Hathatós Layer 3/4 DDoS védelem?

 ( djpety | 2013. október 27., vasárnap - 13:51 )

Tippek, ötletek?

UDP Flood, ICMP Flood vs. botnetek? DNS Amplification? Érdekel, kinek milyen megoldása lenne ilyen problémára!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

4x10GE uplink :)

tiltod az UDP-t :D

és ahol feltétlenül szükséges az UDP megléte?

kénytelen vagy beépíteni valami intelligenciát ami a normál forgalmadat ismerve megpróbálja kiszűrni az illegitim forgalmat.

Ha adsz egy kedvező árajánlatot :)

Sub

+1
-------------------------------------------------------------------------------
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Slackware Linux 13.37 | 2.6.39.4-janos

+1

Alapvetoen az ilyen tamadasokat csak ugy tudod kivedeni, hogy ha jo vastag uplinked van ES magad ele kotsz egy statisztikai analizisen alapulo DDOS-vedekezo szolgaltatot. Ilyen pl a Prolexic, akik csinalnak a forgalmadrol egy DDOS-mentes baseline-t es ahhoz kepest szurik a tamadasokat. Viszont erdemes vigyazni, mert van olyan szolgaltato, ahol a legitim forgalmad egy resze is eltunik, ezert erdemes tesztelni es korbekerdezni, hogy mi a tapasztalat.

Ilyesmire gondoltam én is. Külön köszönöm, hogy kiemelted, hogy elveszhet a tiszta forgalomból is. A Prolexic-el esetleg van személyes tapasztalat is?

Attol fugg, mit ertesz szemelyes alatt. Lattam par nagy profilu projektet aminel Prolexic futott. Aki intezte meselte, hogy korabban voltak masik tarsasagoknal, ahol a legitim forgalom 30%-a tunt el es a ceg azt allitotta, minden rendben.

Ha nagyvállalati környezetről van szó, akkor vmi on-premise DoS/DDoS protector doboz (pl. Radware), kombinálva scrubbing centerrel (szolgáltatásként veheted meg) elég jó eredményt ad. Ha a probléma magánemberként vagy csóró vállalkozás adminjaként sújt, akkor nem sok megoldást látok az IP-d lecserélésén kívül.

Tegyük fel, hogy van egy keret erre a célra, de a nagyvállalati környezettől is bőven messze van a dolog. Viszont az IP lecserélése sem segít, mivel a támadó sok esetben ugyan az, így követi az esetleges IP változásokat is.

Beszélj a szolgáltatóddal, hátha valami prémium szolgáltatásként elérhető DDoS védelem is.

up

Elég érdekes módja a védelemnek, de ez is lehetséges:
Ugye legtöbben vásárolnak a botnetekhez elérhetőséget. Jobb "szolgáltatóknál" amikor megveszed te is adhatsz meg ip-t ami a sajátod, ez az ip bekerül a rendszerbe és ha ettől a "szolgáltatótól" támadnák meg ezt az ip-t akkor már nem engedélyezi. Keresel jó pár ilyet fizeted szépen a díjakat akkor ez is egy módja a védelemnek.

Magyarán fizess védelmi pénzt a maffiának?


Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Hát ha úgy vesszük akkor igen. :)

Kéne valami RBL-hez hasonló DNS alapú szolgáltatást csinálni (nyilván sokat, mint ahogyan RBL listából is több van), ahová ezek bekerülhetnének, a tűzfalak meg ez alapján szűrhetnének.
Bár irreálisan nagy forgalom lenne minden packetet ellenőrizni, ha pl. napi/heti frissítéssel letölthető egy lista, az már elég jó védelmet nyújthatna.
--
PtY - www.onlinedemo.hu

A denyhost tud ban listát letölteni.

Nem ismerem.
Tudsz erről bővebb infót adni?
--
PtY - www.onlinedemo.hu

Linuxos csomag, debianban alapból fel lehet tenni denyhosts néven fut. Configba pedig be lehet állítani, hogy használjon külső szervereket, olyan mint a spam blokkolás. Letölti azokat a címeket, ahonnan többen jelezték a vérpistikéket, és azokat eleve blokkolja. Persze mondjuk botnet ellen ez tuti nem jó, mert ott sok felől kapod az áldást.

Ahh, OK. Azt hittem, ez az, amire gondoltam.
Igazából nem is a végpontokon kéne védekezni, a szolgáltatónak kéne blokkolni az adott IP kimenő forgalmát. Így elegendő lenne minden szolgáltatónak csak a saját tartományaira nézve frissíteni a blacklistet (akár óránként).
--
PtY - www.onlinedemo.hu

Sávszélesség elleni támadásokról van szó sajnos, ott ez nem segít. Szépen kitömi a kábelt és kész.

Hogy találod meg a "szolgáltatót"? Van belőlük feltehetőleg elég, hogy ne találd meg amelyik kell.

Pl. DNS Amplification esetén adott a kérésben szereplő domain. Egy másik gépen, amin van DNS szerver és nem rekurzív, de látom a logban hogy tőle próbálják kérni ezt a domaint (amit megtagad persze), köztük a támadott gép IP-je is szerepel és még több száz másik. Mennyire lehet ezen elindulni?

Nem vagyok szakerto a temaban, laikuskent kerdezem.
Miert nem eleg jo megoldas ilyen esetben a throttling?

Anno, amikor ilyesmikrol olvastam, mindig az volt a mondas, a forrashoz minel kozelebb kell szurni es annyi a megoldas (azaz nem te, hanem a szolgaltatod, vagy az o szolgaltatoja, vagy ...).

tompos

Az ő szolgáltatójuknak ezen nincs mit szűrni mivel pl tegyük fel a te géped is tagja egy ilyen botnet-nek akkor te is támadsz viszont észre sem veszed mert nagyon elenyésző az adatmennyiség itt a gondot a kis csomagok mennyisége jelenti amit már a szerver nem tud lekezelni. A te szolgáltatódnak pedig természetesen tiltania kéne és szűrnie az ilyen forgalmat de hát van ahol nem tesznek ellene semmit van ahol próbálnak legalább viszont az esetek többségében sikertelenül, többek közt a gond az is, hogy reject-el sok szolgáltató a drop helyett.

Nem ertem, mirol beszelsz.
Tegyuk fel, h a gepem nem tagja egy botnetnek sem.

tompos

A lényeg nem azon van, hogy a te géped is tagja, hanem, hogy a forrás gépek szolgáltatói nem tudják szűrni mivel nagyon kevés adatforgalom megy egy-egy gépről ami fel sem tűnik csak épp rengeteg ilyen pici forgalom a célnál rengeteg kérés lesz amit a szerver nem tud kiszolgálni.

A cel gep viszont azonos, miert ne tudnak szurni?
Annyira keves csomag (az en szemelyes tapasztalataim alapjan) viszont nem megy, ami teljesen elveszne a legitim forgalomban.

Maskepp fogalmazva nem /. effektrol van szo.

tompos

Ott meg mar azert nem tudod szurni, mert azzal a valos forgalmat is akadalyoznad.

Ezert irtam throttlingot. Nem 100%-os megoldas, de arra nem is feltetlenul van szukseg.

tompos

Na de mit? :)
Ha lassitod a tamado gepeket az nem valtoztat semmin. Eleg sokan vannak. Ha lassitod a valos felhasznalokat akkor meg elertek a tamadas celjat.

Mondjuk csinal pl. rate limitet. Feltetelezve, h a nagyon sok csak egy kicsit nagyon sok, az nekem mukodo utnak tunik. Egy kis intelligenciaval megspekelve pedig vegeredmenyben is hatasos is lehet.

Nem tudom, mekkora lehet egy atlagos botnet, mire erdemes lehet felkeszulnie egy atlagos szolgaltatonak, de gondolom itt is van az egeszen kicsitol a nagyon nagyig minden es a service fontossagaval (es igy a rendelkezesre allo eroforrasokkal) aranyosan no a valoszinusitheto meret.

Ebbol nekem ugy tunik, h egy atlagos tamadast jo esellyel lehetne hatekonyan kezelni igy.
A kerdes az, hogy miert nem, hol hibadzik a gyakorlatban az elmelet.

tompos

Amire itt apellálsz az az, hogy a botnet-ektől jövő requestek sűrűsége, nagysága és egyéb, különböző a nem botnetektől. A kérdés szerintem az, hogy ez a gyakorlatban így van-e. Ha igen, akkor működhet amire gondolsz szerintem.

Mondjuk én nem használom, de van olyan stratégia is, amit pl. a CloudFlare használ:
http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho
http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
http://www.cloudflare.com/ddos

Üdv:
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

A kérdés továbbra is aktuális!

Valami javasolt 10Gbps-t (vagy többet) elbíró eszköz esetleg, amit a szerver elé lehet tenni? Vagy javasolt szerver konfiguráció és disztribúció szűrésre?

Háát 10Gbit/sec nél már nem szórakoznék szerverrel, sokkal inkább cisco/juniper valamelyik cuccával. És ezekre blackhole routing-ot csinálni azokra az IP-re/tartományokra, amik gázok.
Általában a szolgáltató is ezt csinálja (blackhole) ha gáz van.

DDOS ellen NEM lehet hatékonyan védekezni. Ez a lényege.

A szolgáltatást még (talán) meg tudod védeni a túlterhelés ellen, de a vonaladat akkor is simán kitöm(het)ik.

Sőt, a vonalkitömést még egy sima DOS esetén sem nagyon lehet megakadályozni, maximum a határvonalát kitolni valameddig - de ez meg már a vonal szolgáltatódtól függ.

--
zrubi.hu

+1
Ez sajnos nagyon így van. Annak a néhány ddos mitigáló servicenek van eséyle, akik több száz (tehát legalább 200-400) Gigabittel rendelkeznek világszerte. De még azokat is megszorongatják.

A blackhole neked valsz nem megoldás, hiszen az lenne a lényeg, hogy elérhető maradjon a cél IP.

Juniper stb: nem fogja tudni a több százezer vagy millió IPét blokkolni, 60-80ezret talán. És ekkor is eljutsz oda, hogy eltömik a sávszélességed.

A lényeg, hogy sávszélesség növelhető, tehát a vonal bővíthető. Egy olyan eszköz kell, ami a tiszta forgalmat továbbítja a szerver felé, és nem a szervernek kell szoftveresen szűrni.

- egy DDOS támadás BÁRMEKKORA sávszélességet képes kitömni ;)

- Az a bizonyos eszköz is csak szoftveresen szűr, és ezzel is csak a szerveredtől távolabb tolod a problémát, de attól az még megoldatlan marad.

- a probléma a fentieken kívül a "tiszta forgalom" definíciójában rejlik

--
zrubi.hu

Egy DDoS támadás mérete attól is függ, hogy mekkora a rendelkezésre álló összsávszélesség. Tegyük fel, ez felülről korlátos értéket ad, így sávszélességben lehet ellene védekezni. Természetesen ha még nagyobb méretet ölt, akkor nyilván nem lesz elég.

Tiszta forgalom: Tipikus DNS Amplification, UDP Flood, és egyéb UDP-n alapuló támadások kivédése úgy, hogy a szolgáltatás amit védeni kell UDP protokollt is használ adott esetben.