1 tot 3 Gb/s of 1/3 Gb/s?

Maar goed, hoeveel zin zal zo'n firewall aan jouw kant van de lijn hebben als ik 5Gb/s aan data naar je verstuur?

SirDice, dat noemen ze ook wel 1Gbit download en 3Gbit upload

Uhm... Alleen hangen datacenters doorgaans niet met asynchrone bitrates aan exchanges en/of transit providers. Met uitzondering van iig 1 hoster in NL die ooit met een stapel dsl modems in een schuur zijn begonnen that is. Dan hebben we het ook wel weer over 10 jaar geleden, en dat kon je toen ook al niet echt een datacenter noemen.

Anoniem.. Ik denk dat SirDice dat wel begrijpt, en volgens mij heb je het niet helemaal goed gelezen. Er staat dat het om een uplink gaat dus begrijp ik de vraag van SirDice wel en jou opmerking niet. Lees de volgende keer de vraag wat beter.

Precies...

Persoonlijk zou ik niet zo naar die "buzzword" features kijken. Koop gewoon een goede firewall die het verkeer aan kan. Laat die anti-DDoS features lekker voor wat ze zijn. Ze zullen vast iets helpen maar je kunt beter goede afspraken maken met je provider. Die hebben veel meer mogelijkheden en kunnen het verkeer al wegfilteren nog voordat het op jouw lijn gezet wordt.

Tegen wie heb je het nu ? En waarom is het volgens jou blijkbaar logisch ?

OP schrijft "1/3 Gbit uplink" .

Anoniem 17:16 schrijft iets heel raars als 'uitleg', namelijk asymmetrische verbindingen in een DC.
Anoniem 21:08 legt daar terecht de vinger op.

SirDice vraagt zich ook af waar 1/3 G op slaat. 333 Mbit is ook een rare snelheid, en 1..3 Gbit als interpretatie is trouwens ook vreemd.
Technisch kan een aansluiting 1Gb, n*1Gb of (n*)10G zijn, maar n*Gb is eigenlijk ook altijd een macht van 2 (2,4,8). Beter voor de hashing over de linkbundel.

Nu kun je met een shaper lijnen op van alles afknijpen, en kun je commerciëel iets afspreken over basis en burst profiel, alleen ook dan zijn het vreemde (ongebruikelijke) waarden.

Kortom, erg begrijpelijk dat mensen daar een vraag over hebben , en ik vraag me af waarom jij vindt dat de vraag goed lezen het probleem zou zijn.

Ik zou voor DDoS protection je provider vragen...

Jouw devices staan allemaal aan de 'downstream' kan van de verbinding die een deel van het probleem gaat worden bij een DDoS. Een (grote) provider (AT&T, BT) kan tot op zekere hoogte een DDoS afwenden door het verkeer door filters te halen en alleen de 'goede' requests door te laten. Dat gaat je zelf niet lukken omdat het verkeer al door je verbinding moet zijn gegaan voordat je het kan droppen.

Verder is je investering natuurlijk afhankelijk van het risico dat je loopt en dat je wilt lopen. Je noemt Tweakers als voorbeeld: zij hebben een redelijk profiel op het internet: grote bekendheid, vriendelijk, en totaal afhankelijk van hun website. Wellicht is jouw bedrijf minder zichtbaar op het internet, minder afhankelijk of juist agressiever (in de zin dat sneller boze klanten kan hebben - een incassobureau bijvoorbeeld).

Wellicht kan je het risico gewoon dragen? Ligt je datacenter er een tijdje uit vanwege een DDoS zonder dat dit al teveel gevolgen...

Doel je op Harry ?
Maar inderdaad; 1/3gbs lees je in DC context niet als 1Gbps up en 3 Gbps down, het is geen kabel of DSL ...

Om een DDoS te stoppen zijn goede afspraken en procedures met je upstream minstens net zo belangrijk als hw appliances.

Anti-DDoS firewalls is niks mis mee.
Ze onderscheiden namelijk het legitieme verkeer van het niet legitieme..
Vooral voor webservers erg interessant.
ISP's doen daar niks tegen..

Anyway, je hebt er genoeg, go for Cisco of Fortinet.

Filteren ze op het evil bitje?

De kunst van een DDoS is dat je legitieme requests doet maar met een dusdanige hoeveelheid dat er verder niemand meer doorkomt. Hoe gaat een firewall dat onderscheid maken?

Ga jij nou maar een ander topic verpesten met dat wijsneus gedrag van je :s Blijkbaar wil je reageren op een discussie waar je geen kaas van gegeten hebt.

@topic starter, je zou kunnen kijken naar de Juniper SSG series, deze zijn niet speciaal gemaakt tegen DDoS maar wel betaalbaar als je kijkt naar andere hw firewalls. Netscreen is ook een naam die vaak is langs geweest maar daar weet ik niet veel over. De SSG140 heeft hier een tijdje achter een dedicated server gehangen en werkte prima tegen lichte DDoS aanvallen.

Zo nutteloos is het ook weer niet, er is gelukkig een massa domme DDoS'ers die met grote volumes herkenbare meuk komen (grote pings, udp , fragmenten etc).
Als je een efficiente firewall/scrubber hebt die alleen "bruikbare en technisch valide" sessies doorlaat ben je al weer een stuk verder.

Als je dan ook nog met een wat botte bijl tijdens een DDoS hele heel grote delen van de wereld kunt missen als source (een op NL gerichte website kan wel even zonder china - jammer voor die handvol expats) scheelt dat nog een stuk, omdat dan slechts het .nl deel van botnets iets kan.

Maar ja, uiteindelijk heb je wel een probleem als je een te groot volume aan "helemaal echt lijkende" requests te behappen krijgt. Het kan zelfs echt zijn, als een wat kleinere website gelinked wordt vanaf geenstijl, of slashdot or een dergelijke druk bezochte site.

In DDoS termijn is de "1/3 G" (of het nu 333 M is, of 1..3 G) nog wat aan de kleine kant om een beetje serieuze DDoS te kunnen absorberen en scrubben .
Verder, as je hier deze vragen komt stellen heb je gewoon nog een hoop te leren over DDoS mitigation. Het is een stuk meer dan een duur stuk ijzer kopen. Je moet ook een hoop monitoring opzetten om te zien wat er gaande is, snappen hoe een DDoS werkt om zinvol te kunnen ingrijpen. Heb je dat al gedaan en ingericht, en ken je je servers/applicaties en weet je welke bescherming je verwacht van zo'n scrubber, dan stel je andere en gerichtere vragen dan de OP doet.

Verder zijn dat soort high end filter appliances erg duur, en die kosten moeten wel gedragen worden door de dienst die erachter zit.
Ik vermoed dat als er een keer een quote komt, de OP "laat maar" zal zeggen.

@SirDice - dat is precies waarom je met reguliere firewalls niet altijd een vuist kan maken tegen DDoS, maar dat je gespecialiseerde apparatuur nodig hebt.

De gedachtengang van DDoS detection en mitigation appliances is dat je niet moet uitgaan van een 100% block van malicious verkeer naar je back-end systemen. De oplossing moet zoveel verkeer filteren, dat de backend in ieder geval geen overbelasting krijgt.

Voor spoofed verkeer zijn er bijvoorbeeld vendoren die algorithmes hebben ontwikkeld om te kijken naar de distributie van IP adressen van requests en die kijken naar grote concentraties, of juist het gebrek aan concentratie van IP adressen. Dit betreft vaak connection-less attacks. TCP-SYN floods, UDP en ICMP attacks.

Voor non-spoofed attacks, veelal op basis van bots, die daadwerkelijk een 3-way handshake doen en dan HTTP requests gaan doen, is het bijvoorbeeld mogelijk om op basis van dynamic regexps te gaan zoeken naar overeenkomsten in de opbouw van HTTP requests, die aantonen dat ze op een geautomatiseerde manier gaan worden uitgevoerd. Zodra de appliance bemerkt dat dat plaatsvindt, dan zullen de verdere requests van die bots worden geblokkeerd. De eerste requests worden dus niet geblokt, maar latere requests van dezelfde clients wel.

Je kan ook denken aan javascript insertions door de appliances in HTTP replies naar verdachte clients, op basis waarvan legitieme browsers een bepaald bedrag moeten gaan vertonen. Als dat gedrag uitblijft, dan kan er van worden uitgegaan dat het om een ge-automatiseerde client gaat, die vaak slechte intenties heeft.

Legio mogelijkheden dus.

@Anoniem (1 nov: 13:59) De Cisco Guard productlijn is End-of-Life, dus geen verstandige optie richting de toekomst.

Beste oplossing voor partijen met beperkte bandbreedte (in DDoS context is 10Gbit/s beperkt!) naar het internet, een third party als Prolexic inschakelen. Zij pakken al het inkomende verkeer voor je aan en hebben belachelijk dikke verbindingen liggen die rustig een paar 100 Gbit/s aankunnen. Ze filteren de echte requests eruit en sturen die door, de rest komt nooit in de buurt van je eigen DC. Het is geen magic bullet, je zal goed moeten samenwerken met ze om de juiste filters opgezet te krijgen, maar het is nog altijd beter dan 't zelf proberen.

Hardware DDoS oplossingen zijn verspilling van geld tenzij je zelf een multi-homed netwerk hebt liggen met bijzonder veel overcapaciteit. Dat zijn er niet zo veel, denk aan tier 1 carriers en enkele grote ISP/ecommerce sites.

Kanttekening: Er zijn ook veel type DDoS aanvallen die helemaal niet veel traffic te veroorzaken. Maar die zijn dan ook weer relatief makkelijk te blokkeren, zelfs zonder anti-DDoS appliance.

DDoS-floods hou je natuurlijk niet tegen achter de bottleneck.

Tegenhouden achter de bottleneck gaat inderdaad niet in het geval van een flood, maar detecteren van een attack gaat aan "jouw" kant van de bottleneck prima. Wat je natuurlijk wil voorkomen is dat je op het moment van een attack zelf een actie moet ondernemen om het verkeer via een scrubbingcenter te sturen en daarom is lokale detectie wel degelijk wenselijk. Je kan er zelfs de niet "volume metric" attacks lokaal mee schoon maken.

Middels integratie tussen jouw lokale DDoS detector en een scrubbing center a-la Prolexic, Verisign, of anderen, kan je dan rustig blijven slapen terwijl de apparatuur z'n werk doet.

Voor re-routing naar een scrubbing center zijn een aantal technologieen beschikbaar, maar veelal DNS of BGP. DNS is voor de meeste partijen nog wel zelf aan te passen, maar door een DNS wijziging voorkom je nog niet 100% dat je originele site geen attack meer voor z'n kiezen krijgt. BGP is mooi voor partijen die hun netwerk op basis van BGP aan de rest van de wereld gekoppeld hebben, maar dat is vooral weggelegd voor telco's, ISP/hosters en serieuze e-tailers - niet voor een gemiddelde MKB'er. Je zou ook kunnen kiezen om al je dataverkeer *altijd* door een Prolexic / Verisign te laten filteren, zodat je niet op het moment van een attack hoeft over te schakelen, maar daarmee dan nemen de terugkerende kosten voor die dienst ook in rap tempo toe. Daarnaast voegt een dergelijke dienst die "elders" draait ook latency toe wat de bezoekers-ervaring niet ten goede komt en kan zorgen dat je minder hoog in de search engine rankings komt.

Kom op mensen. Er staat 1/3 Uplink in OP's bericht. Maak er niet zo probleem van OP bedoelde vast 1 of 3 Gbit dat ze hebben liggen daar. En niet 1/3. OP zegt ook essentieel product in een datacenter. Hij ownt dus een webhosting misschien. Just helped to clear that up.