infinitnet
New Member
Das hilft bei SYN-ACK alles nix. Das Sinnvollste wäre (wobei ich mir nicht sicher bin, ob das bei einem vServer auch zutrifft) legitime Verbindungen zu verfolgen (nf_conntrack) und alles zu droppen, was nicht zu einer vollständigen TCP-Verbindung gehört (--ctstate invalid). Wenn du das Ganze noch in den "mangle"-Table statt den "filter"-Table packst, kannst du so selbst mit einem verhältnismäßig schwachen Linux-Server mehrere Million Pakete in der Sekunde droppen, ohne dass sich das auf die Anwendungen bzw. den Kernel auswirkt.
infinitnet
New Member
Der NIC sollte selbstverständlich ein entsprechend hochwertiger sein, sofern es sich dann echt um mehrere Mpps handelt, was beim TE ja nicht der Fall ist - die 50Kpps sollte jeder annährend aktuelle Onboard NIC ohne Probleme bewältigen können.
Ich hatte in der Vergangenheit mal div. Tests mit einer KVM VM und 10Gbit Uplink durchgeführt.
Der Node lief mit einer Intel X520-DA2 NIC bis ca. 2,5mpps (ohne großes Finetuning) Syn Pakete problemlos. Die VM war ab ca. 50kpps tot, bei ca. 35kpps ergab sich richtig unschöner Packetloss. Getestet sowohl mit virtio als auch Intel E1000 Emulation.
DDoS mit einer VM zu bewerkstelligen halte ich für weniger sinnvoll. Dafür nehme man bitte eine dedizierte Box mit Solarflare NIC. Alternativ gibt es auch Firmen die sich auf die DDoS Mitigation spezialisiert haben - dazu muss man natürlich das notwendige Kleingeld haben
Der Node lief mit einer Intel X520-DA2 NIC bis ca. 2,5mpps (ohne großes Finetuning) Syn Pakete problemlos. Die VM war ab ca. 50kpps tot, bei ca. 35kpps ergab sich richtig unschöner Packetloss. Getestet sowohl mit virtio als auch Intel E1000 Emulation.
DDoS mit einer VM zu bewerkstelligen halte ich für weniger sinnvoll. Dafür nehme man bitte eine dedizierte Box mit Solarflare NIC. Alternativ gibt es auch Firmen die sich auf die DDoS Mitigation spezialisiert haben - dazu muss man natürlich das notwendige Kleingeld haben
die netzwerkpakete erreichen deine Netzwerkkarte trotzdem
das interessiert die nicht ob du die droppst oder nichtm, wenn man angreifen will.
Wenn nur die Webserver Instanz (nicht aber die Netzwerkkarte gestört wird)
kann software-Firewall helfen die Erreichbarkeit wiederherzustellen, sofern nicht die max. Bandbreite überladen wird.
OVH hat eine ziemlich gute Anti-DDoS, die anschlägt, sobald was losgeht.
Und das sogar beim kleinsten vServer Paket für 2,40 Euro im Monat bis hin zu Business Servers.
Grüße
Gut? 500Mbit UDP Flood -> Tot - grandioser DDoS Schutz
Btw. du glaubst gar nicht wieviele Kiddies wissen, wie sie einen OVH Server plätten. Gegen Synflood und übliche Reflection Angriffe mag der DDoS Schutz von OVH wirksam sein. Hast du es mit etwas exotischem zu tun, geht der Traffic volle Möhre durch die Filter durch und legt dir im schlimmsten Falle den Server sofort lahm.
infinitnet
New Member
Ich habe zwar noch nie den DDoS-Schutz von OVH getestet, aber bieten die nicht eine Art ACLs an, sodass man die entsprechenden Quell- oder Zielports blocken könnte? Ein solches Vorgehen ist natürlich nicht gerade wünschenswert, aber für 30€ oder wie viel der DDoS-Schutz von OVH kostet schon mehr als man erwarten kann.Gut? 500Mbit UDP Flood -> Tot - grandioser DDoS Schutz
Btw. du glaubst gar nicht wieviele Kiddies wissen, wie sie einen OVH Server plätten. Gegen Synflood und übliche Reflection Angriffe mag der DDoS Schutz von OVH wirksam sein. Hast du es mit etwas exotischem zu tun, geht der Traffic volle Möhre durch die Filter durch und legt dir im schlimmsten Falle den Server sofort lahm.
Tja, denkste. UDP komplett per ACL gesperrt, flux kommt jeder Synflood durch deren Mitigation Equipment durch
Toll oder? Ein Bekannter hat das soweit getrieben, dass er seinen Server per DDoS in's Rescue gebootet hat. Das ist ansich auch ganz easy, man muss eine OVH Kiste einfach nur richtig mit entsprechend viel Traffic bombadieren, bis der Server nicht mehr auf Pings antwortet.
30€ wie kommst du den darauf?
Bei allen aktuellen Servern ist der inklusive, und bei den ganz alten Server war es 1€
infinitnet
New Member
Das hört sich ja traumhaft an. Was sagt OVH dazu, dass TCP nicht mehr richtig gefiltert wird, wenn man UDP ACL't? Ist das ein Bug, ein Designfehler oder gewollt?Tja, denkste. UDP komplett per ACL gesperrt, flux kommt jeder Synflood durch deren Mitigation Equipment durch
Toll oder? Ein Bekannter hat das soweit getrieben, dass er seinen Server per DDoS in's Rescue gebootet hat. Das ist ansich auch ganz easy, man muss eine OVH Kiste einfach nur richtig mit entsprechend viel Traffic bombadieren, bis der Server nicht mehr auf Pings antwortet.
Dass ab und zu mal ein Angriff gefahren wird, den die Hardware trotz ewig vieler Signaturen und Algos nicht bzw. nicht vollständig erkennt, erlebe ich leider auch bei RioRey immer mal wieder. Normalerweise sollte der Hersteller dann aber an Verbesserungen arbeiten und OVH die Arbor-Kisten mit Updates versehen, sodass das kein Dauerzustand bleibt.
Die 30€ waren auf die "Pro"-Option bezogen, ohne die nach meinen Informationen keine eigenen ACLs möglich sind. Wie bereits erwähnt habe ich noch nie selbst OVH verwendet, weshalb meine Informationen ungenau sein können. Ich habe aber gehört, dass der DDoS-Schutz ohne diese "Pro"-Option wirklich nichts taugt und m.E. wäre es deshalb selbstervständlich diese dazuzubuchen, wenn man OVH zum Schutz vor DDoS verwenden möchte.