echte IP's hebt is dat behoorlijk snel te filteren. 50.000.000 randomly spoofed IP's maakt het wat lastiger.

Als elke ISP voor elke dialup,x-DSL,cable,colo,whatever PC etc ENKEL het source IP toelaat dat hij heeft uitgedeeld op die poort zou het mijn inziens al een stuk beheersbaarder zijn.

Met een BGP "sink hole" zou de ISP de traffiek al kunnen wegtrekken van het slachtoffer zijn infrastructuur. Dit is redelijk eenvoudig, kwestie van het nodige te announcen
Uiteraard is dit geen oplossing, aangezien er geen enkele inbound traffiek meer tot bij de server geraakt, maar kan eventueel wel beter zijn voor analyse etc.

Mogelijk is het goedkoper de site onder te brengen bij bijv. amazon welke een volledig geochrafisch gedistribueerde omgeving hebben en daar bovenop ook DDoS bescherming. Zoveel duurder dan alles zelf regelen is dat niet, zeker niet als bereik van de site zo bellangrijk is.

Akamai zijn vb ook straffe mannen. Wel grappig te lezen -> "first line of defens against DDos : Massive Scale"
Blijkbaar beschermen die de ganse infrastructuur van de US Governement en tijdens de aanval van 4 july 2009 absorbeerde Akamai 200Gbps traffic van alle aangevallen websites ;-)

Voor de techies, wel eens boeiend te lezen hoe ze die dingen globaal aanpakken

http://akamai.es/dl/white...campaign_id=$(campaignID)

akamai is zeker een van de besten.. maar daar betaal je ook flink voor (minimum is al vrij maximum als je begrijpt wat ik bedoel )

Het zo juist mooi zijn als "onze" transitproviders zo'n sinkhole hebben maar dan egres aan hun kant. Dat zou het interessant maken. Het punt is echter dat zij verdienen aan die bandbreedte. Als je bgp sessies hebt naar zo'n provider met zo'n "sinkhole" en je kunt door goed afspraken te maken met jouw transit provider al een gedeelte laten scrubben....(Er zijn overigens een aantal transit providers die border routers hebben met een speciale bgp community voor dit doeleinde)
Ik ben het eens dat als je een beetje ISP bent dat je standaard verification doet op je reverse path traffic. En dat je Anti spoofing maatregelen hebt genomen door je edge en door je core (zodat je klanten die geinfecteerd zijn kunt afvangen, etc...)
Met die maatregelen kunnen onze bedrijven vele duizenden euro's besparen!
Hoogst interessant topic en nog mensen met kennis die er wat over willen delen ook. (Wat mij betreft Professional Networking)

En soms wil je als ISP ook kunnen spoofen dan kom je echt bij sinkholes. Voor DNS waar Cyber het over heeft, dan kun je tenminste zien wie die amplificiation veroorzaakt. (In dit geval een "gespoofed" (want dat mag natuurlijk niet )authoritative DNS sinkhole, waarop je de queries van de geinfecteerde hosts ziet,....weer een dagje log files parsen )

[ Voor 15% gewijzigd door Kabouterplop01 op 27-10-2010 23:55 ]

Bernardo schreef op woensdag 27 oktober 2010 @ 09:56:
Gezien het niet de eerste keer is, zijn er (betaalbare) oplossingen die dit tegengaan?

Nee.

Een DDoS tegengaan is net zoiets als proberen een aardbeving tegen te houden.

Koop gerust een Arbor. Kost je minimaal grofweg een ton, (60K$ als je voor het minimale gaat) maar als iemand je echt uit de lucht wilt hebben geeft 'ie 100 dollar uit in plaats van 10 en stuurt 'ie 40Gbit/s op je af. En jij maar geld uitgeven.

Welliswaar verschuift de DDoS dan van techniek naar financieel, maar het blijft een DDoS.

Leg het je klanten of gebruikers uit, en probeer vooral niet te winnen. Het lukt je niet. Schouders ophalen, touwtje eruit, en wachten tot het over is.

Voordat je gaat zeuren over wat m'n advies waard is: zoek eens uit wie ik ben?

[ Voor 6% gewijzigd door burne op 28-10-2010 00:20 ]

burne schreef op donderdag 28 oktober 2010 @ 00:08:
[...]

Nee.

Een DDoS tegengaan is net zoiets als proberen een aardbeving tegen te houden.

Koop gerust een Arbor. Kost je minimaal grofweg een ton, maar als iemand je echt uit de lucht wilt hebben geeft 'ie 100 dollar uit in plaats van 10 en stuurt 'ie 40Gbit/s op je af. En jij maar geld uitgeven.

Welliswaar verschuift de DDoS dan van techniek naar financieel, maar het blijft een DDoS.

Leg het je klanten of gebruikers uit, en probeer vooral niet te winnen. Het lukt je niet. Schouders ophalen, touwtje eruit, en wachten tot het over is.

Voordat je gaat zeuren over wat m'n advies waard is: zoek eens uit wie ik ben?

Daar komt het eigenlijk op neer ja