Hetzner führt DDoS Protection ein

C

chbu

Guest
Hallo Zusammen,

Wir haben ueber die letzten Monate verschiedene Systeme zur Abwehr von DDOS-Angriffen getestet und inzwischen auch ein System implementiert. Dieses besteht im wesentlichen aus 3 Ebenen ueber welche wir in der Lage sind Angriffstraffic von validen Traffic zu trennen.

1. Automatische Erkennung von Angriffsmustern

Neben der bisherigen Erkennung basierend auf der Trafficmenge und Paketmenge sind wir nun in der Lage den eigentlichen Angriff genauer einzugrenzen. Dadurch koennen wir genauer auf den verwendeten Angriffstyp eingehen. Ein UDP-Flood mit 500k pps ist fuer Server kein Problem. 500k SYN Pakete koennen aber schon ein Problem darstellen. Genau diese Unterscheidung ist jetzt moeglich.

2. Filtern des Traffics nach bekannten Angriffsmustern.

Auf dieser Ebene werden die haeufig verwendeten Angriffe gefiltert. Somit koennen wir Angriffe sehr effizient herausfiltern. Dies betrifft besonders die haeufig auftretenden Angriffe wie DNS-Reflection oder UDP Floods auf Port80

3. Challenge-Response-Authentifizierung und Dynamische Trafficfilterung

Hierbei werden Angriffe wie SYN-Floods, DNS-Floods und Invalid Packets gefiltert. Auch koennen wir an dieser Stelle sehr flexibel auf einzelne Angriffe reagieren.

Insgesamt ist es natuerlich notwendig das wir Default-Werte definieren welche fuer alle Kunden funktionieren. Daher sind unsere aktuellen Filter sehr zurueckhaltend konfiguriert. Wir schauen uns aber alle Angriffe an und versuchen unsere Filter und Responses zu verbessern.

Sollte jemand Ziel eines Angriffes werden welchen wir nicht erkennen oder unzureichend filtern koennt ihr euch gern melden. Wir werden das dann untersuchen und schauen wie wir auf diesen Angriff reagieren koennen.

Ich hoffe das in Zukunft keine Server mehr wegen eingehender Angriffe gesperrt werden muessen.

Gruss
Martin

---
MOD:Realnamen entfernt.
Netzwerksupport
Quelle: https://forum.hetzner.de/thread/23562-ddos-mitigation/?postID=239250#post239250


Je nachdem wie gut die Protection ist oder sich entwickelt, wird jetzt einigen Anbietern wie Link11, First-Colo oder allen mit Voxility Protection der Angstschweiß von der Stirn laufen ;)

Hetzner wird damit einen riesigen Teil des Gameservermarktes zurückerobern. Sofern die Protection denn auch was taugt.

Es war aber auch notwendig, dann gegen Anfang nächsten Jahres eröffnet OVH sein erstes Rechenzentrum in Deutschland.
 
Last edited by a moderator:

virtual2

Registered User
Quelle: https://forum.hetzner.de/thread/23562-ddos-mitigation/?postID=239250#post239250


Je nachdem wie gut die Protection ist oder sich entwickelt, wird jetzt einigen Anbietern wie Link11, First-Colo oder allen mit Voxility Protection der Angstschweiß von der Stirn laufen ;)

Hetzner wird damit einen riesigen Teil des Gameservermarktes zurückerobern. Sofern die Protection denn auch was taugt.

Es war aber auch notwendig, dann gegen Anfang nächsten Jahres eröffnet OVH sein erstes Rechenzentrum in Deutschland.
Klingt eher nach Router ACLs (stumpf gesagt Firewall Regeln), bekannte Angriffsmuster filtern ist auch weniger DDoS Schutz. DDoS Schutz verhält sich flexibel und filtert nicht nur nach Mustern wie es eine Firewall tun würde.

Der Angstschweiß wird hier wohl kaum jemanden von der Stirn laufen, selbst OVH stellt für Anbieter wie Link11 oder First-Colo keine wirkliche Konkurrenz dar.

Ein UDP-Flood mit 500k pps ist fuer Server kein Problem. 500k SYN Pakete koennen aber schon ein Problem darstellen.
Diese Aussage stellt den Hetzner DDoS Schutz, wenn man diesen überhaupt so nennen kann, in meinen Augen in ein schlechtes Licht. Klingt eher nach Kinderspielzeug für die Standardattacken. Wenn dann mal ein komplexer UDP Flood mit 30mpps rein fliegt, ist sicherlich auch das Licht aus.
 

Orebor

He who dances with pointers
Der Punkt ist wohl eher, dass Hetzner sich hier treu bleibt: bezahlbare Lösungen für die Massen, was meiner Meinung nach auch Sinn macht.
Wer eine extrem hohe Verfügbarkeit benötigt, wird um spezielle Lösungen sowieso nicht rum kommen aber diese für alle zu implementieren würde die Serverpreise drastisch steigen lassen.

Von daher denke ich auch nicht, dass hier die "Spezialanbieter" Angst haben müssen, wohl aber ist das eine schöne Entwicklung für die meisten Durchschnittskunden und es bestätigt mich persönlich darin, dass ich gerne Kunde bei Hetzner (neben anderen) bin.
 
Last edited by a moderator:
A

andreas0

Guest
Hetzner wird damit einen riesigen Teil des Gameservermarktes zurückerobern. Sofern die Protection denn auch was taugt.
Oh, dass sieht ja wirklich so aus, als würde der Provider Hetzner nun auch zu Gunsten der Telekom-Kunden deren Netzanbindung verbessern. Siehe folgenden Trace aus dem Netz der Deutschen Telekom über einen VDSL-Anschluß 50/10 zum Provider Hetzner:

Code:
traceroute to speed.hetzner.de (88.198.248.254), 30 hops max, 60 byte packets
 3  217.0.119.41 (217.0.119.41)  17.171 ms  17.197 ms  17.187 ms
 4  217.0.75.194 (217.0.75.194)  18.122 ms  18.144 ms  18.143 ms
 5  217.239.48.222 (217.239.48.222)  18.140 ms  18.350 ms  18.372 ms
 6  ae15-0.fra10.core-backbone.com (87.190.233.2)  18.371 ms  17.551 ms  17.530 ms
 7  ae10-2021.fra20.core-backbone.com (80.255.14.6)  17.499 ms  18.053 ms  18.006 ms
 8  core-backbone-100g-fra.hetzner.de (80.255.15.122)  17.168 ms  17.573 ms  17.566 ms
 9  core4.hetzner.de (213.239.245.2)  17.548 ms  17.253 ms  17.230 ms
10  core11.hetzner.de (213.239.245.34)  19.670 ms  19.539 ms  19.518 ms
11  juniper3.rz1.hetzner.de (213.239.245.58)  19.484 ms  19.838 ms  19.633 ms
12  speedtest.your-server.de (88.198.248.254)  19.774 ms  19.424 ms  20.427 ms

Was aber leider aus meiner Sicht noch zu bemängeln ist, sind die vielen Hops im Trace. Sieh folgenden Teil-Trace:

Code:
 8  core-backbone-100g-fra.hetzner.de (80.255.15.122)  17.168 ms  17.573 ms  17.566 ms
 9  core4.hetzner.de (213.239.245.2)  17.548 ms  17.253 ms  17.230 ms
10  core11.hetzner.de (213.239.245.34)  19.670 ms  19.539 ms  19.518 ms
11  juniper3.rz1.hetzner.de (213.239.245.58)  19.484 ms  19.838 ms  19.633 ms
12  speedtest.your-server.de (88.198.248.254)  19.774 ms  19.424 ms  20.427 ms
 

nexus

Active Member
Was aber leider aus meiner Sicht noch zu bemängeln ist, sind die vielen Hops im Trace. Sieh folgenden Teil-Trace:

Code:
 8  core-backbone-100g-fra.hetzner.de (80.255.15.122)  17.168 ms  17.573 ms  17.566 ms
 9  core4.hetzner.de (213.239.245.2)  17.548 ms  17.253 ms  17.230 ms
10  core11.hetzner.de (213.239.245.34)  19.670 ms  19.539 ms  19.518 ms
11  juniper3.rz1.hetzner.de (213.239.245.58)  19.484 ms  19.838 ms  19.633 ms
12  speedtest.your-server.de (88.198.248.254)  19.774 ms  19.424 ms  20.427 ms
Viele Hops? Ich kenne viele Routen, bei denen 12 Hops bei weitem nicht ausreichen.
Der von dir zitierte Abschnitt zeigt doch nur den Weg innerhalb der Hetzner-Netzwerkstruktur auf.
Vereinfacht ausgedrückt betritt das Datenpaket das Hetzner-Netzwerk (Hop 8), geht ins richtige RZ (Hop 9), weiter zum richtigen Switch (Hop10), der schickt es zum richtigen Server (Hop 11) und dort kommt es an (Hop 12).
Eine ganz normale Route...
 

nexus

Active Member
Der Server hat also 2 Hops im trace?
Okay, hab ich vielleicht etwas blöd formuliert ;)
Mir ist auch klar, daß der kurze Zweizeiler keine exakte Beschreibung der Netzwerktopologie liefert. Ich wollte nur aufzeigen, daß die Daten innerhalb des Hetznernetzwerkes einige Stationen durchlaufen müssen, um ans Ziel zu gelangen.
 
Last edited by a moderator:
A

andreas0

Guest
Auf die Erklärung, weshalb das deiner Meinung nach schlecht ist, bin ich gespannt :)
Kurz erklärt bedeutet für mich jeder weitere Hop in der Kette ein Störfaktor mehr und kann die Verfügbarkeit bezogen auf die Netzanbindung beeinträchtigen.

Dies ist aber wie schon in meinem vorherigen Beitrag beschrieben halt meine Meinung.

Beim Hoster Hosteurope, der doch etwas größer sein dürfte als Heztner, sieht der Trace, was die Anzahl der Hops angeht, schon weitaus besser aus. Siehe folgenden Trace:

Code:
traceroute to hosteurope.de (80.237.128.168), 30 hops max, 60 byte packets
 3  217.0.119.41 (217.0.119.41)  17.353 ms  17.382 ms  17.383 ms
 4  217.0.75.198 (217.0.75.198)  18.156 ms  18.183 ms  18.175 ms
 5  217.239.50.81 (217.239.50.81)  18.108 ms  18.143 ms  18.125 ms
 6  xe-3-0-0.cr-pollux.cgn3.core.heg.com (62.157.250.114)  19.133 ms  19.288 ms  19.783 ms
 7  xe-0-2-0.dr-master.r1.cgn3.plusserver.com (176.28.4.18)  19.373 ms  19.183 ms  20.152 ms
 8  www.hosteurope.de (80.237.128.168)  20.379 ms  20.797 ms  20.768 ms

Hast du auch den extra DTAG Traffic gebucht?
Nein, da ich bei Hetzner nur eine Storage Box gemietet habe, bei der aber der Trace genauso gut aussieht.
 

Joe User

Zentrum der Macht
Der Server hat also 2 Hops im trace?
Nein, Hop 11 leitet zum Server weiter und Hop 12 ist der Server selbst. So schrieb Nexus es aber auch unmissverständlich...

Wer lesen kann, ist klar im Vorteil. So schwer ist die deutsche Sprache nun auch wieder nicht.
 

vb-server

Registered User
Nein.

- weiter zum richtigen Switch (Hop10)
- der [Hop10] schickt es zum richtigen Server (Hop 11) // Ab hier ist es gemäss seiner Aussage beim server
- und dort kommt es an (Hop 12). // Ein zweites Mal beim Server?

Wer lesen kann, ist klar im Vorteil. So schwer ist die deutsche Sprache nun auch wieder nicht.
Ich wäre Dir sehr verbunden wenn du nicht ständig auf anderen rumhacken und etwas kritisieren würdest. Besten Dank.
 
Last edited by a moderator:

nexus

Active Member
Bitte nicht streiten, weil meine Formulierung ungenau war...

Nein.

- weiter zum richtigen Switch (Hop10)
- der [Hop10] schickt es zum richtigen Server (Hop 11) // Ab hier ist es gemäss seiner Aussage beim server
- und dort kommt es an (Hop 12). // Ein zweites Mal beim Server?
Naja, eigentlich doch...

- weiter zum richtigen Switch (Hop10) -- hier schickt core11.hetzner.de das Datenpaket zum Switch juniper3.rz1.hetzner.de
- der schickt es zum richtigen Server (Hop 11) -- also juniper3.rz1.hetzner.de schickt es zum Ziel speedtest.your-server.de
- und dort kommt es an (Hop 12) -- das Ziel speedtest.your-server.de ist erreicht
 
A

andreas0

Guest
Bitte nicht streiten, weil meine Formulierung ungenau war...
Ich gehe mal davon aus, dass sich @vb-server hierzu nicht nochmal geäußert hätte, wenn ihm es in einem vernünftigen Ton erklärt worden wäre. Denn der Ton spielt hier die Musik.
 

Fusl

Blog Benutzer
Streitet ihr euch jetzt ernsthaft wer wegen 'nem dämlichen Traceroute im Recht bzw. im Unrecht liegt?

Ok, ich mach mit :›

Code:
traceroute to speed.hetzner.de (88.198.248.254), 30 hops max, 60 byte packets
 3  217.0.119.41 (217.0.119.41)  17.171 ms  17.197 ms  17.187 ms
 4  217.0.75.194 (217.0.75.194)  18.122 ms  18.144 ms  18.143 ms
 5  217.239.48.222 (217.239.48.222)  18.140 ms  18.350 ms  18.372 ms
    ^ DTAG (intern)
 6  ae15-0.fra10.core-backbone.com (87.190.233.2)  18.371 ms  17.551 ms  17.530 ms
    ^ Peering DTAG <-> Core Backbone Core Router
 7  ae10-2021.fra20.core-backbone.com (80.255.14.6)  17.499 ms  18.053 ms  18.006 ms
    ^ Core Backbone Peering zu Hetzner
 8  core-backbone-100g-fra.hetzner.de (80.255.15.122)  17.168 ms  17.573 ms  17.566 ms
    ^ Peering Core Backbone <-> Hetzner Edge Router (hier schon auf Hetzners Seite - NICHT RZ1)
 9  core4.hetzner.de (213.239.245.2)  17.548 ms  17.253 ms  17.230 ms
    ^ Hetzner Core (intern - selbes RZ wie Hop 8)
10  core11.hetzner.de (213.239.245.34)  19.670 ms  19.539 ms  19.518 ms
    ^ Hetzner Core (intern - RZ1)
11  juniper3.rz1.hetzner.de (213.239.245.58)  19.484 ms  19.838 ms  19.633 ms
    ^ Hetzner Router (abgetrennte Zone, RZ1 - kann auch ein L3 Switch sein der mit Core spricht)
12  speedtest.your-server.de (88.198.248.254)  19.774 ms  19.424 ms  20.427 ms
    ^ Internet Geschwindigkeits- und Latenz-Messungs Werkzeug
 
Last edited by a moderator:

IP-Projects.de

verifizierter Anbieter
Habe mir das gerade einmal auch durchgelesen. Das Problem was ich sehe ist, es wird erst gefiltert, wenn ein Angriff kommt. Das Netzwerk läuft daher nicht direkt über das Filternetz, daher kommt die erste Angriffswelle ungehindert am Server an bis dann "binnen wenigen Sekunden" über das Filternetz umgeroutet wird. Es ist daher kein Permanentfilter. Wenn man Kunden hat, die oft stark unter DDoS stehen, kriegen das daher andere Kunden am selben Switch mit wenn der Traffic ankommt, da dann der Uplink für wenige Sekunden dicht ist.
Dieses Problem ist mit ein Grund, warum wir z.B. zwischen DDoS geschützten Netzwerken und nicht DDoS geschützten Netzwerken unterscheiden und von den Kunden, die häufig unter DDoS stehen einen kleinen monatlichen Obolus verlangen. Ich denke aber, hier wird Hetzner mit der Zeit auch Erfahrungen sammeln und Anpassungen durchführen.
 

MadMakz

Member
Diese Aussage stellt den Hetzner DDoS Schutz, wenn man diesen überhaupt so nennen kann, in meinen Augen in ein schlechtes Licht. Klingt eher nach Kinderspielzeug für die Standardattacken. Wenn dann mal ein komplexer UDP Flood mit 30mpps rein fliegt, ist sicherlich auch das Licht aus.
Das ist ein Vergleich das x nicht zum gleichen Zeitpunkt schlecht wird wie y und keine Aussage das nur bis 500 pps ein Schutz besteht.
Es sollte nur verdeutlichen das die implementierung zwischen Gut und Böse unterscheiden kann. Normaler Werbetext.

Wieviel Hetzner (pro Kunde) ausshält wird logischerweise nicht erwähnt.
 
Last edited by a moderator:

[netcup] Felix

Blog Benutzer
Habe mir das gerade einmal auch durchgelesen. Das Problem was ich sehe ist, es wird erst gefiltert, wenn ein Angriff kommt.
Was wäre die Alternative? Einfach generell alles abschalten damit zu 100% jeder DDoS ausgeschlossen werden kann?

Anstatt bei Mitbewerbern Probleme zu suchen, würde ich an deiner Stelle mich um mein eigenes Business kümmern. Nachdem Hetzner und andere Größen auf dem Markt jetzt einen kostenlosen Schutz vor DDoS anbieten, wird es bald jeder Anbieter tun, der noch auf dem Massenmarkt Kunden gewinnen möchte.

Schönes Wochenende!


Gruß Felix
 

IP-Projects.de

verifizierter Anbieter
Was wäre die Alternative? Einfach generell alles abschalten damit zu 100% jeder DDoS ausgeschlossen werden kann?
So wie wir es mit Voxility machen. Voxility routet alle Pakete über deren Netzwerk. Dort arbeiten Sensoren, die eine DDoS Attacke erkennen und über das Filternetzwerk umleiten so dass zwar genauso nur gefiltert wird, wenn ein Angriff kommt, allerdings die Filterung passiert, bevor die Attacke den Server erreicht.


C:\Users\Michael Schinzel>tracert 84.200.xxx.xxx

Routenverfolgung zu 84.200.62.130 über maximal 30 Hops

1 1 ms 3 ms <1 ms fritz.box [192.168.178.1]
2 19 ms 19 ms 21 ms 87.186.224.164
3 19 ms 18 ms 18 ms 87.190.173.190
4 24 ms 28 ms 23 ms 217.239.49.202
5 25 ms 24 ms 23 ms 87.190.232.158
6 42 ms 55 ms 62 ms voxility-ic-304822-ffm-b11.c.telia.net [62.115.38.210]
7 25 ms 24 ms 24 ms fra-eq5-01c.voxility.net [109.163.237.18]
8 24 ms 23 ms 27 ms fra-in8-01c.voxility.net [5.254.88.201]
9 24 ms 24 ms 23 ms lh28933.voxility.net [5.254.86.26]
10 24 ms 23 ms 23 ms fra4.xe-0-1-0.accelerated.de [84.200.230.81]
11 24 ms 23 ms 23 ms 84.200.xxx.xxx
Dieses Verfahren siehst du bereits im Routing. Erkennen die ersten Sensoren von Voxility einen Angriff, routen diese automatisch auf das Filternetzwerk. Was bei uns dann ankommt ist nur noch Clean Traffic. Als kleinen Nachweis habe ich eines unserer DDoS V-LANs angehängt.

Zugegebenermaßen ist auch Voxility nicht immer optimal. Es kann schon zeitweise zu Routingproblemen kommen (das war seit Januar ca. 1-2x für wenige Minuten der Fall) und auch nicht alle Angriffe werden 100 % optimal gefiltert - manchmal wird mehr gefiltert als notwendig.
Die Lösung als Solches ist aber im Vergleich zu anderen Lösungen am Markt vergleichsweise schlau gelöst, es werden keine "normalen" Kunden durch DDoS Angriffe im Wirkbetrieb gestört und man hält sich DDoS Angriffe aus dem eigenen Rechenzentrumnetzwerk fern. Bislang ist kein DDoS Angriff durch Voxility auf unsere Server durchgedrungen.

Des Weiteren muss man nicht selbst Entwicklungs- und Wartungsaufwand betreiben, man muss keine Uplinks wegen DDoS Angriffen unsinnig erweitern wodurch man im Vergleich viel Arbeit, Ärger und natürlich Geld spart. Wir arbeiten mit der Lösung jetzt seit Januar und wie auch andere Mitbewerber sagen - es ist sehr ruhig geworden was DDoS Angriffe angeht.
Aus eigener Erfahrung stehe ich daher Inhouse Lösungen sehr kritisch gegenüber, aber die Zeit wird zeigen welche Lösung sich bewährt.


Anstatt bei Mitbewerbern Probleme zu suchen, würde ich an deiner Stelle mich um mein eigenes Business kümmern. Nachdem Hetzner und andere Größen auf dem Markt jetzt einen kostenlosen Schutz vor DDoS anbieten, wird es bald jeder Anbieter tun, der noch auf dem Massenmarkt Kunden gewinnen möchte.
Und täglich grüßt das Murmeltier. Ich kümmere mich um mein Business, deswegen befasse ich mich auch mit verschiedenen DDoS Lösungen. Genau aus dem Grund kann ich mit meiner Erfahrung auch eine Lösung eines Mitbewerbers kritisch beurteilen und meine Meinung dazu mitteilen. Wir sind hier letztlich in einem Forum. Jeder wächst mit seinen Herausforderungen.

Ob man einen DDoS Schutz kostenfrei anbietet oder nicht ist vom Anbieter selbst abhängig. OVH macht das meines Wissens schon seit Jahren so - früher hat es 1 € gekostet. Ich hingegen bin der Meinung, dass man die Kosten einer solchen Lösung nicht allen Kunden auferlegen sollte sondern nur den Kunden, die diese Lösung auch benötigen. Weil 10 % der Kunden einen DDoS Schutz benötigen, sollten nicht die 90 % der anderen Kunden diese mitbezahlen müssen. So ist das Gefälle zumindest bei uns in etwa.
 

Attachments


Top