Als het artikel goed wordt gelezen staat er dus eigenlijk dat het onmogelijk is dit op te lossen. Bij een goed opgezette DDOS aanval is het niet mogelijk op source, destination of dst port te filteren. Het verhaal gaat dus alleen op voor een aantal gedateerde typen DDOS aanvallen, en geeft dus geen oplossing.

Een DDOS aanval zal nooit in zijn geheel bestreden kunnen worden, het is namelijk niet mogelijk een attacker te onderscheiden van een normale gebruiker.

Om DDOS aanvallen beter onder controle te krijgen, zal er begonnen moeten worden providers te verplichten IP spoofing te voorkomen. Het voorkomen van IP spoofing is door de provider eenvoudig te implementeren.

Clients die worden misbruikt om deel te nemen aan een DDOS aanval kunnen door IP spoofing te voorkomen minder schade aanrichten. Ook zal door IP spoofing te voorkomen de bron van de DDOS aanval beter traceerbaar zijn.

Greetzzzzzzz

Henk-Jan

Dat is de conclusie die veel mensen trekken, en helemaal onterecht is die niet, want uiteindelijk doe jij er niks tegen als ik vanaf een willekeurig IP adres een pakket naar jou stuur waar jij niet om gevraagd hebt.

Maar het is volgens mij wel degelijk mogelijk het probleem binnen beheersbare proporties te krijgen. Vergelijk het met fietsendiefstal. Als je je fiets op slot zet, kan-ie nog steeds gejat worden door iemand die er wat moeite voor wil doen. Maar maakt dat het op slot zetten zinloos? Zolang jouw fiets niet de mooiste is en niet het slechtste slot heeft heb je een goede kans dat de dief een andere fiets pakt.

Om (D)DoS aanvallen tegen te gaan is het buitengewoon belangrijk dat ISPs anti-spoofing filters richting hun klanten hanteren. Ik zou zelfs nog verder willen gaan en anti-spoofing filters op peering-verbindingen tussen ISPs willen adviseren, hoewel dat nogal wat haken en ogen heeft. Als de gespoofde adressen eenmaal in een ISP-netwerk zitten doet een klant van die ISP er niks meer aan.

Zonder spoofing is het gewoon een kwestie van alle bronnen waar foute pakketten vandaan komen weg te filteren. Zeker, als dat er duizenden zijn is dat makkelijker gezegd dan gedaan, maar een onoverkomelijk probleem is het niet.

Sorry maar het filteren op foute pakketten is niet mogelijk. Bij een redelijke DDOS aanval is namelijk de source van ieder pakket anders, ondanks dat het vanaf dezelde machine komt. Hierdoor is het dus niet mogelijk op source adres te filteren

Een goede DDOS aanval zal altijd worden gedaan naar een voor voor publiek opengestelde service. Ook hier kan dus geen filtering op worden gedaan, omdat anders die service niet meer kan worden geboden aan legitieme gebruiks. Het zal dus duidelijk zijn dat dst port filtering geen succes zal zijn.

De laatst mogelijke filtering die je oppert is destination filtering, ook die filtering kan helaas niet worden gebruikt. Hiermee zou de geboden dienst niet meer berijkbaar zijn, en de DDOS aanval is dan dus geslaagd.

greetzzzzzzzzzzzzzz


Henk-Jan
Sr. Security Support Specialist

Zie de woorden waarmee mijn quote in jouw bericht begint: "zonder spoofing". Spoofing is te filteren door ISPs, waarna je verder op source kan filteren.

En je kan in principe altijd met een stateful firewall aan de gang.

Zoals in mijn eerste reactie staat is het inderdaad belangrijk er eerst voor te zorgen dat spoofing moet worden tegen gegaan. Zelfs al zou uitgesloten kunnen worden dat spoofing kan worden toegepast, is het nog steeds niet mogelijk een DDOS aanval tegen te houden.

Bij een goed opgezette DDOS aanval zonder spoofing, is de aanval niet te onderscheiden van legitiem verkeer. De aanval heeft namelijk alleen maar te maken met het flooden van een geboden dienst. Dit wordt dan b.v. gedaan vanaf 100.000 machines die hier onbewust aan meedoen. Omdat het verkeer er net zo uitziet als legitiem verkeer kan hier geen filter voor worden gemaakt.

Statefull inspection van een firewall is hiervoor ook geen oplossing, daar de DDOS aanval zonder spoofing normaal verkeer is en dus door elke firewall zal worden doorgelaten.

Henk-Jan
Sr. Security Support Specialist

Je hebt gelijk, als 100000 bakken legitieme requests doen dan wordt het aardig moeilijk. Maar dan zal iemand toch eerst 100000 bakken te pakken moeten krijgen. Ik kan me ook niet voorstellen dat een zo groot aantal machines in te zetten is zonder dat ze een of meer gemeenschappelijke kenmerken hebben waar ze uiteindelijk wel aan te herkennen zijn. En op dat moment kan je ze weer filteren.

Maar je hebt gelijk dat een slimme en geduldige aanvaller je het heel erg moeilijk kan maken.

Ik vind 't probleem nooit de load op de machine(s), maar de stroom dataverkeer, de kosten daarvan en het volproppen van 5 100mbit uplinks. Dan wordt 't allemaal een stukje moeilijker.

Die load is wel tegen te gaan door firewalling op deze manier, maar dat 't jou richting op komt (en jou dus geld kost) imo niet.