Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wirksamer Schutz gegen DDoS (SYN-Flood)

Frage Sicherheit Erkennung und -Abwehr

Mitglied: 0perator

0perator (Level 1) - Jetzt verbinden

22.12.2008, aktualisiert 16.01.2009, 16365 Aufrufe, 12 Kommentare

Meine Lösungsansätze - was meint ihr?

Guten Abend liebe Community,

ich administriere zur Zeit ein größere vBulletin Forum mit mehr als 300.000 Pageviews/Tag. Seit geraumer Zeit werden wir von SYN-Flood Attacken belästigt und sind deshalb zu einem US-Anbieter gewechselt (Gigeservers), leider bietet dieser keinen ausreichenden Schutz gegen diese Art von Flood. Der Anbieter bietet zwar eine Lösung an, diese kostet uns jedoch 1000$ pro Monat was absolut über unserem Budget liegt. Sobald das Netzwerk dieses Anbieter SYN-Flood verzeichnet wird unsere IP null gerouted, d.h. wir haben garkeine Lösung den Flood von unseren Server aus zu stoppen. Wir werden nun alle paar Minuten einfach null gerouted und sind deswegen kaum erreichbar.

Nun habe ich mir folgendes Überlegt:
Wir nehmen uns eine Hand voll Webspacepakete bei größeren Anbietern (Namecheap, Hostgator etc.) und setzen dort nur eine auf HTML-basierende Eingangsseite auf. Der Besucher kann dann über über diese Seite in unser Forum gelangen. So bleibt der eigentliche Server außen vor und es werden nur Verbindung aktzeptiert die von den Webspacepaketen kommen.

Nun meine Frage:
Sobald unsere Domain geflooded wird und dieser Flood zu stark wird, wird der Webhoster sicherlich das Webspacepaket der Willkommenseite abschalten um die anderen Clienten auf der Maschine zu schützen - in diesem Falle soll automatisch das nächste Webspacepaket benutzt werden um die Besucher zum Forum zu leiten. Gibt es einen DNS-Service der so etwas antbietet? Hat mein Lösungsansatz überhaupt einen Sinn? Vielleicht hat ja jemand so etwas ähnlich schon ausprobiert?!

Hoffe auf eure Antworten denn ich bin wirklich Ratlos...
Danke im Vorraus

Gruß
Mitglied: aqui
22.12.2008 um 20:12 Uhr
Das ist sinnlos was du dir da ausgedacht hast denn Angreifer scheren sich nicht um euren Domain Namen.
Dart werden rieseg IP Bereiche mit Port Scannern malträtiert und so finden sie mit Sicherheit auch den wahren Server und seine IP...das ist also Unsinn.

Per SW gibt es nicht wirklich einen Schutz. Siehe:
http://www.cert.org/advisories/CA-1996-21.html

Das einzig wirksame ist du investierst in Hardware und schaltest einen Server Load Balancer vor deinen Server wie z.B. einen von F5 oder einen ServerIron von Foundry Networks.
Das reicht wenn das das kleinste Modell ist. Kostet dich zwar auch etwas aber nur einmal und schützt absolut zuverlässig vor SYN Flooding und nicht nur das sondern auch vor anderen Attacken.
Sie schalten nur Sysn Requests durch auf den eigentlichen Server wenn in einer bestimmten Zeit auch ein ACK kommt und damit hast du einen absoluten Schutz vor dieser Art Attacken.
Dein Server behält also seine volle Performance auch wenn er attackiert wird.
Bitte warten ..
Mitglied: 0perator
22.12.2008 um 20:53 Uhr
Danke für dein Antwort aqui

Ein LoadBalancer wäre natürlich das non-plus ultra... werde mich mal weiter informieren was das anbetrifft.

Sehen wir mal davon ab das die Angreifer die IP direkt flooden und kommen wir auf das DNS-System zurück? Gibt für diese Methode eine bestimmten Namen sodass ich mal google weiter befragen kann? Bin mir nicht ganz sicher, nennt man diese Methode nach der ich suche nicht Failover-DNS? Bin mir nicht ganz sicher, bevor ich nachher noch was ganz falsches raussuche^^
Bitte warten ..
Mitglied: SchmuFoo
22.12.2008 um 21:33 Uhr
Hi,

sind SYN-Cookies auf dem (Web)-Server aktiviert?

Desweiteren schau Dir mal www.ultradns.com und www.prolexic.com an. Letztere "waschen" Deinen Traffic und schicken ihn gesäubert zu Deinem Server (Reverse Proxy halt).

Cheers
Bitte warten ..
Mitglied: 0perator
22.12.2008 um 21:58 Uhr
Ja SYN-Cookies sind aktiviert, haben aber so gut wie keinen Effekt da unser Webhoster die IP null routet sobald die Firewall Flood verzeichnet.
Momentan haben wir einen "Lite" Reverse-Proxy von ProxyShield laufen (http://gigeservers.com/ProxyShield), dieser schützt allerdings nicht vor SYN Flood -> dafür wäre die Premium Variante nötig welche mit 1000USD zu buche schlägt.

Unser Hoster lässt uns so gesehen keine andere Wahl als das Premium Paket zu kaufen, was natürlich totale Abzocke ist...
Einzige Möglichkeit aus meiner Sicht wäre also ein Failover DNS bzw. Round Robin System oder sehe ich das falsch?

Wenn ein Hoster die IP null-routet, ist das dann die interne IP oder die externe IP? Wenn nur die externe IP umgeleitet wird, könnte ich doch via DNS die anderen von meinem Webmaster zugewiesenen IPs benutzen solange eine IP null geroutet ist oder?
Bitte warten ..
Mitglied: gnarff
22.12.2008 um 22:39 Uhr
Es gibt dann ja auch noch (D)DoS-Deflate als Gegenmassnahme...
Weitere Informationen zu Gegenmassnahmen auf BotTrapWiki : DDos

Saludos
gnarff
Bitte warten ..
Mitglied: Enclave
23.12.2008 um 00:39 Uhr
Zitat von GigeSERVERS
ProxyShield® Lite
ProxyShield Lite is included in the cost of all dedicated servers. It provides coverage mainly for bandwidth-consumption attacks. [...] This service works best for those who are not using their server to host websites, or for websites that are being affected only due to high bandwidth utilization. We NEVER null route because of an attack!

Die machen es aber trotzdem? Vielleicht würde ich den Hoster wechseln o.O


Mit freundlichen Grüßen

Enclave
Bitte warten ..
Mitglied: Rafiki
23.12.2008 um 09:28 Uhr
Seit geraumer Zeit werden wir von SYN-Flood Attacken belästigt

Wenn es "nur" ein normaler SYN-Flood ist dann helfen SYN-Cookies.

Ja SYN-Cookies sind aktiviert, haben aber so gut wie keinen Effekt

Dann ist es kein gewöhnliches SYN-flood. Kannst und magst du einigen von uns einen Capture von dem Traffic zur Verfügung stellen? Dann müssten wir nicht so sehr raten was evtl. Helfen könnte.

Mich würde noch interessieren warum versucht euch jemand vom Netz zu kicken? Werdet ihr erpresst oder habt ihr etwas gegen "Sie" gesagt.

Gruß Rafiki
Bitte warten ..
Mitglied: SchmuFoo
23.12.2008 um 12:03 Uhr
Zitat von 0perator:
Ja SYN-Cookies sind aktiviert, haben aber so gut wie keinen Effekt da
unser Webhoster die IP null routet sobald die Firewall Flood
verzeichnet.

Steht ein Wechsel zu einem "normalen" Hoster, der nicht eigenmächtig am Core filtert, außer Frage?

..


Einzige Möglichkeit aus meiner Sicht wäre also ein Failover
DNS bzw. Round Robin System oder sehe ich das falsch?

Bei beiden Möglichkeiten musst musst Du dann Geld und Arbeit in die Hand nehmen um:

- Eine 2. Umgebung woanders hochzuziehen
- Deren Daten syncron halten -> Mit einer DB viel Spass -> Oder den SQLd auf einem 3. Server laufen lassen

Summa Summarum stellt sich auch mir erneut die oben genannte Frage, wieso suchst Du Dir keinen Hoster der nicht derartige Restriktionen auf Core Ebene hat?

Wenn ein Hoster die IP null-routet, ist das dann die interne IP oder
die externe IP? Wenn nur die externe IP umgeleitet wird, könnte
ich doch via DNS die anderen von meinem Webmaster zugewiesenen IPs
benutzen solange eine IP null geroutet ist oder?

Wenn Du im DNS Zonefile die TTL weit genug runtersetzen kannst funktioniert das, mit den oben genannten Problemen/Aufwand
Bitte warten ..
Mitglied: 16568
02.01.2009 um 11:38 Uhr
Hm, schaaaade, warum habe ich diese interessante Diskussion nicht eher bemerkt...

Also, normalerweise helfen SYN-Cookies wirklich sehr zuverlässig.
Bittet Euren Hoster doch gleich mal, das Routing wieder auf normal umzustellen, und beobachtet, ob der Server ordnungsgemäß reagiert.

Ansonsten fahre ich in solchen Situationen zweigleisig:

1.
Apache-Cluster und MySQL-Cluster (werden ja beide für Deine Seite gebraucht) mit einem vorgeschalteten Loadbalancer.
Je nach Hardware läßt sich das sogar alles auf einer Kiste abfackeln, ESX sei Dank... (ist aber 2-3 Tage Arbeit...).

2.
Lokalisierung, von woher der Angriff kommt.
Zugegeben, nicht immer ganz einfach, und eigentlich schon illegal in Deutschland, aber ich habe diesbzgl. schon sehr gute Erfahrungen gemacht, wie man fremde Bot-Netze übernimmt


Lonesome Walker

Damit Du schon ma gucken kannst...
Apache-Cluster und MySQL-Cluster und zum Thema Sessions, weil Dein Forum sicherlich damit arbeitet...
sollte fürs Clustering reichen, aber eben nur für die Ausfallsicherheit bei hochfrequenten Seiten.
Der Loadbalancer davor (also nicht der in den HowTo's) kümmert sich dann aber WIRKLICH um Dein Flood-Problem.
Hierfür hab' ich allerdings kein HowTo im Netz verfügbar, da ich das je nach Problemlage individuell lösen würde.
(dafür fehlen uns aber noch ein paar Infos hier...)
Bitte warten ..
Mitglied: SchmuFoo
08.05.2009 um 11:15 Uhr
Gibt es etwas neues zu berichten?
Bitte warten ..
Mitglied: Florian.Business
10.06.2010 um 11:23 Uhr
Irgendwie Blödsinn du kannst nicht einfach ein Botnet übernehmen wenn 10k Ips aus 40 Ländern dieser Welt kommen hast du generell keine Chance auch nur irgendetwas zu verfolgen.
Bitte warten ..
Mitglied: gnarff
10.06.2010 um 17:28 Uhr
Zitat von SchmuFoo:
Gibt es etwas neues zu berichten?
...meine Freundin hat sich ihre Haare Pillarbox-Red gefaerbt; falls dies von Interesse ist. Ansonsten denke ich, kann man den Thread als geschlossen betrachten ;)
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...