Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Netz bei geblockter IP überfüllt?

Mitglied: sebastian2608

sebastian2608 (Level 1) - Jetzt verbinden

09.01.2016, aktualisiert 22:39 Uhr, 1670 Aufrufe, 11 Kommentare, 1 Danke

Abend´ Leute,

und zwar hätte ich heute mal eine theorätische Frage;
Angenommen wir verfügen über eine 10Gbit Leitung, wo eine Firewall vorgeschalten ist - Wenn wir nun mit 50Gbit geDDOSed werden, die IP des DDOSers aber bereits über iptables geblockt ist, ist die Leitung dennoch überfüllt?

Oder müsste ich den Traffic weiterleiten, um eine Überfüllung der Bandbreite auszuschließen?

Bin mir sicher, es weiß wer eine Antwort :D

LG & schönen Abend noch,
Sebi
Mitglied: Pjordorf
09.01.2016 um 22:21 Uhr
Hallo,

Zitat von sebastian2608:
Angenommen wir verfügen über eine 10Gbit Leitung, wo eine Firewall vorgeschalten ist - Wenn wir nun mit 50Gbit
Äh? Du hast doch nur eine 10 GBit/S Leitung.

die IP des DDOSers aber bereits über iptables geblockt ist
Eure Firewall oder des ISP?

ist die Leitung dennoch überfüllt?
Naja, bei 10 GBit/S ist eh Schluss, aber Surfen tust du nicht mehr.

Oder müsste ich den Traffic weiterleiten, um eine Überfüllung der Bandbreite auszuschließen?
?!?

Gruß,
Peter
Bitte warten ..
Mitglied: sebastian2608
09.01.2016 um 22:24 Uhr
Dank für Deine Antwort.

Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 09.01.2016, aktualisiert um 22:39 Uhr
Hallo,

Zitat von sebastian2608:
Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.
Wenn deine Firewall korrekt arbeitet, nicht zusammenbricht oder fehlerhaft konfiguriert ist oder deren OS sich nicht aus den tritt bringen lässt, ist dein LAN dahinter von dein DDOS unbeeindruckt. Surfen allerdings wird wohl nichts... Solltet ihr Dienste ins Internet anbieten, die haben dann pause.....

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
09.01.2016 um 22:31 Uhr
Zitat von sebastian2608:

Es geht darum das wir eine 10Gbit Leitung haben, und den Traffic so über die DDOS Firewall abwehren wollen, dass das Netzwerk hinterhalb nicht in Beeintrechtigung gezogen wird.


Wenn der Angreifer Deine 10Gbps-Leitung mit 50Gbps befüllen kann, kanns Du an Deinem Ende der leitung treiben was Du willst, Deine Leitung ist dicht, wenn Du die Pakete die Du bekommst, erst an Deinem Ende wegwirfst.

Um effektiv zu sein, mußt Du die Pakete auf der providerseite wegwerfen, damit die erst gar nocht in Deine Leitung kommen. Ergo:

Nur Dein ISP kann dafür sorgen, daß der Angreifer mit seinen 50Gbps Deien Leitung nicht dichtmacht.

lks
Bitte warten ..
Mitglied: sebastian2608
09.01.2016 um 22:31 Uhr
Hi,

genau das ist das Problem...
Gibt es eine realisierbare Möglichkeit, den DDOS Traffic ohne eine beeinträchtigung des Netzwerkes umzuleiten?

Vielleicht fehlt mir da das nötige logische denken, denn bis jetzt habe ich noch keine Möglichkeit gefunden...

LG
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 09.01.2016, aktualisiert um 22:39 Uhr
Zitat von sebastian2608:

Gibt es eine realisierbare Möglichkeit, den DDOS Traffic ohne eine beeinträchtigung des Netzwerkes umzuleiten?

Sprich mit Deinem ISP. Der kann dafür sorgen, daß der DDOS-traffic nicht zu Dir durchschlägt. Sobald der traffic in Deine Leitung gespeist wird, hast Du verloren.


Vielleicht fehlt mir da das nötige logische denken, denn bis jetzt habe ich noch keine Möglichkeit gefunden...

Du mußt die Türsteher der Disco vor der Tür aufstellen und nicht hinter der Tür.

lks
Bitte warten ..
Mitglied: LordGurke
10.01.2016, aktualisiert um 02:51 Uhr
Eure Firewall kann da wenig ausrichten - denn der Traffic kommt ja bis zur Firewall und blockiert damit eure Anbindung.

Es gibt ggf. seitens deines Providers die Möglichkeit, die Ziel-IP-Adresse - automatisch oder manuell - per Blackhole-Route zu blockieren.
Wenn ihr die Routen per BGP selbst verwaltet gibt es ggf. auch die Möglichkeit eine solche Route mit den passenden Communities selbst zu advertisen und damit den Traffic erstmal von der Leitung zu bekommen. Wenn die Leitung aber tatsächlich dicht ist, werden vermutlich auch eure BGP-Sessions zusammenbrechen, wenn diese mit der QoS oder ToS priorisiert werden.
Im Falle einer zusammenfallenden BGP-Session wäre der Traffic von der Leitung aber immerhin auch erstmal runter...
Bitte warten ..
Mitglied: aqui
10.01.2016 um 15:56 Uhr
Wenn der Angreifer Deine 10Gbps-Leitung mit 50Gbps befüllen kann,
Dann wäre das zuallererst mal ein technisches Wunder !!!
Nur so viel... Kollege Pjordorf hat Recht. Wenn die Firewall leistungsfähig und richtig konfiguriert ist rennt so ein DDoS ins Leere. Solche FWs können auf ein SYN des DDoS immer ein ACK senden und damit timen dann die TCP Sessions aus beim Angreifer und rennen ins Leere.
Man kann dann gemütlich weitersurfen und BGP rennt auch noch.
Bei 10G erfordert das aber natürlich auch entsprechende HW die das kann.
Bitte warten ..
Mitglied: LordGurke
10.01.2016 um 16:12 Uhr
Zitat von aqui:
Nur so viel... Kollege Pjordorf hat Recht. Wenn die Firewall leistungsfähig und richtig konfiguriert ist rennt so ein DDoS ins Leere. Solche FWs können auf ein SYN des DDoS immer ein ACK senden und damit timen dann die TCP Sessions aus beim Angreifer und rennen ins Leere.

Wenn man dich mit 50Gbps UDP-Traffic (z.B. DNS-Amplification, NTP-Reflection...) bewirft, hilft dir die Firewall mal garnicht. Von den 50G kommen natürlich nur die 10G, die durch die Leitung passen bei dir an - aber selbst wenn die Firewall fleißig alle Pakete verwirft, bleibt die Anbindung zumindest eingehend mit 10G befüllt und es passt auch sonst nichts mehr durch.

Bei so "trivialen" Sachen wie SSYN oder kleineren Attacken mit nur 2-3 Gbps Bandbreite hilft es dir natürlich wenn die Firewall vorfiltert und das dahinter liegende System (i.d.R. nicht mehr als 1G Anbindung) nicht verstopft. Dafür braucht die dann aber in der Tat auch genug Fuffu, wobei das sogar ein kleines Linux auf einer Intel-Atom-CPU mit zwei vernünftigen Netzwerkadaptern hinbekommen könnte.
Bitte warten ..
Mitglied: aqui
10.01.2016, aktualisiert um 16:19 Uhr
UDP ist natürlich schlecht...das stimmt
Sinnvoll wäre hier ein SDN fähiger Router der Openflow supportet. Mit einem Flow Analyzer wie z.B. Opendaylight würde man sowas analysieren können und kann dann dynamisch auf sowas reagieren.
Aktuelle Gerätschaften die 10G supporten mit aktueller Technik sind fast alle Openflow fähig, damit wäre es dann ein leichtes auch das in den Griff zu bekommen mit dynamischen Rate Limiting oder der Routing Umleitung ans NUL Interface.
Sinnvoll musste man sowas aber am Provider Übergang direkt machen. Wenn sich das erst noch über eine Glasfaser quält zu deinem Router nützt das auch nix...das st richtig.
Bitte warten ..
Mitglied: Lochkartenstanzer
11.01.2016 um 09:40 Uhr
Zitat von aqui:

Wenn der Angreifer Deine 10Gbps-Leitung mit 50Gbps befüllen kann,
Dann wäre das zuallererst mal ein technisches Wunder !!!

Nunja, ist etwas flapsig ausgedrückt, aber gibt im wesentlichen das wieder, wovon der TO ausgeht. Ist ungefähr so, wie wenn man einen entwässerungskanel der 10cbm/s aufnehmen kann mit 50cbm/s befüllt. was zuviel ist läuft über. Nur daß halt beim Datenverkehr einfach der providerrouter die übrscüssigen datenpakete wegwirft.

Läuft ja in wesentlichen darauf hinaus, daß der downlink "dicht" ist, was dann auch die beste Firewall am Kundenende nicht verhindern kann. Wie ich (und andere) schon schrieben, muß am "Providerende" vorsortiert werden, was in die Leitung darf, um Probleme zu verhindern.

lks
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Ping wird geblockt
gelöst Frage von bk900042Windows Netzwerk56 Kommentare

Hallo Leute, habe ein Problem, daß ein Kunde einen Service, der auf einem Windows VPS läuft, nicht nutzen kann, ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar
Frage von guntisLAN, WAN, Wireless20 Kommentare

Hallo, ich habe seit einigen Tagen das Problem das ich mit einem Rechner eine IP-Kamera im privaten Netz nicht ...

Windows Server
VBS am Terminalserver geblockt
Frage von ChrisDynamiteWindows Server2 Kommentare

Guten Tag, nachdem ich nun seit 7:30 Uhr den Fehler suche bitte ich um Hilfe im Forum. Wir haben ...

Windows Netzwerk

Zugriff auf Server 2003 außerhalb IP Netz

Frage von Martin12671Windows Netzwerk6 Kommentare

Hallo, ich benötige Hilfe bei der Herstellung einer Verbindung zwischen 2 Netzwerken. Ich möchte den Office PC Win7 (Client) ...

Neue Wissensbeiträge
Windows 10

Aus der Reihe "Windows 10 und der Datenschutz"

Information von Trontur vor 1 StundeWindows 10

"Unter dem Druck der Datenschutz-Grundverordnung (DSGVO) kommt Microsoft den europäischen Kunden peu à peu entgegen. Wenn sich Windows 10 ...

Linux Userverwaltung

Samba-ActiveDirectory mit FreeRADIUS, CheckMK, Nextcloud, OpenVPN, ProxmoxVE und mehr

Anleitung von BinaryBear vor 20 StundenLinux Userverwaltung

Ich habe die letzten Wochen (Monate) damit verbracht mit in das Thema ActiveDirectory und Samba einzuarbeiten. Dabei habe ich ...

Verschlüsselung & Zertifikate

Extended Validation Certificates are (Really, Really) Dead

Information von Dani vor 3 TagenVerschlüsselung & Zertifikate

Moin all, sehr interessanter Artikel zu EV SSL/TLS- Zertifikate von Troy Hunt: Gruß, Dani

Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 5 TagenHumor (lol)8 Kommentare

Nun auch schon über den WSUS:

Heiß diskutierte Inhalte
VB for Applications
VBScript: Einzelne Zeile in einer Datei ersetzen (restlicher Inhalt bleibt unangetastet)
Frage von GizmotroniXVB for Applications24 Kommentare

Hallo zusammen, ich versuche seit 3 Tagen für einen speziellen Anwendungsfall in unserem Unternehmen ein Script zu erstellen. Ich ...

Hosting & Housing
IPv4 Dienst im IPv6 Netzwerk
gelöst Frage von Jumper205Hosting & Housing19 Kommentare

Hallo Zusammen, ich benötige mal euer schwarm Wissen. Ich wurde vor einiger Zeit auf einen Deutsche Glasfaser Anschluss umgestellt. ...

Windows 10
Daten auf SSD verschwunden
Frage von m.riefWindows 1015 Kommentare

Guten Abend, Ich habe heute ein Notebook neu installiert da die Festplatte Probleme machte. Nun ist Windows 10 1909 ...

Outlook & Mail
Outlook Profile 2019
Frage von AkcentOutlook & Mail15 Kommentare

Hallo, vor Outlook 2019 konnte man unter der Systemsteuerung noch die Outlook Profile und Mailkonten ohne Outlook zu starten ...