spcvlt
Goto Top

Server Proxy gegen DDoS

Hallo,

ich möchte gerne Server A vor einem Angriff schützen und Server B davor schalten. Ist es möglich ein IP Proxy zu betreiben? Also dass man keine Weiterleitung macht sondern wenn man bspw. den DNS von Server B abfragt, dass der Server B hingeht diese anfrage an Server A weitergibt, beantwortet und an Server B zurückleitet. Ist das möglich?

Gruß
spcvlt

Content-ID: 283381

Url: https://administrator.de/forum/server-proxy-gegen-ddos-283381.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

Pjordorf
Pjordorf 19.09.2015 um 20:49:42 Uhr
Goto Top
Hallo,

Zitat von @spcvlt:
Ist das möglich?
Du meinst vermutlich einen Reverse Proxy weil dort bei dir Serverdienste angeboten werden sollen, oder?

Gruß,
Peter
spcvlt
spcvlt 19.09.2015 um 20:57:18 Uhr
Goto Top
Es war nur ein Beispiel kann auch bspw. ein Gameserver sein, etc.
wiesi200
wiesi200 19.09.2015 um 21:26:39 Uhr
Goto Top
Hallo,

ja und nein. Man kann schon einen Rechner davor schalten nur bringt dir das auf IP Basis nicht's.
Ein Reverse Proxy muss ja im endeffekt die Anfragen "verstehen" und darf sie ja nicht blind weiterleiten sonst hast du keinen Sicherheitseffekt.
Und da auf IP Basis alles möglich kommen kann funktioniert das so nicht.
108012
108012 19.09.2015 um 21:31:18 Uhr
Goto Top
Hallo,

erst einmal wäre es gut zu wissen welche Art Angriff denn abgewehrt werden soll bzw. muss.
Denn eine DDoS Attacke mit 5.000 Klienten über NTP oder DNS Server kann man nicht nur
mittels eines Proxy-Servers abwehren. Und vor allen Dingen was für andere Geräte sind
denn noch vorhanden, wie zum beispiel Router, Firewalls, Switche und andere Geräte?

Ein bisschen genauer sollte es schon sein von den Informationen her, denn sonst
wird es mit der Hilfe recht schlecht. und es ist ja Dein Problem, nicht unseres.

Gruß
Dobby
spcvlt
spcvlt 19.09.2015 um 21:39:09 Uhr
Goto Top
Also es ich würde mich gerne vor einer DDoS Attacke schützen. Jedoch wäre es nicht nur DNS sondern auch bspw. ein Gameserver, etc. Das wären beide KVM virtualisierte Server.
certifiedit.net
certifiedit.net 19.09.2015 um 21:47:42 Uhr
Goto Top
Was für ein Server ist es? Was für ein Budget? Was für eine Dimension?

VG
spcvlt
spcvlt 19.09.2015 um 21:50:26 Uhr
Goto Top
Es handelt sich hier um zwei KVM virtualisierte Server. Budget liegt bei 100-200 Euro. Und DDoS bis ca. 1Gbit.
108012
108012 19.09.2015 um 22:14:36 Uhr
Goto Top
Also es ich würde mich gerne vor einer DDoS Attacke schützen.
Dann solltest Du Dich einmal nach einem Hoster umschauen der
auch einen nicht gerade günstigen DDoS Schutz anbietet.

Jedoch wäre es nicht nur DNS sondern auch bspw. ein Gameserver, etc.
Habt Ihr einen DNS Server selber aufgesetzt und am laufen?
Oder wie war das gemeint?

Das wären beide KVM virtualisierte Server.
Und wo bei Dir zu Hause oder einem Hoster?

Um sich oder seine Firma recht gut vor einer DDoS Attacke zu schützen
braucht es mehr als nur einen Proxy-Server vor dem Game Server.

Eine der Firmen die solche Geräte herstellen ist Corero und die haben so
etwas im Programm für kleine ISPs, Hoster, Cloud und CDN Anbieter,
und diese Geräte der Klasse SmartWall TDS gehen so bei $250.000 los
für eine 40 GBit/s Konfiguration und ein Jahr Management und Analyse
danach müssen neue Lizenzen für ca. $18.000 gelöst werden!

Also das wird nichts billiges bei einem Hoster der so einen Schutz mit
anbietet. Und die Geräteklassen für die andere Seite wie on-premise,
also der Kundenseite auf der auch Du stehst, sind ähnlich zu bezahlen.

Vielleicht nicht ganz so teuer aber sieh mal selber:
Corero DDoS Defense System (DDS) ab;
- 300 MBit/s Durchsatz ~$25.000
- 600 MBit/s Durchsatz ~$35.000
- 1 GBit/s Durchsatz ~$44.000
- 2 GBit/s Durchsatz ~$55.000
- 10 GBit/s Durchsatz ~$135.000

und diese Appliance steht dann vor Deiner Firewall und fängt alles ab, bevor es Dein Netzwerk erreicht. Also ich denke das mit dem Hoster sollte man schon einmal näher
ins Auge fassen, denn alles andere ist nur Augenwischerei oder kannst Du Dir nicht
leisten. Sicherlich haben auch andere Anbieter so etwas im Programm nur auch die
wollen an dem schönen DDoS Zug etwas verdienen oder aufspringen und Geld reißen.
F5 ist ein weiterer solcher Anbieter.

Gruß
Dobby
StefanKittel
StefanKittel 19.09.2015 aktualisiert um 23:42:26 Uhr
Goto Top
Hallo,

in dem von mir vermuteten Preisrahmen wirst Du leider die Eier legende Wollmichsau nicht finden.
Die haben wir alle schon gesucht und nicht gefunden.

Es gibt halt nicht die Möglichkeit einen Universal-Proxy zu installieren, der
1) alle Protokolle spricht (http, https, ftp, imap, pop3, dns, Minecraft, CSS, Teamspeak, etc)
2) alle Arten von Angriffen erkennt und intelligent abwehrt
3) bezahlbar ist.

Konkrete Anforderung * verfügbares Finazkraft = mögliche Lösung.

VIele Grüße

Stefan Kittel
108012
108012 20.09.2015 um 02:53:13 Uhr
Goto Top
alle Arten von Angriffen erkennt und intelligent abwehrt
Das erkläre uns doch bitte einmal wie das funktionieren soll.

Gruß
Dobby
certifiedit.net
certifiedit.net 20.09.2015 um 06:15:04 Uhr
Goto Top
Hallo,

pass bitte den Titel der Anfrage an (Schreibfehler) + Konkretisier dies auf DDOS Prevention.

Ferner wirst du bemerken, dass du mit dem Budget nicht viel reisen wirst.

VG
Dani
Dani 20.09.2015 um 11:28:22 Uhr
Goto Top
Moin,
ein ReverseProxy bringt in dem Fall nur etwas, dass dieser im Worst Case down geht und nicht der eigentliche Server. Ist dein Server mit 1GBit/s angebunden, so wird die DDoS diesen Uplink komplett auslasten und somit ist keiner deiner Services mehr erreichbar. Daher werden DDoS Appliances am Besten an Netzwerkübergängen plaiziert, wo ausreichend Bandbreite vorhanden ist. Es gibt einen Hoster mit 3 Buchstaben, welcher bei bestimmten Produkten eine DDoS Protection inbegriffen ist.


Gruß,
Dani