0perator
Goto Top

Wirksamer Schutz gegen DDoS (SYN-Flood)

Meine Lösungsansätze - was meint ihr?

Guten Abend liebe Community,

ich administriere zur Zeit ein größere vBulletin Forum mit mehr als 300.000 Pageviews/Tag. Seit geraumer Zeit werden wir von SYN-Flood Attacken belästigt und sind deshalb zu einem US-Anbieter gewechselt (Gigeservers), leider bietet dieser keinen ausreichenden Schutz gegen diese Art von Flood. Der Anbieter bietet zwar eine Lösung an, diese kostet uns jedoch 1000$ pro Monat was absolut über unserem Budget liegt. Sobald das Netzwerk dieses Anbieter SYN-Flood verzeichnet wird unsere IP null gerouted, d.h. wir haben garkeine Lösung den Flood von unseren Server aus zu stoppen. Wir werden nun alle paar Minuten einfach null gerouted und sind deswegen kaum erreichbar.

Nun habe ich mir folgendes Überlegt:
Wir nehmen uns eine Hand voll Webspacepakete bei größeren Anbietern (Namecheap, Hostgator etc.) und setzen dort nur eine auf HTML-basierende Eingangsseite auf. Der Besucher kann dann über über diese Seite in unser Forum gelangen. So bleibt der eigentliche Server außen vor und es werden nur Verbindung aktzeptiert die von den Webspacepaketen kommen.

Nun meine Frage:
Sobald unsere Domain geflooded wird und dieser Flood zu stark wird, wird der Webhoster sicherlich das Webspacepaket der Willkommenseite abschalten um die anderen Clienten auf der Maschine zu schützen - in diesem Falle soll automatisch das nächste Webspacepaket benutzt werden um die Besucher zum Forum zu leiten. Gibt es einen DNS-Service der so etwas antbietet? Hat mein Lösungsansatz überhaupt einen Sinn? Vielleicht hat ja jemand so etwas ähnlich schon ausprobiert?!

Hoffe auf eure Antworten denn ich bin wirklich Ratlos...
Danke im Vorraus

Gruß

Content-ID: 104636

Url: https://administrator.de/contentid/104636

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

aqui
aqui 22.12.2008 um 20:12:02 Uhr
Goto Top
Das ist sinnlos was du dir da ausgedacht hast denn Angreifer scheren sich nicht um euren Domain Namen.
Dart werden rieseg IP Bereiche mit Port Scannern malträtiert und so finden sie mit Sicherheit auch den wahren Server und seine IP...das ist also Unsinn.

Per SW gibt es nicht wirklich einen Schutz. Siehe:
http://www.cert.org/advisories/CA-1996-21.html

Das einzig wirksame ist du investierst in Hardware und schaltest einen Server Load Balancer vor deinen Server wie z.B. einen von F5 oder einen ServerIron von Foundry Networks.
Das reicht wenn das das kleinste Modell ist. Kostet dich zwar auch etwas aber nur einmal und schützt absolut zuverlässig vor SYN Flooding und nicht nur das sondern auch vor anderen Attacken.
Sie schalten nur Sysn Requests durch auf den eigentlichen Server wenn in einer bestimmten Zeit auch ein ACK kommt und damit hast du einen absoluten Schutz vor dieser Art Attacken.
Dein Server behält also seine volle Performance auch wenn er attackiert wird.
0perator
0perator 22.12.2008 um 20:53:45 Uhr
Goto Top
Danke für dein Antwort aqui face-smile

Ein LoadBalancer wäre natürlich das non-plus ultra... werde mich mal weiter informieren was das anbetrifft.

Sehen wir mal davon ab das die Angreifer die IP direkt flooden und kommen wir auf das DNS-System zurück? Gibt für diese Methode eine bestimmten Namen sodass ich mal google weiter befragen kann? Bin mir nicht ganz sicher, nennt man diese Methode nach der ich suche nicht Failover-DNS? Bin mir nicht ganz sicher, bevor ich nachher noch was ganz falsches raussuche^^
SchmuFoo
SchmuFoo 22.12.2008 um 21:33:18 Uhr
Goto Top
Hi,

sind SYN-Cookies auf dem (Web)-Server aktiviert?

Desweiteren schau Dir mal www.ultradns.com und www.prolexic.com an. Letztere "waschen" Deinen Traffic und schicken ihn gesäubert zu Deinem Server (Reverse Proxy halt).

Cheers
0perator
0perator 22.12.2008 um 21:58:20 Uhr
Goto Top
Ja SYN-Cookies sind aktiviert, haben aber so gut wie keinen Effekt da unser Webhoster die IP null routet sobald die Firewall Flood verzeichnet.
Momentan haben wir einen "Lite" Reverse-Proxy von ProxyShield laufen (http://gigeservers.com/ProxyShield), dieser schützt allerdings nicht vor SYN Flood -> dafür wäre die Premium Variante nötig welche mit 1000USD zu buche schlägt.

Unser Hoster lässt uns so gesehen keine andere Wahl als das Premium Paket zu kaufen, was natürlich totale Abzocke ist...
Einzige Möglichkeit aus meiner Sicht wäre also ein Failover DNS bzw. Round Robin System oder sehe ich das falsch?

Wenn ein Hoster die IP null-routet, ist das dann die interne IP oder die externe IP? Wenn nur die externe IP umgeleitet wird, könnte ich doch via DNS die anderen von meinem Webmaster zugewiesenen IPs benutzen solange eine IP null geroutet ist oder?
gnarff
gnarff 22.12.2008 um 22:39:36 Uhr
Goto Top
Es gibt dann ja auch noch (D)DoS-Deflate als Gegenmassnahme...
Weitere Informationen zu Gegenmassnahmen auf BotTrapWiki : DDos

Saludos
gnarff
Enclave
Enclave 23.12.2008 um 00:39:48 Uhr
Goto Top
Zitat von GigeSERVERS
ProxyShield® Lite
ProxyShield Lite is included in the cost of all dedicated servers. It provides coverage mainly for bandwidth-consumption attacks. [...] This service works best for those who are not using their server to host websites, or for websites that are being affected only due to high bandwidth utilization. We NEVER null route because of an attack!

Die machen es aber trotzdem? Vielleicht würde ich den Hoster wechseln o.O


Mfg

Enclave
Rafiki
Rafiki 23.12.2008 um 09:28:02 Uhr
Goto Top
Seit geraumer Zeit werden wir von SYN-Flood Attacken belästigt

Wenn es "nur" ein normaler SYN-Flood ist dann helfen SYN-Cookies.

Ja SYN-Cookies sind aktiviert, haben aber so gut wie keinen Effekt

Dann ist es kein gewöhnliches SYN-flood. Kannst und magst du einigen von uns einen Capture von dem Traffic zur Verfügung stellen? Dann müssten wir nicht so sehr raten was evtl. Helfen könnte.

Mich würde noch interessieren warum versucht euch jemand vom Netz zu kicken? Werdet ihr erpresst oder habt ihr etwas gegen "Sie" gesagt.

Gruß Rafiki
SchmuFoo
SchmuFoo 23.12.2008 um 12:03:46 Uhr
Goto Top
Zitat von @0perator:
Ja SYN-Cookies sind aktiviert, haben aber so gut wie keinen Effekt da
unser Webhoster die IP null routet sobald die Firewall Flood
verzeichnet.

Steht ein Wechsel zu einem "normalen" Hoster, der nicht eigenmächtig am Core filtert, außer Frage?

..


Einzige Möglichkeit aus meiner Sicht wäre also ein Failover
DNS bzw. Round Robin System oder sehe ich das falsch?

Bei beiden Möglichkeiten musst musst Du dann Geld und Arbeit in die Hand nehmen um:

- Eine 2. Umgebung woanders hochzuziehen
- Deren Daten syncron halten -> Mit einer DB viel Spass -> Oder den SQLd auf einem 3. Server laufen lassen

Summa Summarum stellt sich auch mir erneut die oben genannte Frage, wieso suchst Du Dir keinen Hoster der nicht derartige Restriktionen auf Core Ebene hat?

Wenn ein Hoster die IP null-routet, ist das dann die interne IP oder
die externe IP? Wenn nur die externe IP umgeleitet wird, könnte
ich doch via DNS die anderen von meinem Webmaster zugewiesenen IPs
benutzen solange eine IP null geroutet ist oder?

Wenn Du im DNS Zonefile die TTL weit genug runtersetzen kannst funktioniert das, mit den oben genannten Problemen/Aufwand
16568
16568 02.01.2009 um 11:38:47 Uhr
Goto Top
Hm, schaaaade, warum habe ich diese interessante Diskussion nicht eher bemerkt...

Also, normalerweise helfen SYN-Cookies wirklich sehr zuverlässig.
Bittet Euren Hoster doch gleich mal, das Routing wieder auf normal umzustellen, und beobachtet, ob der Server ordnungsgemäß reagiert.

Ansonsten fahre ich in solchen Situationen zweigleisig:

1.
Apache-Cluster und MySQL-Cluster (werden ja beide für Deine Seite gebraucht) mit einem vorgeschalteten Loadbalancer.
Je nach Hardware läßt sich das sogar alles auf einer Kiste abfackeln, ESX sei Dank... (ist aber 2-3 Tage Arbeit...).

2.
Lokalisierung, von woher der Angriff kommt.
Zugegeben, nicht immer ganz einfach, und eigentlich schon illegal in Deutschland, aber ich habe diesbzgl. schon sehr gute Erfahrungen gemacht, wie man fremde Bot-Netze übernimmt face-big-smile


Lonesome Walker

Damit Du schon ma gucken kannst...
Apache-Cluster und MySQL-Cluster und zum Thema Sessions, weil Dein Forum sicherlich damit arbeitet...
sollte fürs Clustering reichen, aber eben nur für die Ausfallsicherheit bei hochfrequenten Seiten.
Der Loadbalancer davor (also nicht der in den HowTo's) kümmert sich dann aber WIRKLICH um Dein Flood-Problem.
Hierfür hab' ich allerdings kein HowTo im Netz verfügbar, da ich das je nach Problemlage individuell lösen würde.
(dafür fehlen uns aber noch ein paar Infos hier...)
SchmuFoo
SchmuFoo 08.05.2009 um 11:15:03 Uhr
Goto Top
Gibt es etwas neues zu berichten?
Florian.Business
Florian.Business 10.06.2010 um 11:23:06 Uhr
Goto Top
Irgendwie Blödsinn du kannst nicht einfach ein Botnet übernehmen wenn 10k Ips aus 40 Ländern dieser Welt kommen hast du generell keine Chance auch nur irgendetwas zu verfolgen.
gnarff
gnarff 10.06.2010 um 17:28:12 Uhr
Goto Top
Zitat von @SchmuFoo:
Gibt es etwas neues zu berichten?
...meine Freundin hat sich ihre Haare Pillarbox-Red gefaerbt; falls dies von Interesse ist. Ansonsten denke ich, kann man den Thread als geschlossen betrachten ;)