DDoS protection/monitoring

Wat heb je zelf al opgezocht?
Het is me niet duidelijk wat je precies wil, een duidelijk verhaal zou fijn zijn.
We zijn hier geen helpdesk, dus we verwachten wel enige inzet van jezelf, als je op google op DDoS Protection zoekt kom je genoeg tegen.

Riorey of Fortinet hebben hier wel appliances voor.

Wat heb je staan?

Een eigen server? Eigen netwerk/routers?
Wat meer info zou welkom zijn.

Op basis van Sflow/netflow kan je ook leuke dingen doen.

Dennism schreef op vrijdag 17 januari 2014 @ 14:02:
Riorey of Fortinet hebben hier wel appliances voor.

Of Arbor, Radware/Checkpoint, Huawei of NSFocus.

Er zijn verschillende soorten DDoS aanvallen, netwerkgericht, applicatiegericht of een combinatie van beide. Zo heb je SYN-floods, HTTP-floods, verschillende andere floods op basis van TCP-vlaggetjes. Je hebt tegenwoordig reflective attacks waarbij een pakketje naar DNS of NTP servers gestuurd wordt met een gespoofd source adres zodat deze services een target onderuit halen.

DDoS aanvallen zijn vaak te herkennen aan een extreem hoog voorkomend herhalend patroon. De verdeling van de verschillende pakketten die je binnen ziet komen is dan scheef. Zo zie je bijvoorbeeld geen DNS-records opgevraagd worden maar wel veel HTTP sessies naar 1 specifieke URL of je ziet heel veel TCP-ACK pakketten, maar niet zoveel SYNs.

Je kunt dit monitoren met een appliance die het ook kan tegenhouden, dit kan inline of out-of-path. Daarnaast kun je overwegen om een Intrusion Detection System te installeren die het verkeer monitored. Dit kun je doen met iets als Snort of Suricata, deze kijken naar signatures van bekende DDoS tools en andersoortig invalide verkeer.

Zelf gebruiken we bij mijn werkgever net zoals tweakers.net gebruikt een Riorey. Helaas hebben we echter de afgelopen tijd veel last van NTP ddos aanvallen gehad welke hierdoor 'wel' gezien werden maar niet gefilterd werd.

Gisteren een update doorgevoerd samen met Riorey en nu hopen dat ze wel netjes tegengehouden worden. Vooralsnog verder redelijk tevreden met de Riorey, alleen mogen de updates wel iets sneller komen

Move naar Beveiliging & Virussen Daar hebben we waarschijnlijk meer kans van slagen voor dit topic

DGTL_Magician schreef op zondag 19 januari 2014 @ 12:59:
[...]

Of Arbor, Radware/Checkpoint, Huawei of NSFocus.

Er zijn verschillende soorten DDoS aanvallen, netwerkgericht, applicatiegericht of een combinatie van beide. Zo heb je SYN-floods, HTTP-floods, verschillende andere floods op basis van TCP-vlaggetjes. Je hebt tegenwoordig reflective attacks waarbij een pakketje naar DNS of NTP servers gestuurd wordt met een gespoofd source adres zodat deze services een target onderuit halen.

DDoS aanvallen zijn vaak te herkennen aan een extreem hoog voorkomend herhalend patroon. De verdeling van de verschillende pakketten die je binnen ziet komen is dan scheef. Zo zie je bijvoorbeeld geen DNS-records opgevraagd worden maar wel veel HTTP sessies naar 1 specifieke URL of je ziet heel veel TCP-ACK pakketten, maar niet zoveel SYNs.

Je kunt dit monitoren met een appliance die het ook kan tegenhouden, dit kan inline of out-of-path. Daarnaast kun je overwegen om een Intrusion Detection System te installeren die het verkeer monitored. Dit kun je doen met iets als Snort of Suricata, deze kijken naar signatures van bekende DDoS tools en andersoortig invalide verkeer.

Kijk ook eens naar NFSEN om sflow stats goed uit te lezen, wij gebruiken dit heel veel en 9/10 analyseer ik hier het verkeer mee en pak ik zodoende ook de daders + het slachtoffer welke ik dan tijdelijk moet blackholen in onze routers