Netzwerkzugriff nur über Domain
Abend Leute,
mal eine etwas andere Frage:
Wie würdet ihr es lösen, wenn es heißt mal sollte den Netzwerkzugriff komplett sperren, außer die Anfrage wurde zuerst von einem Nameserver bearbeitet...
Es geht darum, dass wir in letzter Zeit massive (D)DOS Probleme haben, und und ein Service von CloudFlare zur Verfügung stllen lassen wollen.
Diese bieten aber "nur" eine DNS bassierte DDOS Lösung an. Sobald ein Angreifer also über die IP-Adresse attaktiert, kommt er 1:1 zum Netzwerk durch.
Bin für jeden Vorschlag dankbar.
LG
Sebi
mal eine etwas andere Frage:
Wie würdet ihr es lösen, wenn es heißt mal sollte den Netzwerkzugriff komplett sperren, außer die Anfrage wurde zuerst von einem Nameserver bearbeitet...
Es geht darum, dass wir in letzter Zeit massive (D)DOS Probleme haben, und und ein Service von CloudFlare zur Verfügung stllen lassen wollen.
Diese bieten aber "nur" eine DNS bassierte DDOS Lösung an. Sobald ein Angreifer also über die IP-Adresse attaktiert, kommt er 1:1 zum Netzwerk durch.
Bin für jeden Vorschlag dankbar.
LG
Sebi
Please also mark the comments that contributed to the solution of the article
Content-Key: 304107
Url: https://administrator.de/contentid/304107
Printed on: April 19, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallo,
wenn die Server die Du hast direkt im Internet stehen und erreichbar sind kannst Du nur folgendes versuchen.
Ein LB/IDS/Proxy mus her (geclustert) über das sämtlicher Trafik an die Server dahinter verteilt wird.
In der Firewall der Backendserver müssen dann alle IP auser den IP vom LB geblockt werden.
Wenn ihr ein feste IP im Büro habt, dann darf die auch, der Rest vom Internet wird auf Drop gestellt für alle Ports (v4 und v6)
Das kann ein DDoS Versuch nicht verhindern aber er hat weniger Auswirkung auf den Dienst des Backendservers.
Der normale Trafik rein und raus geht nur über das vorgeschaltete System (muss entsprechend dimensioiert sein) .
Die IDS Server müssen natürlich auch so eingestellt sein, das nur Anfragen auf die Ports der entsprechenden Dienste reagiert wird und alles andere Drop.
Gruß
Chonta
wenn die Server die Du hast direkt im Internet stehen und erreichbar sind kannst Du nur folgendes versuchen.
Ein LB/IDS/Proxy mus her (geclustert) über das sämtlicher Trafik an die Server dahinter verteilt wird.
In der Firewall der Backendserver müssen dann alle IP auser den IP vom LB geblockt werden.
Wenn ihr ein feste IP im Büro habt, dann darf die auch, der Rest vom Internet wird auf Drop gestellt für alle Ports (v4 und v6)
Das kann ein DDoS Versuch nicht verhindern aber er hat weniger Auswirkung auf den Dienst des Backendservers.
Der normale Trafik rein und raus geht nur über das vorgeschaltete System (muss entsprechend dimensioiert sein) .
Die IDS Server müssen natürlich auch so eingestellt sein, das nur Anfragen auf die Ports der entsprechenden Dienste reagiert wird und alles andere Drop.
Gruß
Chonta
Moin,
bei größeren Kunden kann sowas schon der Provider machen. Dann bleibt die Leitung frei. Einfach mal mit dem reden, wenn es kein Feld- Wald- und Wiesenanschluss ist. Wir hatten das vor ~15 Jahren schon öfter gemacht, als noch mit "popeligen Syn-Flood-Attacken" im Internet gespielt wurde.
Grüße, Henere
bei größeren Kunden kann sowas schon der Provider machen. Dann bleibt die Leitung frei. Einfach mal mit dem reden, wenn es kein Feld- Wald- und Wiesenanschluss ist. Wir hatten das vor ~15 Jahren schon öfter gemacht, als noch mit "popeligen Syn-Flood-Attacken" im Internet gespielt wurde.
Grüße, Henere