Onboard Netzwerkkarte

S

Selfy

New Member
Hallo Liebe Gemeinschaft.

Ich betreibe einen Colocation Server und habe seit kurzem Probleme mit UDP DDoS Angriffen.
Die Angriffe sind laut vnstat nicht stärker als 100Mbit. Trotzdem ist der Server teilweise nicht mehr erreichbar und es gibt einen extrem hohen Paketloss.
Es handelt sich um Desktophardware. Ich vermute mal dass die Onboard Netzwerkkarte nicht für solche Datenmengen ausgelegt ist. Sie ist zwar für 1000Mbit ausgeschrieben. Doch zählt das wahrscheinlich nicht für DDoS Angriffe.

Was meint ihr dazu?

Falls ihr meine Vermutung bestätigt. Könnt ihr mir vll. auch erschwingliche Netzwerkkarten empfehlen, die man dafür verwenden könnte?
Ich hätte mir sowas ausgesucht:
http://www.mindfactory.de/product_info.php/HP-FH969AA-PCIe-x1-LAN-Adapter_503007.html
http://www.mindfactory.de/product_info.php/Intel-I210T1BLK-PCIe-x1-LAN-Adapter_842303.html


Danke!
 
Generell gibt es 2 unterschiedliche Probleme bei solchen Angriffen, je nachdem was belastet ist. Wenn die IRQ unermesslich hoch sind, so solltest du

a) ne Karte mit IRQ-Throttling "adaptive-XX" / Offloading verwenden. Ich kann hier die Karten aus der e1000 Serie empfehlen. Beachte dass einige angestaubte Distros veraltete e1000 Treiber mitbringen welche teilweise mehr schlecht als gut machen.

b) IRQ über alle (oder zumindest mehrere) Cores verteilen und die zugeordneten buffer stark erhöhen. Achtung; einige Konfigurationen erfolgen ausschliesslich als Parameter für den e1000 Treiber!

Wenn jedoch die CPU-Last hoch ist, so ist es vermutlich eine Fragmentation attack wo der Angreifer dir ein paar augenscheinlich fragmentierte Pakete zuwirft und der Server daran verzweifelt daraus wieder einen UDP-Strom zu bauen. Fragmentierte UDP-Pakete kann man teilweise mittels Iptables filtern (entweder nach Größe oder Fragmentation-Flag), teilweise hilft aber auch das Erhöhen der entsprechenden Buffer auch schon deutlich.

Alles in allem sollte der Server mindestens in der Lage sein bei anständiger Konfiguration mehrere hundert Mbit/s zu verkraften. Aus Erfahrung sei aber gesagt: wenn der Angreifer merkt dass X Mbit/s nicht mehr ausreichen kommt er mit 10*X. Kostenmäßig ist ein DDoS-Angriff eine Lappelei und das Wettrüsten verlierst am Ende du. Man kann es nur möglichst schwer machen aber wer will findet ein Mittel zum Ziel ausser du hast _richtig_ viel Geld zur Verfügung.
 
Wir haben selbst eine gute Menge an Kunden, welche ständig per UDP Flood "beschossen" wird. Den Traffic filtern wir für diese einmal per ACL Regeln / QoS als auch eigene DDoS Filter raus (Jeweils 10Gbit Uplink, redundantes Cluster Setup, Eigenentwicklung, usw.).

Lange Rede, kurzer Sinn - sprich doch mal mit deinem Colo Anbieter ob er dir per ACL UDP komplett droppen oder ggf. per QoS auf 40-50Mbit limitieren kann :)
 
Danke für die sehr ausführliche Antwort d4f :)
Ich werde mir mal die Intel Netzwerkkarten ansehen.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top