mboost-dp1
Flickr - skreuzer
Producent af anti-DDOS-software, Arbor NetworksHvad forstås ved anti DDoS software? Et DDoS angreb forsøger at opbruge hele netværksbåndbredden. Den software som tager imod pakkerne kan ikke gøre noget for at mindske mængden af trafik. Hvis legitime pakker ikke kan nå frem til serveren fordi kapaciteten er blevet brugt af angrebet, så er det ligegyldigt hvor smart softwaren på serveren er.
Der kan selvfølgelig være svagheder på serveren selv som gør at et DoS angreb kan gennemføres uden at fylde netværket op. Det kan f.eks. være at man kan få serveren til at sende så mange pakker at dens udgående netforbindelse er blokeret, eller at serveren bruger for meget RAM eller CPU på de pakker der bliver sendt til den.
Er anti DDoS software bare en TCP stak uden ovennævnte svagheder? Eller er det et system der sættes mellem internettet og en sårbar server? I sidstnævnte tilfælde ville de fleste nok kalde det for en firewall.
For eksempel viser data for juni, at der i 2011 i gennemsnit blev brugt 1,23 Gbps, mens det samme tal i år er steget med 27% til 1.56 Gbps.Gennemsnit af hvad?
Darren Anstee spekulerer over om grunden til en manglende stigning i størrelsen af angrebet skyldes, at 100 Gbps er nok til at tage enhver hjemmeside ned, eller om det skyldes begrænsninger i de værktøjer som benyttes.Der er sites som kan klare mere end 100 Gbps, men de er nok et mindretal. Det kan vel også tænkes at det er måden de selv måler på som gør at de ikke kan nå højere op.
Arbor Networks skriver også at porten til Xbox Live, 3074, var at finde som indgangsport til DDOS-angrebene med 0.76 % af angrebene. Dog er det stadigvæk http-porten, 80, der står for størstedelen af angrebene med 29%.Så længe man kun forsøger at fylde netværket og ikke forsøger at udnytte svagheder på serveren, så er det underordnet hvilke typer pakker man anvender. Man behøver jo ikke engang sende dem til en port. Til gengæld kan det være at man forsøger at udnytte amplifikation angreb, og så er det afgørende hvilken service der kan give en høj amplifikation. F.eks. er der nogen som er bekymret over den mulige amplifikation i DNS. Man kan sende en lille DNS forespørgsel med spoofet afsenderadresse. Så sendes der et stort svar tilbage til den spoofede adresse, som er målet for angrebet. På den måde får målet en større mængde trafik end angriberen selv er i stand til at sende.
Du kan komme udenom DDoS delvist ved at have en mellemmandsserver som tager slagene fra angribere. Jeg ved at bla.a. 4chan er gået over til Cloudflare, hvor man som besøgende faktisk kobler igennem en af flere Cloudflare servere hele tiden når man tøffer rundt på 4chan siderne.
Hvis så et DDoS angreb indledes så begrænses det til en række mellemledsservere så at selve bagsiden forholder sig intakt og delvist tilgændelig hvis man ikke sidder på samme led som angrebene.
Eller sådan læste jeg det ihvertfald sidst emnet var oppe. :)
Hvis så et DDoS angreb indledes så begrænses det til en række mellemledsservere så at selve bagsiden forholder sig intakt og delvist tilgændelig hvis man ikke sidder på samme led som angrebene.
Eller sådan læste jeg det ihvertfald sidst emnet var oppe. :)
Jeg kender lidt til to produkter fra arbor:
Et statistik produkt
Et 'scrubber' produkt
Første fungerer ved at modtage routningsinfo + netflow fra routerne i netværket, og kan ud fra dette visualisere hvordan trafikken flyder i netværket, samt detektere DoS angreb, ved at finde store stigninger i trafikmønstre.
Nr 2 er en slags server, men med specielt hardware, så den har cpu nok til at kunne lave avanceret pakke-processering ved Line-rate@10gbps. Denne dims kan man så vælge at dirigere trafik igennem, så det bliver muligt at lave DPI, og dermed filtrere pakker ud på en ret avanceret måde. Det dækker alt fra zombie detection, LOIC angreb osv osv.
Det er også muligt at lave landebaseret filtrering, så hvis fx 3F nu ser en masse trafik fra Rusland, så er det temmeligt let at filtrere dette fra. For at dette skal give mening, kan det dog være nødvendigt at 3Fs udbyder har 'scrubberen' i deres net, fordi hvis det er et volumen baseret angreb på mange GBps, så er linjen flooded og udbyderen vil droppe en stor del af trafikken inden den når frem. Hvis det er et lille avancerer angreb, så kan 3F godt selv hoste en scrubber og løse problemet.
Nogle udbydere bruger også dette til at shape/begrænse P2P trafik, da det også er let at identificere.
Et statistik produkt
Et 'scrubber' produkt
Første fungerer ved at modtage routningsinfo + netflow fra routerne i netværket, og kan ud fra dette visualisere hvordan trafikken flyder i netværket, samt detektere DoS angreb, ved at finde store stigninger i trafikmønstre.
Nr 2 er en slags server, men med specielt hardware, så den har cpu nok til at kunne lave avanceret pakke-processering ved Line-rate@10gbps. Denne dims kan man så vælge at dirigere trafik igennem, så det bliver muligt at lave DPI, og dermed filtrere pakker ud på en ret avanceret måde. Det dækker alt fra zombie detection, LOIC angreb osv osv.
Det er også muligt at lave landebaseret filtrering, så hvis fx 3F nu ser en masse trafik fra Rusland, så er det temmeligt let at filtrere dette fra. For at dette skal give mening, kan det dog være nødvendigt at 3Fs udbyder har 'scrubberen' i deres net, fordi hvis det er et volumen baseret angreb på mange GBps, så er linjen flooded og udbyderen vil droppe en stor del af trafikken inden den når frem. Hvis det er et lille avancerer angreb, så kan 3F godt selv hoste en scrubber og løse problemet.
Nogle udbydere bruger også dette til at shape/begrænse P2P trafik, da det også er let at identificere.
Det er så ikke software. Den løsning du beskriver sætter jo reelt mere hardware på opgaven. DDoS angreb kan naturligvis håndteres ved at simpelthen øge sin kapacitet.HerrMansen (5) skrev:Du kan komme udenom DDoS delvist ved at have en mellemmandsserver som tager slagene fra angribere.
Det virker så kun indenfor eget netværk. I bedste fald kan du finde ud af hvilket link ind på dit netværk trafikken kommer fra. Hvis du prøver at flytte legitim trafik over på et andet link ind på dit netværk vil angrebet sandsynligvis følge med helt automatisk.ssch.dk (6) skrev:Første fungerer ved at modtage routningsinfo + netflow fra routerne i netværket, og kan ud fra dette visualisere hvordan trafikken flyder i netværket, samt detektere DoS angreb, ved at finde store stigninger i trafikmønstre.
#7: Jo, det er det vel - i det mindste tror jeg ikke der diskrimineres mellem udbydere af services (begræns vimeo, prioter youtube etc), men blot nedpriotering af hele services (kender kun til P2P).
Personligt mener jeg der er forskel på at begrænse P2P, frem for fx. at sabotere Skype eller helt filtrere P2P ud.
#8 Korrekt, men også hvilke prefixes der 'skydes' efter og hvor fra. førstnævnte arborsystem kan så generere et (til tider temmelig lang og komplext) filter som kan lægges på de routere trafikken kommer ind på (typisk flere ifm DDoS, hvis netværket er stort nok).
Men som udbyder handler det nok mere om at dimensionere sin peering kant, så man kan 'tåle' et DDoS i ny og næ, og så kan man bruge diverse værktøjer (scrubbing/filtrering/null-routning osv) til at mitigere DDoS hvis enten de generer udbyderen, eller deres kunder der er vigtige nok.
Personligt mener jeg der er forskel på at begrænse P2P, frem for fx. at sabotere Skype eller helt filtrere P2P ud.
#8 Korrekt, men også hvilke prefixes der 'skydes' efter og hvor fra. førstnævnte arborsystem kan så generere et (til tider temmelig lang og komplext) filter som kan lægges på de routere trafikken kommer ind på (typisk flere ifm DDoS, hvis netværket er stort nok).
Men som udbyder handler det nok mere om at dimensionere sin peering kant, så man kan 'tåle' et DDoS i ny og næ, og så kan man bruge diverse værktøjer (scrubbing/filtrering/null-routning osv) til at mitigere DDoS hvis enten de generer udbyderen, eller deres kunder der er vigtige nok.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund