11
Netz bei geblockter IP überfüllt?
Abend´ Leute,
und zwar hätte ich heute mal eine theorätische Frage;
Angenommen wir verfügen über eine 10Gbit Leitung, wo eine Firewall vorgeschalten ist - Wenn wir nun mit 50Gbit geDDOSed werden, die IP des DDOSers aber bereits über iptables geblockt ist, ist die Leitung dennoch überfüllt?
Oder müsste ich den Traffic weiterleiten, um eine Überfüllung der Bandbreite auszuschließen?
Bin mir sicher, es weiß wer eine Antwort :D
LG & schönen Abend noch,
Sebi
und zwar hätte ich heute mal eine theorätische Frage;
Angenommen wir verfügen über eine 10Gbit Leitung, wo eine Firewall vorgeschalten ist - Wenn wir nun mit 50Gbit geDDOSed werden, die IP des DDOSers aber bereits über iptables geblockt ist, ist die Leitung dennoch überfüllt?
Oder müsste ich den Traffic weiterleiten, um eine Überfüllung der Bandbreite auszuschließen?
Bin mir sicher, es weiß wer eine Antwort :D
LG & schönen Abend noch,
Sebi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292648
Url: https://administrator.de/contentid/292648
Printed on: April 25, 2024 at 01:04 o'clock
11 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @sebastian2608:
Angenommen wir verfügen über eine 10Gbit Leitung, wo eine Firewall vorgeschalten ist - Wenn wir nun mit 50Gbit
Äh? Du hast doch nur eine 10 GBit/S Leitung.Angenommen wir verfügen über eine 10Gbit Leitung, wo eine Firewall vorgeschalten ist - Wenn wir nun mit 50Gbit
die IP des DDOSers aber bereits über iptables geblockt ist
Eure Firewall oder des ISP?ist die Leitung dennoch überfüllt?
Naja, bei 10 GBit/S ist eh Schluss, aber Surfen tust du nicht mehr.Oder müsste ich den Traffic weiterleiten, um eine Überfüllung der Bandbreite auszuschließen?
?!?Gruß,
Peter
Dank für Deine Antwort.
Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Hallo,
Gruß,
Peter
Zitat von @sebastian2608:
Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Wenn deine Firewall korrekt arbeitet, nicht zusammenbricht oder fehlerhaft konfiguriert ist oder deren OS sich nicht aus den tritt bringen lässt, ist dein LAN dahinter von dein DDOS unbeeindruckt. Surfen allerdings wird wohl nichts... Solltet ihr Dienste ins Internet anbieten, die haben dann pause.....Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Gruß,
Peter
Zitat von @sebastian2608:
Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Wenn der Angreifer Deine 10Gbps-Leitung mit 50Gbps befüllen kann, kanns Du an Deinem Ende der leitung treiben was Du willst, Deine Leitung ist dicht, wenn Du die Pakete die Du bekommst, erst an Deinem Ende wegwirfst.
Um effektiv zu sein, mußt Du die Pakete auf der providerseite wegwerfen, damit die erst gar nocht in Deine Leitung kommen. Ergo:
Nur Dein ISP kann dafür sorgen, daß der Angreifer mit seinen 50Gbps Deien Leitung nicht dichtmacht.
lks
Hi,
genau das ist das Problem...
Gibt es eine realisierbare Möglichkeit, den DDOS Traffic ohne eine beeinträchtigung des Netzwerkes umzuleiten?
Vielleicht fehlt mir da das nötige logische denken, denn bis jetzt habe ich noch keine Möglichkeit gefunden...
LG
genau das ist das Problem...
Gibt es eine realisierbare Möglichkeit, den DDOS Traffic ohne eine beeinträchtigung des Netzwerkes umzuleiten?
Vielleicht fehlt mir da das nötige logische denken, denn bis jetzt habe ich noch keine Möglichkeit gefunden...
LG
Zitat von @sebastian2608:
Gibt es eine realisierbare Möglichkeit, den DDOS Traffic ohne eine beeinträchtigung des Netzwerkes umzuleiten?
Gibt es eine realisierbare Möglichkeit, den DDOS Traffic ohne eine beeinträchtigung des Netzwerkes umzuleiten?
Sprich mit Deinem ISP. Der kann dafür sorgen, daß der DDOS-traffic nicht zu Dir durchschlägt. Sobald der traffic in Deine Leitung gespeist wird, hast Du verloren.
Vielleicht fehlt mir da das nötige logische denken, denn bis jetzt habe ich noch keine Möglichkeit gefunden...
Du mußt die Türsteher der Disco vor der Tür aufstellen und nicht hinter der Tür.
lks
2
Eure Firewall kann da wenig ausrichten - denn der Traffic kommt ja bis zur Firewall und blockiert damit eure Anbindung.
Es gibt ggf. seitens deines Providers die Möglichkeit, die Ziel-IP-Adresse - automatisch oder manuell - per Blackhole-Route zu blockieren.
Wenn ihr die Routen per BGP selbst verwaltet gibt es ggf. auch die Möglichkeit eine solche Route mit den passenden Communities selbst zu advertisen und damit den Traffic erstmal von der Leitung zu bekommen. Wenn die Leitung aber tatsächlich dicht ist, werden vermutlich auch eure BGP-Sessions zusammenbrechen, wenn diese mit der QoS oder ToS priorisiert werden.
Im Falle einer zusammenfallenden BGP-Session wäre der Traffic von der Leitung aber immerhin auch erstmal runter...
Es gibt ggf. seitens deines Providers die Möglichkeit, die Ziel-IP-Adresse - automatisch oder manuell - per Blackhole-Route zu blockieren.
Wenn ihr die Routen per BGP selbst verwaltet gibt es ggf. auch die Möglichkeit eine solche Route mit den passenden Communities selbst zu advertisen und damit den Traffic erstmal von der Leitung zu bekommen. Wenn die Leitung aber tatsächlich dicht ist, werden vermutlich auch eure BGP-Sessions zusammenbrechen, wenn diese mit der QoS oder ToS priorisiert werden.
Im Falle einer zusammenfallenden BGP-Session wäre der Traffic von der Leitung aber immerhin auch erstmal runter...
Wenn der Angreifer Deine 10Gbps-Leitung mit 50Gbps befüllen kann,
Dann wäre das zuallererst mal ein technisches Wunder !!!Nur so viel... Kollege Pjordorf hat Recht. Wenn die Firewall leistungsfähig und richtig konfiguriert ist rennt so ein DDoS ins Leere. Solche FWs können auf ein SYN des DDoS immer ein ACK senden und damit timen dann die TCP Sessions aus beim Angreifer und rennen ins Leere.
Man kann dann gemütlich weitersurfen und BGP rennt auch noch.
Bei 10G erfordert das aber natürlich auch entsprechende HW die das kann.
Zitat von @aqui:
Nur so viel... Kollege Pjordorf hat Recht. Wenn die Firewall leistungsfähig und richtig konfiguriert ist rennt so ein DDoS ins Leere. Solche FWs können auf ein SYN des DDoS immer ein ACK senden und damit timen dann die TCP Sessions aus beim Angreifer und rennen ins Leere.
Nur so viel... Kollege Pjordorf hat Recht. Wenn die Firewall leistungsfähig und richtig konfiguriert ist rennt so ein DDoS ins Leere. Solche FWs können auf ein SYN des DDoS immer ein ACK senden und damit timen dann die TCP Sessions aus beim Angreifer und rennen ins Leere.
Wenn man dich mit 50Gbps UDP-Traffic (z.B. DNS-Amplification, NTP-Reflection...) bewirft, hilft dir die Firewall mal garnicht. Von den 50G kommen natürlich nur die 10G, die durch die Leitung passen bei dir an - aber selbst wenn die Firewall fleißig alle Pakete verwirft, bleibt die Anbindung zumindest eingehend mit 10G befüllt und es passt auch sonst nichts mehr durch.
Bei so "trivialen" Sachen wie SSYN oder kleineren Attacken mit nur 2-3 Gbps Bandbreite hilft es dir natürlich wenn die Firewall vorfiltert und das dahinter liegende System (i.d.R. nicht mehr als 1G Anbindung) nicht verstopft. Dafür braucht die dann aber in der Tat auch genug Fuffu, wobei das sogar ein kleines Linux auf einer Intel-Atom-CPU mit zwei vernünftigen Netzwerkadaptern hinbekommen könnte.
UDP ist natürlich schlecht...das stimmt
Sinnvoll wäre hier ein SDN fähiger Router der Openflow supportet. Mit einem Flow Analyzer wie z.B. Opendaylight würde man sowas analysieren können und kann dann dynamisch auf sowas reagieren.
Aktuelle Gerätschaften die 10G supporten mit aktueller Technik sind fast alle Openflow fähig, damit wäre es dann ein leichtes auch das in den Griff zu bekommen mit dynamischen Rate Limiting oder der Routing Umleitung ans NUL Interface.
Sinnvoll musste man sowas aber am Provider Übergang direkt machen. Wenn sich das erst noch über eine Glasfaser quält zu deinem Router nützt das auch nix...das st richtig.
Sinnvoll wäre hier ein SDN fähiger Router der Openflow supportet. Mit einem Flow Analyzer wie z.B. Opendaylight würde man sowas analysieren können und kann dann dynamisch auf sowas reagieren.
Aktuelle Gerätschaften die 10G supporten mit aktueller Technik sind fast alle Openflow fähig, damit wäre es dann ein leichtes auch das in den Griff zu bekommen mit dynamischen Rate Limiting oder der Routing Umleitung ans NUL Interface.
Sinnvoll musste man sowas aber am Provider Übergang direkt machen. Wenn sich das erst noch über eine Glasfaser quält zu deinem Router nützt das auch nix...das st richtig.
Zitat von @aqui:
Wenn der Angreifer Deine 10Gbps-Leitung mit 50Gbps befüllen kann,
Dann wäre das zuallererst mal ein technisches Wunder !!!Nunja, ist etwas flapsig ausgedrückt, aber gibt im wesentlichen das wieder, wovon der TO ausgeht. Ist ungefähr so, wie wenn man einen entwässerungskanel der 10cbm/s aufnehmen kann mit 50cbm/s befüllt.
was zuviel ist läuft über. Nur daß halt beim Datenverkehr einfach der providerrouter die übrscüssigen datenpakete wegwirft.Läuft ja in wesentlichen darauf hinaus, daß der downlink "dicht" ist, was dann auch die beste Firewall am Kundenende nicht verhindern kann. Wie ich (und andere) schon schrieben, muß am "Providerende" vorsortiert werden, was in die Leitung darf, um Probleme zu verhindern.
lks
