• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Hetzner führt DDoS Protection ein

[netcup] Felix;376778 said:
Anstatt bei Mitbewerbern Probleme zu suchen, würde ich an deiner Stelle mich um mein eigenes Business kümmern.

@IP-Projects.de
Ersteinmal finde ich es gut, dass sich auch ein erfahrener Provider zu Gunsten der Forum-Mitglieder zu solchen und ähnlichen Problemen meldet.

So wie es aber für mich aussieht, wird durch die Erweiterung weiterer Gateways die Latenz zum Ziel-Server extrem verschlechtert. Vergleiche ersten und zweiten Trace. Und insbesondere die Antwortzeit des Gateways mit dem Namen voxility-ic-304823-ffm-b11.c.telia.net.

Code:
traceroute to 84.200.62.130 (84.200.62.130), 30 hops max, 60 byte packets
 3  217.0.119.41 (217.0.119.41)  18.337 ms  18.335 ms  19.608 ms
 4  217.0.75.194 (217.0.75.194)  19.967 ms  19.959 ms  20.650 ms
 5  f-ee7-i.F.DE.NET.DTAG.DE (62.156.131.154)  20.638 ms  21.449 ms  21.440 ms
 6  87.190.232.158 (87.190.232.158)  22.740 ms  21.145 ms  19.910 ms

 7  voxility-ic-304823-ffm-b11.c.telia.net (62.115.38.214)  131.359 ms  131.352 ms  131.300 ms

 8  fra-eq5-01c.voxility.net (109.163.237.26)  20.536 ms  18.138 ms  18.132 ms
 9  fra-in8-01c.voxility.net (5.254.88.201)  18.506 ms  19.419 ms  30.279 ms
10  lh28933.voxility.net (5.254.86.26)  20.554 ms  20.553 ms  20.512 ms
11  fra4.xe-0-1-0.accelerated.de (84.200.230.81)  21.299 ms  21.264 ms  22.698 ms
12  84.200.62.130 (84.200.62.130)  22.790 ms  23.656 ms  18.638 ms

Code:
traceroute to 84.201.10.5 (84.201.10.5), 30 hops max, 60 byte packets
 3  217.0.119.41 (217.0.119.41)  18.759 ms  18.753 ms  18.720 ms
 4  217.0.75.198 (217.0.75.198)  20.094 ms  23.966 ms  23.957 ms
 5  217.239.44.22 (217.239.44.22)  21.590 ms  21.581 ms  21.550 ms
 6  80.156.160.162 (80.156.160.162)  22.331 ms  36.862 ms  20.749 ms
 7  fra4.xe-0-1-0.accelerated.de (84.200.230.81)  21.233 ms  19.467 ms  20.274 ms
 8  ipp.ip-projects.de (84.201.10.5)  21.634 ms  19.025 ms  18.999 ms
 
So wie es aber für mich aussieht, wird durch die Erweiterung weiterer Gateways die Latenz zum Ziel-Server extrem verschlechtert. Vergleiche ersten und zweiten Trace. Und insbesondere die Antwortzeit des Gateways mit dem Namen voxility-ic-304823-ffm-b11.c.telia.net.

Die Latenzzeit wird 1 ms schlechter. Die Latenzzeit beim Ziel ist entscheident nicht der einzelnen Hops. Man kann auch bei den einzelnen Hops z.B. Paketloss haben wenn die Hops nicht auf ICMP Pakete antworten. Das ist normal und bedingt durch Routerseitige Firewalls. Die Latenzzeit wird daher durch das Zuschalten von Voxility nur marginal beeinträchtigt.
 
So wie wir es mit Voxility machen. Voxility routet alle Pakete über deren Netzwerk. Dort arbeiten Sensoren, die eine DDoS Attacke erkennen und über das Filternetzwerk umleiten so dass zwar genauso nur gefiltert wird, wenn ein Angriff kommt, allerdings die Filterung passiert, bevor die Attacke den Server erreicht.

Und wo genau ist da jetzt der Unterschied zur Lösung von Hetzner, außer das Hetzner das mit eigener Infrastruktur realisiert anstatt die Pakete über andere Anbieter umzuleiten?
 
Last edited by a moderator:
[netcup] Felix;376784 said:
Und wo genau ist da jetzt der Unterschied zur Lösung von Hetzner, außer das Hetzner das mit eigener Infrastruktur realisiert anstatt die Pakete über andere Anbieter umzuleiten?

Wenn ich die Ausführungen von Hetzner und von Michael richtig interpretiere, dann leitet Hetzner den Traffic nach Erkennung von Angriffsmustern dynamisch durch das Filternetzwerk, während bei IP-Projects der gesamte Traffic über Voxility "durchgeschleift" wird.

Hetzner said:
Sollte eine Attacke erkannt werden, schaltet sich der Schutz innerhalb weniger Sekunden dynamisch ein und filtert den Angriff. Durch die dynamische Vorgehensweise wird Ihr Traffic im Normalfall nicht beeinflusst.
 
während bei IP-Projects der gesamte Traffic über Voxility "durchgeschleift" wird.

Ja, allerdings arbeitet Voxility ähnlich wie Hetzner. Gefiltert wird immer erst dann, wenn es einen Angriff gibt (sonst kann man ja schlecht etwas herausfiltern).
 
Und wo genau ist da jetzt der Unterschied zur Lösung von Hetzner, außer das Hetzner das mit eigener Infrastruktur realisiert anstatt die Pakete über andere Anbieter umzuleiten?

Wie bereits geschrieben erreicht die Attacke das Rechenzentrum wenn nicht sogar direkt den Server bevor die Filter den Angriff filtern. Dadurch können Kunden, die eigentlich gar nicht unter DDoS stehen oder damit nie Probleme gehabt haben in Mitleidenschaft gezogen werden. Gerade wenn mal die ersten Kunden kommen die Richtig unter DDoS stehen wird man das merken. Wir hatten auch in der Vergangenheit immer wieder DDoS Angriffe jenseits von 40 Gigabit/s. So stark ist normal kein Switch Link innerhalb einer Netzwerkinfrastruktur ausgelegt. Wenn also auch nur für Sekunden solche Angriffe durch den Filter kommen, bevor dieser den Angriff bemerkt, sind alle Kunden, die diesen Link nutzen, nicht mehr erreichbar. Wenn auch nur für Sekunden gibt es dann Paket Loss.
Es kann sein, dass hier meine Ansprüche zu hoch gesetzt sind, unser Domiziel ist auch nicht der Massenmarkt, aber genau wegen solchen Problemen haben wir uns für einen externen DDoS Schutz entschieden der absolut nichts mit unserem Routing / Netzwerk zu tun hat, sonst hätte man auch weiter Nullrouten können. Das Nullrouting funktioniert ja vergleichbar nur dass hier eben niemals gefiltert sondern abgeschaltet wird.

Aber ich habe ebenfalls geschrieben - auch wenn du das vermutlich überlesen hast - dass Hetzner hier vermutlich in den nächsten Wochen / Monaten auch erfahrungen sammeln wird. Die Lösung ist ja noch sehr frisch. Wie gesagt - man wächst mit den Herausforderungen.
 
Wie bereits geschrieben erreicht die Attacke das Rechenzentrum wenn nicht sogar direkt den Server bevor die Filter den Angriff filtern.

Also es gibt hier einfache Maßnahmen die dazu führen, dass in so einem Fall andere Kunden nichts davon mitbekommen. Z.B. in dem die mögliche Bandbreite je Server bereits auf den Routern limitiert wird. Darüber hinaus filtert Voxility auch erst dann, wenn der Angriff erkannt wurde. Hellsehende Layer 3 Hardware gibt es noch nicht. ;)
 
Zum Thema DDOS hab ich mal eine grundsätzliche Frage, speziell gerichtet an die Anbieter, die hier mitlesen...

Ich bin schon desöfteren mal im Netz über (nach meinem Empfinden) sehr gewagte Äußerungen einiger von Angriffen betroffenen Hoster gestolpert, in denen angedeutet wurde, daß man es nicht für ausgeschlossen halte, daß ein Teil solcher Angriffe in irgendeiner Form von den Dienstleistern solcher Filtersysteme initiiert sein könne, um ihr Angebot (noch) attraktiver zu machen.

Ich persönlich halte solche Äußerungen ja für hoch spekulativ, denn diese Dienstleister sind ja i.d.R. keine Ein-Mann-Unternehmen und wenn an solchen Spekulationen was dran sein sollte, wäre das nicht nur kriminell, ich glaube auch einfach nicht, daß man solche Aktionen im Geheimen anleiern könnte, ohne das jemand was davon mitbekommt.

Kann jemand von den Profis meine Ansicht bestätigen oder besteht (zumindest theoretisch) doch die Gefahr, daß in dem Bereich mit unlauteren Mitteln gearbeitet werden könnte?
 
Also es gibt hier einfache Maßnahmen die dazu führen, dass in so einem Fall andere Kunden nichts davon mitbekommen. Z.B. in dem die mögliche Bandbreite je Server bereits auf den Routern limitiert wird.

Also ist für dich eine praktikable Lösung jeden Kunden ab Router bereits zu limitieren :) Das kann man natürlich machen, aber die Dokumentation nicht vergessen, sonst entsteht da sicher schnell ein Overflow. Bei Hetzner mag das vielleicht sogar funktionieren, bei uns aber nicht, denn wenn mal 100 G DDoS über DTAG das Rechenzentrum erreichen ist der DTAG Link auch nicht mehr nutzbar. Da hilft dann auch eine Router Limitierung nichts mehr.

Du bist aber doch so dicke mit Hetzner - wird ein Kunde ab Router auf die Bandbreite seines Netzwerkports limitiert um dieser Problematik für andere Kunden zu entgegnen?

Darüber hinaus filtert Voxility auch erst dann, wenn der Angriff erkannt wurde. Hellsehende Layer 3 Hardware gibt es noch nicht.

Das habe ich doch bereits genau so gesagt. Nur läuft das dort etwas anders, denn die Sensoren sind den Filtern vorgeschaltet.

Netzwerk -> Sensor -> Filter JA/Nein -> Empfänger
Internet -> Voxility Netzwerk -> Voxility Netzwerk -> Crosslink Voxility -> IPP Netzwerk

Da der Sensor und die Filter im vorgeschalteten Netzwerk sind, kann der Sensor direkt nach Erkennung auf das Filternetzwerk umschalten. Dadurch kommt ja genau nichts über den Clean Traffic Link beim Empfänger an. Wir haben jeden Tag zahlreiche DDoS Angriffe über Voxility auf Server unserer Kunden. Nicht eine Trafficspitze erreicht unser Netzwerk. Das ist der Punkt.
 
Ich persönlich halte solche Äußerungen ja für hoch spekulativ, denn diese Dienstleister sind ja i.d.R. keine Ein-Mann-Unternehmen und wenn an solchen Spekulationen was dran sein sollte, wäre das nicht nur kriminell, ich glaube auch einfach nicht, daß man solche Aktionen im Geheimen anleiern könnte, ohne das jemand was davon mitbekommt.

Kann jemand von den Profis meine Ansicht bestätigen oder besteht (zumindest theoretisch) doch die Gefahr, daß in dem Bereich mit unlauteren Mitteln gearbeitet werden könnte?

Schwierig. Wir haben eher die Erfahrung gemacht, dass gezielt Kunden mit bestimmten Diensten angegriffen werden. Ein Spieler wird von einem CS GO Server gebannt und der CS GO Server dann mit 30 G DDoS beglückt.
Die Kunden, die wirklich Umsatz machen, also wo es wirklich um Geld geht. Onlineshops die z.B. mit Edeka konkurrieren auf dem Lebensmittelmarkt haben bei uns noch nie eine DDoS Attacke erfahren obwohl diese Millionenumsätze erwirtschaften.

Ich tendiere daher eher dazu zu sagen, ein Kunde der unter DDoS steht ist meist gezielt ein Ziel dieses Angriffes und kein Zufallstreffer weil man den Anbieter eine DDoS Protection verkaufen will. Das ist zumindest die Erfahrung die wir in den letzten Jahren gemacht haben.
 
[netcup] Felix;376788 said:
Also es gibt hier einfache Maßnahmen die dazu führen, dass in so einem Fall andere Kunden nichts davon mitbekommen. Z.B. in dem die mögliche Bandbreite je Server bereits auf den Routern limitiert wird.

Gibt es denn einen Unterschied, ob die Bandbreite je Server nun über einen Router oder Switch-Port limitiert wird, um damit benachbarte Server anderer Kunden durch eine DDoS-Attacke nicht zu stören?
 
Sicher. Wenn der Router bereits maximal (sagen wir mal) 1 Gbps Bandbreite zum attackierten Server schickt, läuft damit ein 10G Switch-Uplink gar nicht erst über ;)
 
Sicher. Wenn der Router bereits maximal (sagen wir mal) 1 Gbps Bandbreite zum attackierten Server schickt, läuft damit ein 10G Switch-Uplink gar nicht erst über

Ist nur die Frage wie viele dieser Regeln der Router verkraften kann bis man auf einen Firmwarebug aufschlägt :) Aber das müsste man mal testen.
 
Sicher. Wenn der Router bereits maximal (sagen wir mal) 1 Gbps Bandbreite zum attackierten Server schickt, läuft damit ein 10G Switch-Uplink gar nicht erst über ;)

Ich denke mal, dass die Bandbreitenlimitierung im Router nur durch Quality of Services geregelt wird. Können solche Regeln nicht mittlerweile auch von hochwertigeren Schwitches übernommen werden, um damit die Last im Netz des Providers zu senken?
 
Ich denke mal, dass die Bandbreitenlimitierung im Router nur durch Quality of Services geregelt wird. Können solche Regeln nicht mittlerweile auch von hochwertigeren Schwitches übernommen werden, um damit die Last im Netz des Providers zu senken?

Eventuell am Core Switch, je nach dem wie dieser Netzwerkseitig angebunden ist. Aber alles was nach Router kommt ist quasi Netzwerkseitig kleiner angebunden. Wenn ich also erst eine Regel beim Switch setze, der mit 10 G angebunden ist, aber eine 20 G DDoS kommt, bringt mir die Regel dort nichts :)
 
Können solche Regeln nicht mittlerweile auch von hochwertigeren Schwitches übernommen werden, um damit die Last im Netz des Providers zu senken?
Was hilft es dir, wenn dadurch irgendwo in der Kette dennoch weiterhin der Uplink zum Switch volläuft?
Der Switch bekommt den Traffic vom Router in jedem Fall reingedrückt - ob er den vollständig weiterleitet oder nicht ist dann auch egal ;)
 
@Lord Gurke
Aber die gleiche Frage, die schon durch @IP-Projects beantwortet wurde, muß man sich dann auch für den Router fragen. Irgendein Gateway vor dem Server ist sozusagen aus meiner Sicht immer irgendwie der Verlierer. Siehe folgende Antwort:

Ist nur die Frage wie viele dieser Regeln der Router verkraften kann bis man auf einen Firmwarebug aufschlägt :) Aber das müsste man mal testen.
 
Eventuell am Core Switch, je nach dem wie dieser Netzwerkseitig angebunden ist. Aber alles was nach Router kommt ist quasi Netzwerkseitig kleiner angebunden. Wenn ich also erst eine Regel beim Switch setze, der mit 10 G angebunden ist, aber eine 20 G DDoS kommt, bringt mir die Regel dort nichts :)

Jetzt glaube ich auch zu verstehen, weshalb die IP-Pakete erst einmal den Umweg über das Gateway voxility-ic-304822-ffm-b11.c.telia.net (DDoS-Prtection mit genügend größerer Bandbreite als das nachgeschaltete Netz) gehen müssen, um dann den Ziel-Server mit noch guter Bandbreite erreichen zu können.
 
Jetzt glaube ich auch zu verstehen, weshalb die IP-Pakete erst einmal den Umweg über das Gateway voxility-ic-304822-ffm-b11.c.telia.net (DDoS-Prtection mit genügend größerer Bandbreite als das nachgeschaltete Netz) gehen müssen, um dann den Ziel-Server mit noch guter Bandbreite erreichen zu können.

Genau, ergänzend dazu aber noch eine Anmerkung. Voxility != Voxility. Es gibt Anbieter am Markt, die aus Kostengründen ebenfalls erst das Routing der IPs über Voxility ändern, wenn ein Angriff stattfinde oder Voxility als BGP Tunnel realisieren. Das sind die "Billig" Lösungen, die Voxility neben einem eigenen Crosslink anbietet. Wenn man daher einen Anbieter mit Voxility DDoS Protection nutzen möchte - immer fragen ob ein direkter Link zu Voxility besteht bzw. ein permanentes Routing des Traffics über Voxility erfolgt. Voxility hat Routing RACKs im InterXion und Equinix in Frankfurt. Unser Link ist eine Glasfaser im InterXion.
 
Es kann sein, dass hier meine Ansprüche zu hoch gesetzt sind, unser Domiziel ist auch nicht der Massenmarkt, aber genau wegen solchen Problemen haben wir uns für einen externen DDoS Schutz entschieden der absolut nichts mit unserem Routing / Netzwerk zu tun hat, sonst hätte man auch weiter Nullrouten können.

Das wird wohl eher an der Kompetenz seitens Accelerated hinsichtlich DDoS Mitigation liegen als euren Switch Uplinks ;) (klingt natürlich anders besser).
 
Back
Top