Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
DDOS op site
Dag security-collega's,
Hoe wapen ik me tegen een DDOS op een website die ik beheer?
Dwz. die ik achter mijn firewall heb draaien.
Wat zijn de mogelijkheden?
Stel dat ik www.security.nl achter mijn firewall heb hangen.
Wat kan ik dan doen tegen een DDOS? Welke hardware/software?
Of moet dit via de provider. Maar als ik zelf een BGP AS beheer?
Wellicht een kort-door-de-bocht-vraag maar....
MrRight.
Hoe wapen ik me tegen een DDOS op een website die ik beheer?
Dwz. die ik achter mijn firewall heb draaien.
Wat zijn de mogelijkheden?
Stel dat ik www.security.nl achter mijn firewall heb hangen.
Wat kan ik dan doen tegen een DDOS? Welke hardware/software?
Of moet dit via de provider. Maar als ik zelf een BGP AS beheer?
Wellicht een kort-door-de-bocht-vraag maar....
MrRight.
Reacties (16)
11-04-2013, 21:39 door
Ler0y JenKins
http://www.securityweek.com/content/how-defend-against-ddos-attacks
Google is your friend ;)
Sorry, ik ben lui.
Google is your friend ;)
Sorry, ik ben lui.
11-04-2013, 22:18 door
MrRight
@Ler0y
Google? Wat is dat?
Dank voor deze tip!
Dit vat alles samen qua oplossingen. Thanks!
Alle best-practices in een search...
Wow!
Hier kan ik verder mee.
Dank, O grote Ler0y.
Maar op zich: bedankt voor suggestie! Ik zoek naar concrete oplossingen.
En jouw verleden meldt geen positieve feedback:
---knip---
@Ler0y JenKins, toekomstig Malware Analist
We gaan hier niet de kat op het spek binden, doei, zwaai, zwaai.
---einde knip----
@Ler0y JenKins, gone Malware Analist.... (We know your real name)
MrRight.
Google? Wat is dat?
Dank voor deze tip!
Dit vat alles samen qua oplossingen. Thanks!
Alle best-practices in een search...
Wow!
Hier kan ik verder mee.
Dank, O grote Ler0y.
Maar op zich: bedankt voor suggestie! Ik zoek naar concrete oplossingen.
En jouw verleden meldt geen positieve feedback:
---knip---
@Ler0y JenKins, toekomstig Malware Analist
We gaan hier niet de kat op het spek binden, doei, zwaai, zwaai.
---einde knip----
@Ler0y JenKins, gone Malware Analist.... (We know your real name)
MrRight.
11-04-2013, 23:13 door
attor
Hallo MrRight,
Ik heb eerder een reactie geplaatst helaas is mijn reactie niet meteen zichtbaar omdat ik nog geen account had.
De oplossing die ik ken is het gebruiken van Fortigate. Een Fortigate Firewall beschikt over een zo'n genaamde DOS/DDOS sesnor en hiermee zou je jouw website beschermen.
DDOS sesnor werkt aan de hand van een vergelijk met een threshold waarde (Protocol + aantal pakketten/sec). Bijvoorbeeld als TCP verkeer richting jouw webserver nooit 60 sessies per seconde kunnen zijn dan zet je de sensor op TCP 60.
Er zijn zeker andere Firewalls die ook een oplossing kunnen bieden zoals CheckPoint en PaloAlto. En om eerlijk te zijn deze zijn niet zomaar te implementeren als geen kennis van hebt. Dus google gaat jou niet echt helpen. Dat kan een studie zijn van 3 maanden om 1 van deze producten goed te begrijpen.
Ik raad jou aan om voor jezelf de risico te bepalen aan de hand van kans op aanval en het gevolgen.'Jezelf de volgende vragen stellen; Wat wil je voor zo;n oplossing uiitgeven? en krijg je de waarde van je geld terug na het implementeren van deze oplossing?
Ik hoop dat je hiermee wat kan.
Veel suc6...
attor
Ik heb eerder een reactie geplaatst helaas is mijn reactie niet meteen zichtbaar omdat ik nog geen account had.
De oplossing die ik ken is het gebruiken van Fortigate. Een Fortigate Firewall beschikt over een zo'n genaamde DOS/DDOS sesnor en hiermee zou je jouw website beschermen.
DDOS sesnor werkt aan de hand van een vergelijk met een threshold waarde (Protocol + aantal pakketten/sec). Bijvoorbeeld als TCP verkeer richting jouw webserver nooit 60 sessies per seconde kunnen zijn dan zet je de sensor op TCP 60.
Er zijn zeker andere Firewalls die ook een oplossing kunnen bieden zoals CheckPoint en PaloAlto. En om eerlijk te zijn deze zijn niet zomaar te implementeren als geen kennis van hebt. Dus google gaat jou niet echt helpen. Dat kan een studie zijn van 3 maanden om 1 van deze producten goed te begrijpen.
Ik raad jou aan om voor jezelf de risico te bepalen aan de hand van kans op aanval en het gevolgen.'Jezelf de volgende vragen stellen; Wat wil je voor zo;n oplossing uiitgeven? en krijg je de waarde van je geld terug na het implementeren van deze oplossing?
Ik hoop dat je hiermee wat kan.
Veel suc6...
attor
12-04-2013, 02:50 door
MrRight
Dag Attor,
Hier kan ik zeker wat mee.
M.b.v. Fortigate kan ik dus al iets doen.
De website blijft onbereikbaar. Maar wordt niet verder belast....
Ik weet inderdaad ook dat een DDOS niet eenvoudig af te slaan is.
Toch wil ik graag weten wat de (maximale) mogelijkheden zijn.
Bedankt voor je antwoord!
MrRight.
Hier kan ik zeker wat mee.
M.b.v. Fortigate kan ik dus al iets doen.
De website blijft onbereikbaar. Maar wordt niet verder belast....
Ik weet inderdaad ook dat een DDOS niet eenvoudig af te slaan is.
Toch wil ik graag weten wat de (maximale) mogelijkheden zijn.
Bedankt voor je antwoord!
MrRight.
12-04-2013, 07:48 door
BaseMent
Je kunt vrij weinig doen als je geddossed wordt.
Met een goede firewall kan je idd voorkomen dat er allerlei bogus verkeer je server ingedrukt wordt waardoor deze stopt met leven, maar de verbinding naar jouw server is ook een bottleneck. Dat is uiteraard afhankelijk waar jouw server zich bevindt en hoe snel de verbinding is naar jouw server maar als ze je echt te pakken nemen zit de lijn gewoon vol en is het echt over.
Met BGP los je helaas niets op. Je kan verkeer blackholen (mooi woord) maar het probleem wat je op moet lossen zit aan de source ip adres zijde. En aan de source adres zijde kan jij niets beinvloeden, er zijn immers tienduizenden of meer computers die jouw server bestoken. De destination (het adres van jouw server dus) kan je blackholen, maar dan ben jij dus voor niemand meer bereikbaar.
Verder zal geen enkele provider met jou BGP gaan praten als je één koppeling hebt naar het internet, of als je geen diepgaande kennis hebt van BGP. Met een provider ga je alleen een default route ontvangen en dat is tamelijk zinloos. Daarbij wil jij niet de hele internet routeringstabel voor je kiezen krijgen. Weet dat je daarvoor echt een router nodig hebt die BGP kan praten. MAar ik weet natuurlijk niet wat je nu hebt staan. Daarbij zal je voor 99% zeker een private AS nummer krijgen, wat opgaat in het AS van jouw provider.
Met een goede firewall kan je idd voorkomen dat er allerlei bogus verkeer je server ingedrukt wordt waardoor deze stopt met leven, maar de verbinding naar jouw server is ook een bottleneck. Dat is uiteraard afhankelijk waar jouw server zich bevindt en hoe snel de verbinding is naar jouw server maar als ze je echt te pakken nemen zit de lijn gewoon vol en is het echt over.
Met BGP los je helaas niets op. Je kan verkeer blackholen (mooi woord) maar het probleem wat je op moet lossen zit aan de source ip adres zijde. En aan de source adres zijde kan jij niets beinvloeden, er zijn immers tienduizenden of meer computers die jouw server bestoken. De destination (het adres van jouw server dus) kan je blackholen, maar dan ben jij dus voor niemand meer bereikbaar.
Verder zal geen enkele provider met jou BGP gaan praten als je één koppeling hebt naar het internet, of als je geen diepgaande kennis hebt van BGP. Met een provider ga je alleen een default route ontvangen en dat is tamelijk zinloos. Daarbij wil jij niet de hele internet routeringstabel voor je kiezen krijgen. Weet dat je daarvoor echt een router nodig hebt die BGP kan praten. MAar ik weet natuurlijk niet wat je nu hebt staan. Daarbij zal je voor 99% zeker een private AS nummer krijgen, wat opgaat in het AS van jouw provider.
12-04-2013, 08:52 door
S.lenders
Cloudflare is mooi om je website te beschermen tegen DDoS.
Het is een gratis dienst die wordt aangesproken ipv je website direct. Hun filteren dan eventueel malicious verkeer.
Het is een gratis dienst die wordt aangesproken ipv je website direct. Hun filteren dan eventueel malicious verkeer.
12-04-2013, 10:12 door
attor
Hallo MrRight,
Mijn vervaring is dat de sesnor van Fortigate zowel Dos als DDos aanvallen vermijd. Hij doet niets anders dan het verkeer naar de webserver beperken, zodat de webserver beschikbaar blijft voor normaal verkeer en DDos verkeer en wat er op lijkt blokkeren aan de hand van threshold die wij instellen. Dus dat moet eerst bepaald worden aan de hand van logs analyse en openstaande sessie analyse om te bepalen wat voor aanval het is.
STAP 1: blokkeer ICMP verkeer richting de webserver.
STAP 2: Dos sesnor instellen voor tcp 80 en/of TCP 443 met x aantaal pakketten/sec
STAP 3: Dos sesnor instellen voor UDP 53 (DNS) om Amplification Attack te mijden.
Door bovenstaande stappen uit te voeren is de webserver helemaal veilig. Maar de firewall kan nog aangevallen worden en daar mee zou de webserver niet meer bereikbaar zijn.
Daarom moeten wij nog een webserver hebben ergens in een andere datacenter en die ook beveiligd is door middel van een firewall en een load balancer die het verkeer netjes verdeeld tussen beide webserver.
Ik hoop dat je hiermee wat kan.
MVG,
attor
Mijn vervaring is dat de sesnor van Fortigate zowel Dos als DDos aanvallen vermijd. Hij doet niets anders dan het verkeer naar de webserver beperken, zodat de webserver beschikbaar blijft voor normaal verkeer en DDos verkeer en wat er op lijkt blokkeren aan de hand van threshold die wij instellen. Dus dat moet eerst bepaald worden aan de hand van logs analyse en openstaande sessie analyse om te bepalen wat voor aanval het is.
STAP 1: blokkeer ICMP verkeer richting de webserver.
STAP 2: Dos sesnor instellen voor tcp 80 en/of TCP 443 met x aantaal pakketten/sec
STAP 3: Dos sesnor instellen voor UDP 53 (DNS) om Amplification Attack te mijden.
Door bovenstaande stappen uit te voeren is de webserver helemaal veilig. Maar de firewall kan nog aangevallen worden en daar mee zou de webserver niet meer bereikbaar zijn.
Daarom moeten wij nog een webserver hebben ergens in een andere datacenter en die ook beveiligd is door middel van een firewall en een load balancer die het verkeer netjes verdeeld tussen beide webserver.
Ik hoop dat je hiermee wat kan.
MVG,
attor
"Wat kan ik dan doen tegen een DDOS? Welke hardware/software? "
Om wat voor omgeving gaat het ? Zoek je gratis tools, heb je budget voor DDoS protectie ?
Om wat voor omgeving gaat het ? Zoek je gratis tools, heb je budget voor DDoS protectie ?
Je kunt je niet tegen ddos beveiligen, ja misschien op een kleinschalige maar niet een TCP/UDP aanval op random poorten die afkomstig is van 500k geinfecteerde machines en snelle servers.
Wij leven niet meer in 1995 dat er ICMP "PING" aanvallen worden uitgevoerd
Wij leven niet meer in 1995 dat er ICMP "PING" aanvallen worden uitgevoerd
12-04-2013, 15:53 door
attor
Door Anoniem: Je kunt je niet tegen ddos beveiligen, ja misschien op een kleinschalige maar niet een TCP/UDP aanval op random poorten die afkomstig is van 500k geinfecteerde machines en snelle servers.
Wij leven niet meer in 1995 dat er ICMP "PING" aanvallen worden uitgevoerd
Wij leven niet meer in 1995 dat er ICMP "PING" aanvallen worden uitgevoerd
Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.
Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.
MVG,
attor
12-04-2013, 16:06 door
attor
8 van de 10 keer heb je UDP verkeer niet nodig voor een webserver. Deze kan je blokkeren. Ik zeg ook niet dat je met mij advies 100% veilig bent tegen een DoS attack. Ook jouw woning, hoe veilig het ook is (Alarm systeem, CCTV, inbraak ramen en deuren) 100% veilig is het niet. Indat geval zeggen wij toch ook niet omdat ze toch in mijn huis kunnen inbreken, dan laat ik de deuren open en iedereen mag alles meenemen.
Perfecte security bestaat niet. Een goede Security is een balans tussen security usability.
MVG,
attor
Perfecte security bestaat niet. Een goede Security is een balans tussen security usability.
MVG,
attor
Door attor:
Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.
Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.
MVG,
attor
het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.
Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken
Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.
Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.
MVG,
attor
het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.
Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken
Door Anoniem:
het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.
Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken
Door attor:
Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.
Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.
MVG,
attor
Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.
Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.
MVG,
attor
het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.
Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken
Wijsmaken ?
Als je 80G,100G of 1+Tb verbindingen hebt, kun je echt wel 20G detecteren en blokkeren.
Nee, het zijn niet de kleine partijen of de enterprises die dat hebben liggen, maar er zijn genoeg partijen die inderdaad 20G kunnen behappen. Op 1 Tb is het maar 2%.
Niet iedere site heeft het risicoprofiel, en voldoende budget, maar hosten in/achter een partij die tientallen of meer Gbit DDos kan absorberen is mogelijk.
13-04-2013, 19:35 door
MrRight
Goededag,
Dank voor alle reacties hieromtrent!
Ik ga verder met de tips en trics.
Ik weeg de pro's en cons af.
Thanks!
MrRight
Dank voor alle reacties hieromtrent!
Ik ga verder met de tips en trics.
Ik weeg de pro's en cons af.
Thanks!
MrRight
13-04-2013, 19:35 door
MrRight
Goededag,
Dank voor alle reacties hieromtrent!
Ik ga verder met de tips en trics.
Ik weeg de pro's en cons af.
Thanks!
MrRight
Dank voor alle reacties hieromtrent!
Ik ga verder met de tips en trics.
Ik weeg de pro's en cons af.
Thanks!
MrRight
14-04-2013, 00:31 door
attor
Door Anoniem:
Ik ben met jou eens. Echter om hele throughput en bandbreedte van jouw internet lijn in beslag te nemen moet een attacker veet meer moeite doen en veel grotere DDoS organiseren.
Door attor:
Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.
Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.
MVG,
attor
het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.
Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken
Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.
Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.
MVG,
attor
het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.
Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken
Ik ben met jou eens. Echter om hele throughput en bandbreedte van jouw internet lijn in beslag te nemen moet een attacker veet meer moeite doen en veel grotere DDoS organiseren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
