Viel Spaß mit Apache einen GET Flood mit über 10k Requests pro Sekunde auszufiltern oder Floods, welche in der Komplexität weitaus komplizierter sind - dein Apache wird bereits bei einem Viertel der Menge auf einem einzigen System zusammen klappen, womit der Angreifer sein Ziel erreicht. Wir haben nicht umsonst eine Clusterlösung im Einsatz, auf welche per Layer3 Loadbalancing eingehende Attacken gleichmäßig verteilt werden.
Die "billigste" Lösung, wie Ihr sie betitelt, setzen im übrigen in ähnlicher Form einige große / bekannte Anbieter von DDoS Mitigation ein. Darunter Incapsula, Cloudflare, Blacklotus, Akamai - soll ich weiter machen? Im übrigen handelt es sich dabei nicht um ein Script, sondern um eine eigene Lösung welche in Form von C Code als Modul in unsere angepasste nginx Version kompiliert ist. Ich möchte meine Infrastruktur und deren Funktionsweise als auch Möglichkeiten kennen, nicht irgendeinen Fertigkram einsetzen, welcher bei komplexen Attacken einfach bypassed wird, ohne das ich etwas dagegen unternehmen kann - dafür steckt zuviel dahinter.
Statt mal ein Danke zu hören, dass ich das SSF seit gestern Abend vor Layer7 DDoS schütze, welcher Phasenweise noch immer wieder einschlägt, kommen mir hier von den üblichen Lästertanten und "DDoS Profi's" lediglich negative und teilweise verachtende Kommentare entgegen. Ich mache das schon etwas länger und weiß durchaus, wie sich DDoS auf Layer 3 bis 7 richtig ausfiltern lässt und wie die best practice hierzu aussehen. Irgendwelche Bastellösungen sind hier nicht im Einsatz, das kann ich mir ggü. entsprechenden Personen nicht leisten.
Mal davon abgesehen, dass ich freiwillig kostspielige Infrastruktur für Lau bereitstelle - ohne irgendwelche bösen Hintergedanken - der Proxy, welchen ihr als man in the middle bezeichnet, ist genauso konfiguriert wie bei allen anderen Instanzen auch. Teilweise Instanzen worüber weitaus komplexere und vor allem bandbreiten intensive DDoS mitigiert werden.
Die "billigste" Lösung, wie Ihr sie betitelt, setzen im übrigen in ähnlicher Form einige große / bekannte Anbieter von DDoS Mitigation ein. Darunter Incapsula, Cloudflare, Blacklotus, Akamai - soll ich weiter machen? Im übrigen handelt es sich dabei nicht um ein Script, sondern um eine eigene Lösung welche in Form von C Code als Modul in unsere angepasste nginx Version kompiliert ist. Ich möchte meine Infrastruktur und deren Funktionsweise als auch Möglichkeiten kennen, nicht irgendeinen Fertigkram einsetzen, welcher bei komplexen Attacken einfach bypassed wird, ohne das ich etwas dagegen unternehmen kann - dafür steckt zuviel dahinter.
Statt mal ein Danke zu hören, dass ich das SSF seit gestern Abend vor Layer7 DDoS schütze, welcher Phasenweise noch immer wieder einschlägt, kommen mir hier von den üblichen Lästertanten und "DDoS Profi's" lediglich negative und teilweise verachtende Kommentare entgegen. Ich mache das schon etwas länger und weiß durchaus, wie sich DDoS auf Layer 3 bis 7 richtig ausfiltern lässt und wie die best practice hierzu aussehen. Irgendwelche Bastellösungen sind hier nicht im Einsatz, das kann ich mir ggü. entsprechenden Personen nicht leisten.
Mal davon abgesehen, dass ich freiwillig kostspielige Infrastruktur für Lau bereitstelle - ohne irgendwelche bösen Hintergedanken - der Proxy, welchen ihr als man in the middle bezeichnet, ist genauso konfiguriert wie bei allen anderen Instanzen auch. Teilweise Instanzen worüber weitaus komplexere und vor allem bandbreiten intensive DDoS mitigiert werden.
Last edited by a moderator:
Ich habe nie gesagt dass ich etwas besser weiss. Wir haben lediglich über die möglichkeiten diskutiert. Dass Apache nicht das performanteste/effizienteste ist, ist mir selbstverständlich auch bekannt, deshalb das ""
""-Symbol. Die Rede war übrigens nie von 10k Requests/sec, sondern von 200.
Und dass ein Proxy man-in-the-middle ist, darüber müssen wir wohl nicht diskutieren, virtual2?
Bitte erläutere mir den Vorteil des Schutzes, wenn die originale IP weiterhin auf HTTP/HTTPS-Requests hört. Zumindest da müsste man doch die Ports dicht machen.
""-Symbol. Die Rede war übrigens nie von 10k Requests/sec, sondern von 200.Und dass ein Proxy man-in-the-middle ist, darüber müssen wir wohl nicht diskutieren, virtual2?
Bitte erläutere mir den Vorteil des Schutzes, wenn die originale IP weiterhin auf HTTP/HTTPS-Requests hört. Zumindest da müsste man doch die Ports dicht machen.
Ich habe nie gesagt dass ich etwas besser weiss. Wir haben lediglich über die möglichkeiten diskutiert. Dass Apache nicht das performanteste/effizienteste ist, ist mir selbstverständlich auch bekannt, deshalb das ""
Und dass ein Proxy man-in-the-middle ist, darüber müssen wir wohl nicht diskutieren, virtual2?
Man in the middle im Sinne von sniffen. Ich habe etwas besseres zu tun als mich strafbar zu machen.
Das mag sicherlich sein, ich habe jedoch weder Zugriff auf das System hier noch reicht das aus, um den Webserver zu 100% vor allen anderen Attacken zu schützen. - die IP findet man ohnehin mit etwas Geschick heraus.
GwenDragon
Registered User
Schön, dass jemand auch mal was kostenlos tut und hilft. Aber dafür wird nach einem Danke durch uns gelechtzt?
Über Aussperrung bestimmter Geräte und Browser kann ich gerade noch hinweg sehen.
Aber die flimmernde Grafik, die öfters als lieb zu sehen ist, geht gar nicht.
Über Aussperrung bestimmter Geräte und Browser kann ich gerade noch hinweg sehen.
Aber die flimmernde Grafik, die öfters als lieb zu sehen ist, geht gar nicht.
Ich lechze nach gar nichts, etwas Sachlichkeit und vor allem normales Verhalten ggü. Mitmenschen kann man von erwachsenen Menschen erwarten.
Über Aussperrung bestimmter Geräte und Browser kann ich gerade noch hinweg sehen.
Aber die flimmernde Grafik, die öfters als lieb zu sehen ist, geht gar nicht.
Wenn es sonst nichts ist, die Grafik ist getauscht
GwenDragon
Registered User
@virtual2
Erwarten? Was hat das mit erwachsenen Menschen zu tun? Normales verhalten? Was ist denn die Norm?
Seit Jahren ist ein Danke im Internet für Helfende selten geworden. Und dass Gepflogenheiten des guten Umgangs wenig im Web gelten, das ist leider Alltag für Leute die im Internet tätig sind.
Für das Wechseln der Grafik, ein Danke für das Entflimmern.
Erwarten? Was hat das mit erwachsenen Menschen zu tun? Normales verhalten? Was ist denn die Norm?
Seit Jahren ist ein Danke im Internet für Helfende selten geworden. Und dass Gepflogenheiten des guten Umgangs wenig im Web gelten, das ist leider Alltag für Leute die im Internet tätig sind.
Für das Wechseln der Grafik, ein Danke für das Entflimmern.
Last edited by a moderator:
D
Deleted member 15972
Guest
Doch, von mir gibt es ein Danke.
Auch an Thorsten, dass er dieses Forum hier kostenlos bereitstellt.
MadMakz
Active Member
Cloudflare praktiziert exakt das gleiche (Glaube ab der Einstellung "Medium" kommt der JS-Check) mit der kleinen Ausnahme Apache -> nginx sowie Gif -> Standbild und CF hat sich auch im Business international als simple, kostengünstige (Remote(!)) Lüsung etabliert.Schön, dass jemand auch mal was kostenlos tut und hilft. Aber dafür wird nach einem Danke durch uns gelechtzt?
über Aussperrung bestimmter Geräte und Browser kann ich gerade noch hinweg sehen.
Aber die flimmernde Grafik, die öfters als lieb zu sehen ist, geht gar nicht.
Dafür das das ganze innerhalb von 20 Minuten über die Bühne gegangen ist und Thorsten das mal eben schnell von unterwegs geregelt hat ist das alles schon in Ordnung.
Und nach einem Danke hat keiner gelechts bis dann diese Grundsatzdiskussion angefangen hat, obwohl, gelechts war das dann auch nicht.
Ansonsten wird sich Thorsten, ich dann übrigens auch, bestimmt über Kostenloses Industry-Grade-DDoS-Protection-Hosting mit Equipment im Wert von schnell bis zu fünf-Stelligen Euro bereich freuen.
Edit: Bei mir hats aber die Umlaute zerschossen.
Edit2: Umlaute gefixt
Last edited by a moderator:
Joe User
Zentrum der Macht
Dafür ist der HTTPd, ob er nun Apache, nginx oder FooBar heisst, gar nicht zuständig, also unterlasse bitte dieses unsägliche Apache-bashing.
Wie schaffen die es nur, dass Textbrowser, Screenreader und Brailegeräte sowie etliche andere legitime Nutzer nicht ausgesperrt werden?
Mal kurz überlegen... Ach ja, jetzt fällt es mir wieder ein:
Sie wissen, was sie tun.
Nein, für so einen *%@%* hat man kein Danke verdient, sondern einen *%@€@%*
Mit einem durchschnittlichen RootServer aus der 50€-Klasse und einem vernünftig konfigurierten System samt Dienste, sind 200Req/s Grundrauschen.
Wie viel mag dein Server ertragen ? Würde mich interessieren ob ich bezüglich meinen Kosten besser drannen bin mit meiner Config als du oder nicht
grüsse
Hast du das getestet? - Ich glaube kaum, anscheinend bist du der, der hier nicht weiß was du von dir gibst. Bestes Beispiel wohl Cloudflare, dort wird selbiges geblockt - aber gut, du weißt es ja besser, für dich sind 200 Requests auch nur Grundrauschen und noch lange kein DDoS - danke für die Aufklärung, mir wird nun so einiges klar
Joe User
Zentrum der Macht
Im Kosten-Nutzen-Verhältnis mehr als ausreichend.
Dann leg mal Deine Karten (Specs+Kosten+Configs) auf den Tisch...Würde mich interessieren ob ich bezüglich meinen Kosten besser drannen bin mit meiner Config als du oder nicht
Joe User
Zentrum der Macht
Ja, Beispiel Lynx:
Code:
[root@devnoip:~] # lynx -dump -head https://www.cloudflare.com
HTTP/1.1 200 OK
Server: cloudflare-nginx
Date: Thu, 24 Sep 2015 15:39:44 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Set-Cookie: __cfduid=d100749ccefdbed40e8eb27d3a76408f21443109184; expires=Fri, 2
3-Sep-16 15:39:44 GMT; path=/; domain=.cloudflare.com; HttpOnly
X-Frame-Options: SAMEORIGIN
Expires: Thu, 24 Sep 2015 19:39:44 GMT
Cache-Control: public, max-age=14400
Pragma: no-cache
Strict-Transport-Security: max-age=31536000
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
CF-Cache-Status: HIT
CF-RAY: 22af957282dd2d71-TXL
[root@devnoip:~] # lynx -dump -head https://www.microsoft.com
HTTP/1.0 302 Moved Temporarily
Server: AkamaiGHost
Content-Length: 0
Location: https://www.microsoft.com/de-de/
Date: Thu, 24 Sep 2015 15:39:46 GMT
Connection: close
X-CCC: DE
X-CID: 2
[root@devnoip:~] # lynx -dump -head https://www.microsoft.com/de-de/
HTTP/1.0 200 OK
Cache-Control: no-cache, no-store
Pragma: no-cache
Content-Length: 124991
Content-Type: text/html
Expires: -1
Server: Microsoft-IIS/8.0
CorrelationVector: pWhKap3+QkGHhqbl.1.1
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Access-Control-Allow-Headers: Content-Type
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Credentials: true
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo C
NT COM INT NAV ONL PHY PRE PUR UNI"
X-Frame-Options: SAMEORIGIN
Date: Thu, 24 Sep 2015 15:39:50 GMT
Connection: close
Set-Cookie: MS-CV=pWhKap3+QkGHhqbl.1; domain=.microsoft.com; expires=Fri, 25-Sep
-2015 15:39:49 GMT; path=/
Set-Cookie: MS-CV=pWhKap3+QkGHhqbl.2; domain=.microsoft.com; expires=Fri, 25-Sep
-2015 15:39:49 GMT; path=/
X-CCC: DE
X-CID: 2
[root@devnoip:~] #https://support.cloudflare.com/hc/en-us/articles/200170076-What-does-I-m-Under-Attack-Mode-do-
"Note: Visitors to the site must have JavaScript and Cookies enabled to pass the interstitial page."
"Note: Visitors to the site must have JavaScript and Cookies enabled to pass the interstitial page."
Gut, ich bezahle ca 10 -15 Euro Max. / Month, und der Server ist ab min. 10K Request / Sek ab und zu down, und bei 18K / req ist er nicht mehr erreichbar.
Wie schauts aus?
Und? Dort ist der Cloudflare UAT Mode aka Layer7 DDoS Schutz auch aktuell nicht aktiv.
Du kannst es ja gerne mal bei einer Seite probieren, wo dieser permanent aktiv ist, z.B.:
http://www.arctic4story.com/
Code:
beefbox# lynx http://www.arctic4story.com/ -dump -head
HTTP/1.1 503 Service Temporarily Unavailable
Date: Thu, 24 Sep 2015 15:47:51 GMT
Content-Type: text/html; charset=UTF-8
Connection: close
Set-Cookie: __cfduid=d251c0bdc68a082f7f4cb36586f367c111443109671; expires=Fri, 2
3-Sep-16 15:47:51 GMT; path=/; domain=.arctic4story.com; HttpOnly
X-Frame-Options: SAMEORIGIN
Refresh: 8;URL=/cdn-cgi/l/chk_jschl?pass=1443109675.57-YthyH9lmJA
Cache-Control: no-cache
Server: cloudflare-nginx
CF-RAY: 22afa15747362b8e-AMSCloudflare erlaubt zwar das Dumpen von Head, der Request wird ohne Cookies und Javascript jedoch noch immer geblockt. Damit ist deine These, es würde woanders reibungslos funktionieren, hinfällig.
Tut mir leid, aber der einzige, der sich bisweilen mit falschen Tatsachen immer weiter in's Lächerliche zieht, ist der Markus aka Joe User - gell?
Achso, du arbeitest also bei Microsoft und kannst mir dahingehend einen entsprechenden Nachweis senden?