Hathatós Layer 3/4 DDoS védelem?

Hálózatok egyéb

Tippek, ötletek?

UDP Flood, ICMP Flood vs. botnetek? DNS Amplification? Érdekel, kinek milyen megoldása lenne ilyen problémára!

  • 14594 megtekintés

( janoszen v | 2013. 10. 27., v – 20:41 )

Alapvetoen az ilyen tamadasokat csak ugy tudod kivedeni, hogy ha jo vastag uplinked van ES magad ele kotsz egy statisztikai analizisen alapulo DDOS-vedekezo szolgaltatot. Ilyen pl a Prolexic, akik csinalnak a forgalmadrol egy DDOS-mentes baseline-t es ahhoz kepest szurik a tamadasokat. Viszont erdemes vigyazni, mert van olyan szolgaltato, ahol a legitim forgalmad egy resze is eltunik, ezert erdemes tesztelni es korbekerdezni, hogy mi a tapasztalat.

( baxter | 2013. 10. 27., v – 20:45 )

Ha nagyvállalati környezetről van szó, akkor vmi on-premise DoS/DDoS protector doboz (pl. Radware), kombinálva scrubbing centerrel (szolgáltatásként veheted meg) elég jó eredményt ad. Ha a probléma magánemberként vagy csóró vállalkozás adminjaként sújt, akkor nem sok megoldást látok az IP-d lecserélésén kívül.

( spearox | 2013. 11. 15., p – 10:08 )

Elég érdekes módja a védelemnek, de ez is lehetséges:
Ugye legtöbben vásárolnak a botnetekhez elérhetőséget. Jobb "szolgáltatóknál" amikor megveszed te is adhatsz meg ip-t ami a sajátod, ez az ip bekerül a rendszerbe és ha ettől a "szolgáltatótól" támadnák meg ezt az ip-t akkor már nem engedélyezi. Keresel jó pár ilyet fizeted szépen a díjakat akkor ez is egy módja a védelemnek.

Kéne valami RBL-hez hasonló DNS alapú szolgáltatást csinálni (nyilván sokat, mint ahogyan RBL listából is több van), ahová ezek bekerülhetnének, a tűzfalak meg ez alapján szűrhetnének.
Bár irreálisan nagy forgalom lenne minden packetet ellenőrizni, ha pl. napi/heti frissítéssel letölthető egy lista, az már elég jó védelmet nyújthatna.
--
PtY - www.onlinedemo.hu

Linuxos csomag, debianban alapból fel lehet tenni denyhosts néven fut. Configba pedig be lehet állítani, hogy használjon külső szervereket, olyan mint a spam blokkolás. Letölti azokat a címeket, ahonnan többen jelezték a vérpistikéket, és azokat eleve blokkolja. Persze mondjuk botnet ellen ez tuti nem jó, mert ott sok felől kapod az áldást.

Ahh, OK. Azt hittem, ez az, amire gondoltam.
Igazából nem is a végpontokon kéne védekezni, a szolgáltatónak kéne blokkolni az adott IP kimenő forgalmát. Így elegendő lenne minden szolgáltatónak csak a saját tartományaira nézve frissíteni a blacklistet (akár óránként).
--
PtY - www.onlinedemo.hu

Hogy találod meg a "szolgáltatót"? Van belőlük feltehetőleg elég, hogy ne találd meg amelyik kell.

Pl. DNS Amplification esetén adott a kérésben szereplő domain. Egy másik gépen, amin van DNS szerver és nem rekurzív, de látom a logban hogy tőle próbálják kérni ezt a domaint (amit megtagad persze), köztük a támadott gép IP-je is szerepel és még több száz másik. Mennyire lehet ezen elindulni?

( tompos v | 2013. 11. 15., p – 10:57 )

Nem vagyok szakerto a temaban, laikuskent kerdezem.
Miert nem eleg jo megoldas ilyen esetben a throttling?

Anno, amikor ilyesmikrol olvastam, mindig az volt a mondas, a forrashoz minel kozelebb kell szurni es annyi a megoldas (azaz nem te, hanem a szolgaltatod, vagy az o szolgaltatoja, vagy ...).

tompos

Az ő szolgáltatójuknak ezen nincs mit szűrni mivel pl tegyük fel a te géped is tagja egy ilyen botnet-nek akkor te is támadsz viszont észre sem veszed mert nagyon elenyésző az adatmennyiség itt a gondot a kis csomagok mennyisége jelenti amit már a szerver nem tud lekezelni. A te szolgáltatódnak pedig természetesen tiltania kéne és szűrnie az ilyen forgalmat de hát van ahol nem tesznek ellene semmit van ahol próbálnak legalább viszont az esetek többségében sikertelenül, többek közt a gond az is, hogy reject-el sok szolgáltató a drop helyett.

A lényeg nem azon van, hogy a te géped is tagja, hanem, hogy a forrás gépek szolgáltatói nem tudják szűrni mivel nagyon kevés adatforgalom megy egy-egy gépről ami fel sem tűnik csak épp rengeteg ilyen pici forgalom a célnál rengeteg kérés lesz amit a szerver nem tud kiszolgálni.

Mondjuk csinal pl. rate limitet. Feltetelezve, h a nagyon sok csak egy kicsit nagyon sok, az nekem mukodo utnak tunik. Egy kis intelligenciaval megspekelve pedig vegeredmenyben is hatasos is lehet.

Nem tudom, mekkora lehet egy atlagos botnet, mire erdemes lehet felkeszulnie egy atlagos szolgaltatonak, de gondolom itt is van az egeszen kicsitol a nagyon nagyig minden es a service fontossagaval (es igy a rendelkezesre allo eroforrasokkal) aranyosan no a valoszinusitheto meret.

Ebbol nekem ugy tunik, h egy atlagos tamadast jo esellyel lehetne hatekonyan kezelni igy.
A kerdes az, hogy miert nem, hol hibadzik a gyakorlatban az elmelet.

tompos

( Dwokfur v | 2013. 11. 15., p – 19:27 )

Mondjuk én nem használom, de van olyan stratégia is, amit pl. a CloudFlare használ:
http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho
http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
http://www.cloudflare.com/ddos

Üdv:
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( djpety v | 2014. 01. 15., sze – 22:49 )

A kérdés továbbra is aktuális!

Valami javasolt 10Gbps-t (vagy többet) elbíró eszköz esetleg, amit a szerver elé lehet tenni? Vagy javasolt szerver konfiguráció és disztribúció szűrésre?

( zrubi v | 2014. 01. 16., cs – 11:22 )

DDOS ellen NEM lehet hatékonyan védekezni. Ez a lényege.

A szolgáltatást még (talán) meg tudod védeni a túlterhelés ellen, de a vonaladat akkor is simán kitöm(het)ik.

Sőt, a vonalkitömést még egy sima DOS esetén sem nagyon lehet megakadályozni, maximum a határvonalát kitolni valameddig - de ez meg már a vonal szolgáltatódtól függ.

--
zrubi.hu

+1
Ez sajnos nagyon így van. Annak a néhány ddos mitigáló servicenek van eséyle, akik több száz (tehát legalább 200-400) Gigabittel rendelkeznek világszerte. De még azokat is megszorongatják.

A blackhole neked valsz nem megoldás, hiszen az lenne a lényeg, hogy elérhető maradjon a cél IP.

Juniper stb: nem fogja tudni a több százezer vagy millió IPét blokkolni, 60-80ezret talán. És ekkor is eljutsz oda, hogy eltömik a sávszélességed.

- egy DDOS támadás BÁRMEKKORA sávszélességet képes kitömni ;)

- Az a bizonyos eszköz is csak szoftveresen szűr, és ezzel is csak a szerveredtől távolabb tolod a problémát, de attól az még megoldatlan marad.

- a probléma a fentieken kívül a "tiszta forgalom" definíciójában rejlik

--
zrubi.hu

Egy DDoS támadás mérete attól is függ, hogy mekkora a rendelkezésre álló összsávszélesség. Tegyük fel, ez felülről korlátos értéket ad, így sávszélességben lehet ellene védekezni. Természetesen ha még nagyobb méretet ölt, akkor nyilván nem lesz elég.

Tiszta forgalom: Tipikus DNS Amplification, UDP Flood, és egyéb UDP-n alapuló támadások kivédése úgy, hogy a szolgáltatás amit védeni kell UDP protokollt is használ adott esetben.