Hur skyddar man sig mot DDOS?

Hej
jag har hört något om något slags skydd som man skulle kunna utnyttja till sin fördel om man blir utsatt för Ddos.. Någon som är insatt i detta?

DDoS kan ske i många olika varianter, så detta verktyg är förmodligen för något specialiserat fall. Jag vet dock inte vilket.

Du kan använda blackhole scripts om du har flera ipn, men har du inte de är de skitsamma.

Det skulle kanske kunna gå att byta ut så att www.minsida.se inte pekar på ditt ip utan nån annans tex google (eller polisen).

Det finns teknik ute på marknaden idag som kan hjälpa dig att överleva en DDoS attack (dvs legitim trafik kommer fram och trafik från attackerare droppas).

Dock så kan du inte göra så mycket åt det själv utan behöver ett gott samarbete med din ISP, men det är ganska självklart?

Om du bara är allmänt nyfiken skulle jag sätta upp en opensource IPS som snort http://www.snort.org och lära den att drop a alla DDOS trafik, kommer ju ta en stund att få det att fungera och testa dock. Ju större bandbredd du har desto svårare är det att för attackerande datorer att kunna sänka din lina.

Om det däremot är en komersiellsite du har som är DDOS utsatt så skulle jag köpa tjänsten av mitt webhotell/colocation, det gör flera av poker bolagen redan eftersom dom blivit utsatta för DDOS attacker en längre tid.

enkelt svar: det kan du inte

längre svar: en DOS eller en liten DDOS attack som ej är "reflekterad" går oftast att stoppa med brandväggsregler som ser lite olika ut beroende på typen av attack (tex blocka portar och använda SYN cookies) detta kräver dock att du har hyffsat avancerad nätverksutrustning (Dlink 604 räcker altså inte )

en större attack däremot kan man bara stoppa om man får hjälp av sin isp tex genom att byta ip och att ispn blockar all trafik till ditt gammla nät vid "gränsen" av deras nät(kallas Blackhole eller nått sånt) händer antagligen inte om man inte är ett företag eller någon gör en såpass STOR attack mot dig som privatperson så ispn får problem att hantera all trafik (9Gbit/s trafik är vel bland dom största attackerna vad jag vet). har antagligen aldrig hänt iof.

altså finns det egentligen inget du kan göra som privatperson om det är något mer än en "dålig" DOS attack ...


edit: justja glömmde nämna att det inte är någon ide att blocka ip nr vid den lilla attacken heller då det är enkelt att spoofa

Tack för alla svaren

Skydd mot ddos består främst av två delar: detektering och åtgärd.

Detektering kan tex ske genom ratelimiting, dvs räkna antalet synpaket per sourceip per tidsenhet. Problemet med detekteringen är att man vill ha den så långt ut i sitt nät som möjligt (sett från ispen) men det är främst i länken relativt nära den kund som blir ddosad som man ser att det är en ddos på g.

Den andra delen är åtgärd. Visserligen finns det diverse skydd i brandväggar för att skydda bakomliggande system mot allt för många connections, men detta hindrar inte från att din internetlina blir jamad av inkommande skräptrafik. Här kan man tänka sig att som isp att man distribuerar ut blackholes, dvs ipnummer eller range som man detekterat deltar i ddosen skickar man ut via routingprotokoll till sina border routrar så att trafiken droppas redan när den kommer in i operatörens nät (istället för när den redan kommit en bit in i nätet).

Här kan man tänka sig ett sammarbete mellan närliggande isper så att även dessa får reda på vilka ipnummer som droppas. Problemet är är vilken information man ska lita på. Bara för att telia blockerar trafik till/från stupi.net innebär ju inte att stupi.net på något sätt skulle vara något elakt. Osv...

Sedan finns det olika former av ddos. En enkel variant är att från flera källor (tex ett botnet) skicka massvis med synpaket. Detta är dock enkelt att detektera eftersom det är inte normalt att det ska komma tex 100 syn/sek från ett och samma ipnummer över en längre tidsperiod. En betydligt klurigare ddos vore tex legitim httptrafik säg tex max 2 syn/sek men där 100.000 klienter ligger och "surfar runt" på siten i fråga (om det nu finns en http hos den som ddosas). Summan för målet som utsätts för detta blir 200.000 syn/sek vilket kanske inte mättar inkommande lina men ger stor belastning på utgående lina samtidigt som httpservern får jobba arslet av sig.

Här kan man tänka sig att statistik över tid kan avgöra om det är en ddos eller inte (tex att normalt får httpservern 100 syn/sek - men nu ligger raten på 200.000 syn/sek), problemet som kvarstår är dock vilka klienter är riktiga besökare medan vilka kommer från ett botnet?

Sen är även frågan vad man menar med service. En httpserver är ju en service. Kan ju bli lite jobbigt om kunder får väldigt svårt att komma fram till sin nätmäklare. Dvs linan som sådan kanske bara är mättad till 10-20% men detta räcker för att sänka själva servicen "http". Sedan kan man mätta linan med skräptrafik som gör att tjänsten som sådan fortfarande fungerar - när paket väl tar sig igenom trafikstockningen men att istället för att bara http får en störning så drabbas även tex dnserna av störningar och är tex zonerna satta på låga ttler så kommer efter ett par minuter ingen av kunderna att kunna ta sig fram till webservrarna eftersom det då saknas dns entries osv.