Allgemeine Fragen zum Thema DDoS

[FlorianBusiness]

Hallo Community,

ich wollte fragen ob es hier jemanden gibt der auf dem Gebiet DDoS bewandert ist.
Daher möchte ich euch ein paar Fragen stellen. Ich bin über jede Antwort froh.


Frage 1:
Welche Arten von DDoS gibt es und wie unterscheiden sich diese?

Frage 2:
Was tut ihr als Serveradministratoren gegen DDoS (Softwareseitig, da ich nur ein Budget von ca. 30-50e im Monat habe)

Frage 3:
Ist es möglich einen VPS vor DDoS Attacken zu schützen? Wenn ja wie (Kernelmodule für IPtables fehlen)

Frage 4:
Gibt es noch weitere wichtige Dinge die beim Absichern eines Servers gegen DDoS oder "Hacking" notwendig sind?

Frage 5:
Wie ist eure Meinung zu Ngnix als Reverseproxy vor Apache? Ist diese Methode bewährter oder lieber Litespeed?


MfG Florian

 

[M-X]

Das sollte schon mal Grundlegen fragen klären.

 

[d4f]

Welche Arten von DDoS gibt es und wie unterscheiden sich diese?

Die ueblichen Methoden:

a)
simples "All-you-can-eat": Die gesamte Bandbreite des Hostsystems oder des Clusters ausnutzen und so den Zugriff fuer andere Besucher erschweren oder komplett lahmlegen. Wirklich effektiv ist diese Methode nicht da viel Bandbreite benoetigt wird und in den meisten Faellen nur ping-sensitive Dienste (Gameserver) oder bandbreiten-verschlingende Angebote (Streaming, ...) wirklich lahmgelegt und unbenutzbar werden waehrend uebliche Webseiten nur sehr, sehr langsam laden.

Moegliche Abwehrung: keine auf dem Root. Providerseitiges IP-Sperren moeglich, ansonsten Upgrade der Bandbreite.

b)
Syn-Flood. (Auslastung der half-open connections). Die TCP/IP Verbindungen basieren auf einem 3 Wege-Handshake (SYN, SYN-ACK, ACK). Damit der Server sich verhalten kann welche Verbindungsanfrage zu welcher Verbindung gehoert muss sie gespeichert werden. Indem der Client nun sehr viele SYN-Anfragen stellt ohne das 'ACK' auf das serverseitige 'SYN-ACK' zu schicken wird der Server nach und nach mit sog. 'half-open connections' gefuellt bis er keine weiteren mehr annehmen will und kann.

Moegliche Abwehrung: syn_cookies und Begrenzen an Verbindungen je Sekunde per IP.

c)
Overload. Indem der Client sehr viele gleichzeitige Anfragen an komplexe Skripte stellt (beispielsweise eine Volltext-Suche eines Forums) sind alle PHP-Interpreter und Worker belegt sowie die MySQL-Last steigt ins unermessliche.

Moegliche Abwehrung: Begrenzen an Verbindungen je Sekunde per IP, mod_evasive, Optimisieren der Skripte (und Gegenmassnahmen) sowie Resultat-Caching.

So paradox es klingt, aber um einen vitalen Dienst bei Overload-Anfriffen am Leben zu halten bis zusaetzliche Kapazitaet eintrifft kann man den gesamten Verkehr auf SSL umlegen. Grund: SSL benutzt sog. Puzzles welche zum Verbindungsaufbau dem Client mehr Rechenleistung abverlangen als dem Server (nur fuer den Verbindungsaufbau!) und somit dessen CPU ebenfalls um einiges staerker belastet.

Was tut ihr als Serveradministratoren gegen DDoS

Siehe oben

Ist es möglich einen VPS vor DDoS Attacken zu schützen?

Ja und nein. Je nach verfuegbaren Kernelmodulen mehr oder weniger sofern es sich um Isolierung handelt. (Para)virtualisierung sowie Emulierung kennen hier keine Begrenzungen.

ibt es noch weitere wichtige Dinge die beim Absichern eines Servers gegen DDoS oder "Hacking" notwendig sind?

Ja, deine Skripte muessen abgesichert und sogut wie moeglich redundant, mit hypervisor kontrolliert und ge-chroot()ed werden.

Wie ist eure Meinung zu Ngnix als Reverseproxy vor Apache?

Du kriegst mit Skripten viele Probleme die Apache's REMOTE_ADDR als IP des Clients nehmen und musst das, im Fall von fertiger oder verschluesselter Software, umstaendlich und performance-verlierend ueber den Preloader korrigieren gehen. Wenn schon, dann versuch direkt auf Nginx oder Lighty als Webserver zu setzen statt auf den indianischen Dinosaurier