Verteidigung gegen DDOS Attacke?

[Fabo360]

Hier im Forum gibts viele (computer-) technisch versierte Leute, drum dachte ich, frag ich mal offen in die Runde:

Was gibt es für Möglichkeiten für eine (vielleicht eher kleinere) Website sich gegen DDOS (distributed denial of service ) Attacken zu schützen? Ich musste irgendwie ziemlich schmunzeln bei den offiziellen Kommentaren zu den Attacken auf die Swisscom Website von letzter Woche: "Ja da kann man nix machen, einfach hoffen dass es aufhört" etc.

So wie ichs als mittelmässig IT-begabter Mensch verstanden haben, attackieren bei eine DDOS mehrere Computer (oft Botnets) eine Website indem sie so oft und so schnell Anfragen senden, bis die Website für andere User nicht mehr benutzbar ist.

Siehe übrigens hier: <!-- m --><a class="postlink" href="http://www.20min.ch/news/basel/story/Cyberkrieg-in-Basels-Rotlichtmilieu-25129499">http://www.20min.ch/news/basel/story/Cy ... u-25129499</a><!-- m -->

Würde mich interessieren, was ihr davon hält: Wie kann man sich effektiv und schnell gegen so eine Attacke verteidigen? Oder kann einfach jede Website auf unbeschränkte Zeit a discretion lahmgelegt werden?

Greetings Fabo

[ebi]

Kannst nicht wirklich etwas machen ausser halt mehr Power zu haben als die Angreifer, was aber nicht realistisch ist. Sonst gibt es ein paar Szenarien die helfen können, aber nicht wirklich nachhaltig sind.

1) Das Ziel verschieben also neue IP hilft meist das die meisten bots nur einmal nen DNS lookup machen.
2) Whitelists beim provider aufschalten z.B. nur noch Zugriffe aus der Schweiz erlauben.

[Nimifluk]

Wie ebi sagt, gegen eine gute Attacke haste keine Chance :-(

Ein Chance hast Du wenn:
- der Header vom Request ein Merkmal aufweist, welches bei normalen Requests nicht oder sehr selten vorkommt
- eine eingrenzbare Liste von IP's oder nur wenige Segmente der Ursprung sind
- die selbe Seite mehrmals pro Sekunde von der selben IP angefragt wird
- gefakte MAC-Adressen verwendet werden und diese immer gleich sind

Obige Punkte entlasten zwar den/die Webserver, die Infratstrukur (FW/Router,...) kann aber dennoch mit Traffic überlastet werden.

Einzige Chance wäre, wenn man allen Routern in der Kette rückmelden könnte, dass Pakete vom Ursprung XY temporär nicht mehr geroutet werden sollen. Ist aber so z.Zt. nicht vorgesehen und würde wiederum Potenzial für Missbrauch bieten :-(

Bleibt nur die von ebi genannte Option mit einem IP-Swap, was aber vom Angreifer schnell erkannt und angepasst werden kann. Die IP-Eingrenzung auf die Schweiz (an den Haupt-Peering-Knoten) kann helfen, wenn die Anzahl CH-Angreifer gering ist, aber hat zumindest strafrechtlich den Vorteil einer möglichen Belangbarkeit.