forum.hetzner.de/thread/23562-ddos-mitigation/?postID=239250#post239250
Wir haben ueber die letzten Monate verschiedene Systeme zur Abwehr von DDOS-Angriffen getestet und inzwischen auch ein System implementiert. Dieses besteht im wesentlichen aus 3 Ebenen ueber welche wir in der Lage sind Angriffstraffic von validen Traffic zu trennen.
1. Automatische Erkennung von Angriffsmustern
Neben der bisherigen Erkennung basierend auf der Trafficmenge und Paketmenge sind wir nun in der Lage den eigentlichen Angriff genauer einzugrenzen. Dadurch koennen wir genauer auf den verwendeten Angriffstyp eingehen. Ein UDP-Flood mit 500k pps ist fuer Server kein Problem. 500k SYN Pakete koennen aber schon ein Problem darstellen. Genau diese Unterscheidung ist jetzt moeglich.
2. Filtern des Traffics nach bekannten Angriffsmustern.
Auf dieser Ebene werden die haeufig verwendeten Angriffe gefiltert. Somit koennen wir Angriffe sehr effizient herausfiltern. Dies betrifft besonders die haeufig auftretenden Angriffe wie DNS-Reflection oder UDP Floods auf Port80
3. Challenge-Response-Authentifizierung und Dynamische Trafficfilterung
Hierbei werden Angriffe wie SYN-Floods, DNS-Floods und Invalid Packets gefiltert. Auch koennen wir an dieser Stelle sehr flexibel auf einzelne Angriffe reagieren.
Insgesamt ist es natuerlich notwendig das wir Default-Werte definieren welche fuer alle Kunden funktionieren. Daher sind unsere aktuellen Filter sehr zurueckhaltend konfiguriert. Wir schauen uns aber alle Angriffe an und versuchen unsere Filter und Responses zu verbessern.
Sollte jemand Ziel eines Angriffes werden welchen wir nicht erkennen oder unzureichend filtern koennt ihr euch gern melden. Wir werden das dann untersuchen und schauen wie wir auf diesen Angriff reagieren koennen.
Ich hoffe das in Zukunft keine Server mehr wegen eingehender Angriffe gesperrt werden muessen.
Gruss
Martin
