Door Anoniem: Dus altijd weer dat jijzelf die extra mijl moet gaan en de provider laat het liggen, omdat het niet direct geld opleveren zal. Wat zijn volgens jullie dan de meest ideale anti-DDos strategieën en oplossingen, gewaardeerde reagerenden?
luntrus
Voor wat 'je' concreet zelf kunt - dat is een vrij specialistisch onderwerp. Er is geen oplossing waar een thuisgebruikende trash-talker in gaming wat aan heeft. Noch iets waar een VPS huurder wat aan heeft.
Dat is, op hoofdlijnen , zorg dat je je netwerk en services echt goed snapt en echt goed bewaakt.
Wat is normaal - en wat is abnormaal. Verdiep je in (D)DoS , en bedenk waar (allemaal) zwakke punten zitten.
Kun je snel verkeer karakteriseren en effectief een filter implemeteren ?
Een enorm robuuste webserver is fantastisch - maar zinloos als de authoritieve DNS'en onbereikbaar gemaakt kunnen worden.
Iets wat veel security mensen niet willen snappen : een firewall is typisch een DoS op zichzelf - stateful is het tegenovergestelde van "robuust" .
Kun je nog beheren/monitoren als je onder een zware aanval ligt - of deelt je management verkeer wat resources met productie ?
[ik zeg niet 'management over het productie netwerk. Ik zeg "deelt resources" - Een ander VRF is ook een gedeelde resource. ]
Heb je draaiboeken klaar wat je gaat doen - heb je scenario's klaar. Wie kan en mag beslissen om terug te schakelen naar een beperktere dienstverlening ?
Heb goede technische contacten met je upstream providers, en je peers - want je zult hen nodig hebben voor onderzoek en mitigatie .
Tot zover is het 'generiek nuttig'.
En dan het dure aspect : feitelijk moet je waanzinnig overprovisionen ten opzichte van "normaal verkeer".
"drinken uit de brandslang" is de uitdrukking .
Voor een behoorlijk deel kun je die overcapaciteit om te filteren inhuren - dat is wat een "wasstraat" , dan wel "anti-DDoS service" van een provider is. En uiteindelijk wat CDNs zoals Cloudflare, Prolexic/Akamai leveren - waanzinnige piekcapaciteit en filtering.
En dat moet je van tevoren inkopen en inregelen.
Dingen die je niet zelf in de hand hebt, maar zouden helpen : meer implementatie van BCP38 (anti-spoofing). Spoofing is niet de enige manier van (D)DoS, maar wel een erg krachtig middel ervoor.
Uitroeien van 'open' amplificatie services - NTP (mn ntp monitor), UDP/LDAP, open DNS resolvers, chargen, en in het algemeen - "bots". En dan ook werk aan de opsporings/vervolgings kant - wereldwijd.