DoS Prevention Systeme

[Thorsten]

Hallo!

Aus aktuellem Anlass mal eine Frage zur (professionellen) DoS / dDoS Abwehr. Wir hatten dieses Thema ja bereits hier im Forum ausgiebig erörtert.

Zusätzlich scheint in letzter Zeit wohl auch ein aktuelles Thema bei den Anbietern zu sein.

Hat hier jemand Erfahrungen mit DoS Prevention Systemen? Gibt es vielleicht das ein oder andere Standardwerk was zum Einstieg gelesen werden sollte?

mfG
Thorsten

 

[Huschi]

Für gute (deutsche) Literatur zu dem Thema such bei Amazon nach dem Autor Ralf Spenneberg. Weitere Stichwörter zum suchen "Intrusion Detection" oder "forensic" oder "Hacker linux". Im Englischsprachigen Bereich findet sich üblicherweise eine größere Auswahl. (Und damit auch viele schlechte Werke.)
Die Bücher gehen natürlich weit über ein DoS hinaus. Aber es gibt meistens Kapitel die dieses Thema behandeln.

Ein umfassenden Einblick speziell für Linux liefert dieses recht alte Buch:
3826606698
Es geht geht recht oberflächlich an das Thema ran. Sozusagen "für Dummies". Hat den Vorteil dass man es leicht versteht und da es nicht all zu sehr in die Tiefe geht, kann man die Dinge mit eigener Transferleistung auch heute noch umsetzten.

huschi.

 

[Roger Wilco]

Für gute (deutsche) Literatur zu dem Thema such bei Amazon nach dem Autor Ralf Spenneberg.

Kann ich so unterschreiben. Spenneberg hat einige nette Bücher über Sicherheitsthemen unter Linux im Allgemeinen geschrieben. Die meisten gibts auch online unter http://spenneberg.com/.

Die Abwehr eine normalen Denial of Service Attacke, die von einem oder zwei Hosts ausgeht, ist nicht sonderlich schwer. Die meiste Netzwerk-Hardware im Hochpreissegment (Switche, Router etc.) hat bereits Funktionen integriert, um diese zu erkennen (z. B. ab einer bestimmten Paketrate pro Zeiteinheit pro Client) und die "angreifenden" Hosts zu sperren und deren Pakete idealerweise direkt an den Netzwerkgrenzen zu verwerfen. Das ist kein Kunststück.

Bei einer großen Distributed DoS ist es allerdings nicht mehr so einfach, da jeder der "angreifenden" Hosts ggf. nur wenige Daten schickt. Da macht es einfach die Masse der Angreifer. Und das ist auch der Punkt, weshalb sich DDoS-Attacken schlecht filtern lassen, außer man klemmt das Opfer ab. Um zu erkennen, was legitimer Datenverkehr ist und was nicht, müsste eine Deep Packet Inspection durchgeführt werden, ggf. bis auf die Schicht des Applikationsprotokolls herunter - das sind die berühmten Layer7 Filter, die entsprechend teuer sind; sowohl monetär als auch von der verbrauchten Rechenleistung. Im Zweifel sperrt man komplette Netzblöcke, wenn die Angreifer hauptsächlich von einem bestimmten Provider kommen. Allerdings ist dann immer noch nicht gesichert, dass es keine False Positives darunter gibt, also legitime Clients, die zufällig den gleichen Provider wie die Zombies nutzen.

Fakt ist, dass sich DDoS-Attacken nicht zuverlässig abwehren lassen. Die beste Möglichkeit ist immer noch, sie erst gar nicht entstehen zu lassen (jaja, ein Metavorschlag...). Aus Sicht des hostenden ISPs ist es das billigste, das Opfen kurzfristig abzuklemmen und jeglichen Datenverkehr zu ihm zu unterbinden. Eventuell lässt sich das auf einige Netzblöcke begrenzen (dafür gibt es eben Analyse Werkzeuge), in denen es dann allerdings auch Unbeteiligte geben kann, die nicht mehr auf das Ziel zugreifen können.