"Webtropia DDoS-Protection; Infos?"

[Eve]

Guten abend, bevor ich bei myLoc ein Ticket eröffne dachte ich vielleicht hat hier jemanden Kurzen Input für mich bezüglich Limits der "DDoS Protection" im Blog wird geschrieben:

Allerdings kann die DDoS-Protection in der ersten Stufe nur Angriffe bis zu bestimmten Größen filtern; besonders große Angriffe können immer noch zu einer Sperrung der angegriffenen IP-Adresse führen.

Quelle: http://blog.webtropia.com/2014/10/30/ddos-protection-fuer-server/

Die Frag die sich mir stellt ist ob ich mein Aktuelles GRE Tunnel Setup von OvH zu myLoc auflösen kann oder eben nicht vielleicht hat ja hier einer genauere Infos.

LG - Best Regard

 

[yago]

Wird aus sicherheitstechnischen Gründen nicht bekannt gegeben. (Security by Obscurity)
Quelle: deren Facebookseite

Wieso hostest du nicht direkt bei OVH?
Da webtropia insgesamt nur ne Außenanbindung von 170gbit/s hat, kann man sich wohl denken, das deren DDoS Protection wohl kaum so viel aushalten wird, wie die von OVH.

 

[d4f]

Ohne jetzt Webtropia's Setup zu kennen; wenn du dich an den technischen Spezifikationen kommerziell erhältlicher DDOs-Systeme, bspw von Arbor, orientierst so haben diese eine Kapazität von +-30Gbit/s Angriffsfilterung. Ins Blaue geraten würde ich dann davon ausgehen dass dieser Anbieter, genau wie die meisten Anti-DDoS Provider, davon 1/3 pro Kunde maximal bereitstellen - also 10Gbit/s Spitzenwert.

Am Rand; wenn die Latenz nicht überaus wichtig ist, läuft ein tunnelbasiertes Setup von OVH zu anderen Anbieter recht zuverlässig. Bisschen mit iptables und routing rumspielen und die Services merken nicht mal dass sie nur 2. Geige in einem VPN spielen.

 

[Eve]

Wird aus sicherheitstechnischen Gründen nicht bekannt gegeben. (Security by Obscurity)
Quelle: deren Facebookseite

Joa, man kann sich auch Anstellen ! Aber danke dir

Wieso hostest du nicht direkt bei OVH?
Da webtropia insgesamt nur ne Außenanbindung von 170gbit/s hat, kann man sich wohl denken, das deren DDoS Protection wohl kaum so viel aushalten wird, wie die von OVH.

Weil OvH ziemlich ekelhaft Filtert sprich Legitimer Traffic wie zb. UDP Pakete mit length 1-600 werden Komplett umgebracht und TeamSpeak ist nicht mehr nutzbar, mir scheint es so als würden sie versuchen den LAMP Betrieb aufrecht zu halten und der Rest is uninteressant

Die Angriffe kommen von irgend welchen Scripe Kiddies ciara ~5-10Gbps ich hoffe das die da keinen NULL Route auslösen die Angriffe werden sicher nicht lange anhalten wenn sie merken das es zu nichts führt, aber ein paar Zahlen wären Trotzdem nicht schlecht... Werde da mal ein Support Ticket eröffnen.

 

[Deleted member 11691]

´

Die Frag die sich mir stellt ist ob ich mein Aktuelles GRE Tunnel Setup von OvH zu myLoc auflösen kann oder eben nicht vielleicht hat ja hier einer genauere Infos.

Würde ich nicht. Ich hab' gerade eine DNS Amplification mit 250 Mbit/s auf meinen vServer simuliert (keine richtige DNS Amplification, nur gespoofte Pakete die *ALLE* gleich aussehen). Resultat: IP genullroutet...

/Edit: Und die Hostnode hab ich bei nur 'nem Viertel Gigabit auch in die Knie gezwungen...
Nullroute:

/Edit2: @Mods, bitte nicht schlagen wegen den Bildern, es hat mal wieder nicht hingehauen:
MOD: Klappt bei mir ohne Probleme.

 

[lichtmaschine]

Deswegen wirbt webtropia wohl auch nicht mit einer Protection wie OVH. Die Protection selbst wäre ja ein super Mietargument.

 

[The_Nero]

ein tunnelbasiertes Setup von OVH zu anderen Anbieter recht zuverlässig. Bisschen mit iptables und routing rumspielen und die Services merken nicht mal dass sie nur 2. Geige in einem VPN spielen.

Hab ich irgendwas verpasst? Aus dem Kontext heraus würde ich jetzt vermuten Ihr habt bei OVH einen extra Server um deren Anti Dos Features zu nutzen und leitet per vpn die "sauberen" Daten an Webtropia weiter, weil die es seit Ewigkeiten nicht gebacken kriegen?!

Temporär bis die DNS A-Records bei OVH liege okay aber das ist doch keine Dauerlösung.
Warum den Content nicht gleich bei OVH hosten?

 

[lichtmaschine]

Erfahrung: Der Server wird noch genau so oft genullt wie bisher - geschweige erhält man diese "Angriffstart" / "Angriffende" eMails, die im Blog erwähnt werden.

 

[infinitnet]

Erwartet ihr bei den Preisen ernsthaft vernünftigen DDoS-Schutz? Den kann sich nur OVH aufgrund seiner zig Kunden und der Kostenerhöhung leisten und selbst dann auch nur ohne Support dazu und mit extra Gebühr, falls er nicht nur im Erkennungsmodus laufen, sondern z.B. das Filtern von SYN erzwingen soll, um keine Zeitverzögerung durch Erkennung, Umleitung und erst dann Filtering des Traffics zu haben.

 

[d4f]

Erwartet ihr bei den Preisen ernsthaft vernünftigen DDoS-Schutz? Den kann sich nur OVH aufgrund seiner zig Kunden und der Kostenerhöhung leisten

Mal auf Preis und Kostenerhöhung bezogen, nehmen wir mal den ersten Webtropia Server; Moonshot S à 19.99€/Monat. Als Vergleich gilt der 5€/Monat günstigere OVH KS-3.

CPU: mit 4040 vs 916 Benchmark-Punkten klarer Vorteil für OVH.
RAM: In beiden Fällen 8GB. Wegen ECC, Pluspunkt für Webtropia
HDD: 1TB vs 500GB, klarer Vorteil für OVH
Anbindung: 1Gbit Flat Webtropia vs 100Mbit/s
Allgemeine Features: Klarer Vorteil für OVH

Schlussfolgerung: Webtropia ist, je nach Einsatz, deutlich teurer. Dein Argument des Preises gilt also nicht. Es kommt somit ausschliesslich auf Größe des Kundenstammes und Eigenentwicklungen an - in beiden Fällen hängt Webtropia meilenweit hinter OVH.

 

[infinitnet]

Schlussfolgerung: Webtropia ist, je nach Einsatz, deutlich teurer. Dein Argument des Preises gilt also nicht. Es kommt somit ausschliesslich auf Größe des Kundenstammes und Eigenentwicklungen an - in beiden Fällen hängt Webtropia meilenweit hinter OVH.

Ich meine auch die Anzahl der Kunden *und* die Kostenerhöhung zusammen. Dass Webtropia sich auch durch eine deutliche Kostenerhöhung eben nicht ansatzweise dasselbe Equipment oder ähnlich hohe Bandbreiten-Commitments leisten kann, ist ja genau mein Punkt. Insofern kann man auch keinen vernünftigen DDoS-Schutz erwarten, sofern man dafür nicht ordentliche Extrakosten aufgedrückt bekommt (und damit meine ich sicher keine 5€/M).

 

[Deleted member 11691]

Eine DDoS-Protection die Angriffe a la DNS/NTP/Quake3 Amplification, SSDP, SYN-flood, etc. absichert kostet nichts. Wir haben für eine Software-Lösung 6000€ pro Filter-Node (haben uns 2 davon zugelegt und gesehen, dass eine selber reicht) hingelegt. Als Filter-Mechanismen verwenden wir statische iptables Regeln die bei Bedarf zu- und wieder weggeschaltet werden können. Sie filtert zwar nicht alle Kunden selber, aber die interne Infrastruktur mit bis zu 12M pps. Und DAS ist deutlich günstiger als andere Dinge wie z.B. Arbor, Tilera o.Ä. die pro 1M pps eine Lizenz verlangen und das dazu noch Software-Limitieren. Die Hardware selber kostet ja nichts, aber je nachdem wie viel man denn nun wirklich filtern muss wird einfach mit einem Lizenz-Key (der natürlich auf gültigkeit mit deren Lizenz-Server überprüft wird) mehr oder weniger freigeschaltet und man zahlt eben mal für ~4M pps um die 200k € (Preise aus Angeboten verschiedener DDoS Protection hersteller (Arbor, Tilera, NSFOCUS, ...). Und wenn man schon angibt, man habe eine DDoS Protection (wie Webtropia das ja nun tut), dann bitte auch die mindestens 1M pps auf 1Gbit standhalten (mein Server wurde vorgestern bei einem Test mit 80Mbits ~40k pps genulled).

 

[infinitnet]

Eine DDoS-Protection die Angriffe a la DNS/NTP/Quake3 Amplification, SSDP, SYN-flood, etc. absichert kostet nichts. Wir haben für eine Software-Lösung 6000€ pro Filter-Node (haben uns 2 davon zugelegt und gesehen, dass eine selber reicht) hingelegt. Als Filter-Mechanismen verwenden wir statische iptables Regeln die bei Bedarf zu- und wieder weggeschaltet werden können.

Was, wenn der angegriffene Kunde einen DNS betreibt? Ich gehe davon aus, dass ihr dann einfach temporär Port 53 per iptables blockt. Das kann man erstens effizienter per ACL realisieren und zweitens kann man das genau so treffend oder untreffend "DDoS Protection" nennen, wie das Blackholen der gesamten IP im Fall eines Angriffs. Natürlich ist das sinnvoll und effektiv, um das eigene Netz zu schützen, aber es hilft dem Kunden nicht, seinen Dienst während eines Angriffs weiterhin erreichbar zu halten (je nach Dienst und Art des Angriffs natürlich). Desweiteren ist es nahezu unmöglich, selbst eine ausreichende Anzahl von Regeln zu pflegen, um eine solche Firewall dann DDoS-Schutz nennen zu können, da es abgesehen von den von dir genannten Angriffsarten noch zig andere gibt, mit denen man den Dienst des Kunden "abschießen" kann. Und genau dafür ist entsprechende Hardware von Arbor Networks, NSFOCUS oder RioRey dann eben sinnvoll, da diese über entsprechende Algorithmen verfügt, um auch unbekannte Angriffsarten zu erkennen und zeitnah zu blocken. Dazu kommt natürlich noch eine mehrere GB große Datenbank mit Signaturen bekannter Angriffe (Bsp. RioRey), was - zumindest zum Teil - die Preise für die Hardware und Lizenzen rechtfertigt. Wenn man das selbst versucht, kommt dabei eben genau so eine unvollständige Lösung heraus wie die von Webtropia, an der schon seit über einem Jahr gebastelt wird. Hardware von RioRey im > 8Mpps Bereich geht übrigens bei $160k los und NSFOCUS bei $200k (man beachte die Währung, die dann doch einen Unterschied macht), wo dann auch die Einrichtung vor Ort mit dabei ist, Support bei Angriffen und Training von Angestellten.

Also zusammengefasst: Wenn es darum geht das Netz von einem "normalen" Hoster vor Angriffen mit hoher Bandbreite oder vielen Paketen vor Ausfällen oder Instabilität zu schützen, kann eine günstige, bzw. selbst "gebastelte" Lösung in den meisten Fällen ausreichend sein und auch Kunden erfreuen, wenn deren IP nicht blackholed wird. Wenn es darum geht Dienste von Kunden, die häufig angegriffen werden, unter allen Umständen erreichbar zu halten, dann kann man das mit einer In-House Lösung normalerweise nicht garantieren, sofern nicht ein außerordentliches Budget zur Verfügung steht und man sollte eher auf NSFOCUS/RioRey/Arbor zurückgreifen.