Server Proxy gegen DDoS
Hallo,
ich möchte gerne Server A vor einem Angriff schützen und Server B davor schalten. Ist es möglich ein IP Proxy zu betreiben? Also dass man keine Weiterleitung macht sondern wenn man bspw. den DNS von Server B abfragt, dass der Server B hingeht diese anfrage an Server A weitergibt, beantwortet und an Server B zurückleitet. Ist das möglich?
Gruß
spcvlt
ich möchte gerne Server A vor einem Angriff schützen und Server B davor schalten. Ist es möglich ein IP Proxy zu betreiben? Also dass man keine Weiterleitung macht sondern wenn man bspw. den DNS von Server B abfragt, dass der Server B hingeht diese anfrage an Server A weitergibt, beantwortet und an Server B zurückleitet. Ist das möglich?
Gruß
spcvlt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283381
Url: https://administrator.de/forum/server-proxy-gegen-ddos-283381.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
Du meinst vermutlich einen Reverse Proxy weil dort bei dir Serverdienste angeboten werden sollen, oder?
Gruß,
Peter
Du meinst vermutlich einen Reverse Proxy weil dort bei dir Serverdienste angeboten werden sollen, oder?
Gruß,
Peter
Hallo,
ja und nein. Man kann schon einen Rechner davor schalten nur bringt dir das auf IP Basis nicht's.
Ein Reverse Proxy muss ja im endeffekt die Anfragen "verstehen" und darf sie ja nicht blind weiterleiten sonst hast du keinen Sicherheitseffekt.
Und da auf IP Basis alles möglich kommen kann funktioniert das so nicht.
ja und nein. Man kann schon einen Rechner davor schalten nur bringt dir das auf IP Basis nicht's.
Ein Reverse Proxy muss ja im endeffekt die Anfragen "verstehen" und darf sie ja nicht blind weiterleiten sonst hast du keinen Sicherheitseffekt.
Und da auf IP Basis alles möglich kommen kann funktioniert das so nicht.
Hallo,
erst einmal wäre es gut zu wissen welche Art Angriff denn abgewehrt werden soll bzw. muss.
Denn eine DDoS Attacke mit 5.000 Klienten über NTP oder DNS Server kann man nicht nur
mittels eines Proxy-Servers abwehren. Und vor allen Dingen was für andere Geräte sind
denn noch vorhanden, wie zum beispiel Router, Firewalls, Switche und andere Geräte?
Ein bisschen genauer sollte es schon sein von den Informationen her, denn sonst
wird es mit der Hilfe recht schlecht. und es ist ja Dein Problem, nicht unseres.
Gruß
Dobby
erst einmal wäre es gut zu wissen welche Art Angriff denn abgewehrt werden soll bzw. muss.
Denn eine DDoS Attacke mit 5.000 Klienten über NTP oder DNS Server kann man nicht nur
mittels eines Proxy-Servers abwehren. Und vor allen Dingen was für andere Geräte sind
denn noch vorhanden, wie zum beispiel Router, Firewalls, Switche und andere Geräte?
Ein bisschen genauer sollte es schon sein von den Informationen her, denn sonst
wird es mit der Hilfe recht schlecht. und es ist ja Dein Problem, nicht unseres.
Gruß
Dobby
Also es ich würde mich gerne vor einer DDoS Attacke schützen.
Dann solltest Du Dich einmal nach einem Hoster umschauen derauch einen nicht gerade günstigen DDoS Schutz anbietet.
Jedoch wäre es nicht nur DNS sondern auch bspw. ein Gameserver, etc.
Habt Ihr einen DNS Server selber aufgesetzt und am laufen?Oder wie war das gemeint?
Das wären beide KVM virtualisierte Server.
Und wo bei Dir zu Hause oder einem Hoster?Um sich oder seine Firma recht gut vor einer DDoS Attacke zu schützen
braucht es mehr als nur einen Proxy-Server vor dem Game Server.
Eine der Firmen die solche Geräte herstellen ist Corero und die haben so
etwas im Programm für kleine ISPs, Hoster, Cloud und CDN Anbieter,
und diese Geräte der Klasse SmartWall TDS gehen so bei $250.000 los
für eine 40 GBit/s Konfiguration und ein Jahr Management und Analyse
danach müssen neue Lizenzen für ca. $18.000 gelöst werden!
Also das wird nichts billiges bei einem Hoster der so einen Schutz mit
anbietet. Und die Geräteklassen für die andere Seite wie on-premise,
also der Kundenseite auf der auch Du stehst, sind ähnlich zu bezahlen.
Vielleicht nicht ganz so teuer aber sieh mal selber:
Corero DDoS Defense System (DDS) ab;
- 300 MBit/s Durchsatz ~$25.000
- 600 MBit/s Durchsatz ~$35.000
- 1 GBit/s Durchsatz ~$44.000
- 2 GBit/s Durchsatz ~$55.000
- 10 GBit/s Durchsatz ~$135.000
und diese Appliance steht dann vor Deiner Firewall und fängt alles ab, bevor es Dein Netzwerk erreicht. Also ich denke das mit dem Hoster sollte man schon einmal näher
ins Auge fassen, denn alles andere ist nur Augenwischerei oder kannst Du Dir nicht
leisten. Sicherlich haben auch andere Anbieter so etwas im Programm nur auch die
wollen an dem schönen DDoS Zug etwas verdienen oder aufspringen und Geld reißen.
F5 ist ein weiterer solcher Anbieter.
Gruß
Dobby
Hallo,
in dem von mir vermuteten Preisrahmen wirst Du leider die Eier legende Wollmichsau nicht finden.
Die haben wir alle schon gesucht und nicht gefunden.
Es gibt halt nicht die Möglichkeit einen Universal-Proxy zu installieren, der
1) alle Protokolle spricht (http, https, ftp, imap, pop3, dns, Minecraft, CSS, Teamspeak, etc)
2) alle Arten von Angriffen erkennt und intelligent abwehrt
3) bezahlbar ist.
Konkrete Anforderung * verfügbares Finazkraft = mögliche Lösung.
VIele Grüße
Stefan Kittel
in dem von mir vermuteten Preisrahmen wirst Du leider die Eier legende Wollmichsau nicht finden.
Die haben wir alle schon gesucht und nicht gefunden.
Es gibt halt nicht die Möglichkeit einen Universal-Proxy zu installieren, der
1) alle Protokolle spricht (http, https, ftp, imap, pop3, dns, Minecraft, CSS, Teamspeak, etc)
2) alle Arten von Angriffen erkennt und intelligent abwehrt
3) bezahlbar ist.
Konkrete Anforderung * verfügbares Finazkraft = mögliche Lösung.
VIele Grüße
Stefan Kittel
alle Arten von Angriffen erkennt und intelligent abwehrt
Das erkläre uns doch bitte einmal wie das funktionieren soll.Gruß
Dobby
Moin,
ein ReverseProxy bringt in dem Fall nur etwas, dass dieser im Worst Case down geht und nicht der eigentliche Server. Ist dein Server mit 1GBit/s angebunden, so wird die DDoS diesen Uplink komplett auslasten und somit ist keiner deiner Services mehr erreichbar. Daher werden DDoS Appliances am Besten an Netzwerkübergängen plaiziert, wo ausreichend Bandbreite vorhanden ist. Es gibt einen Hoster mit 3 Buchstaben, welcher bei bestimmten Produkten eine DDoS Protection inbegriffen ist.
Gruß,
Dani
ein ReverseProxy bringt in dem Fall nur etwas, dass dieser im Worst Case down geht und nicht der eigentliche Server. Ist dein Server mit 1GBit/s angebunden, so wird die DDoS diesen Uplink komplett auslasten und somit ist keiner deiner Services mehr erreichbar. Daher werden DDoS Appliances am Besten an Netzwerkübergängen plaiziert, wo ausreichend Bandbreite vorhanden ist. Es gibt einen Hoster mit 3 Buchstaben, welcher bei bestimmten Produkten eine DDoS Protection inbegriffen ist.
Gruß,
Dani