Stellen Sie sich ein Einkaufszentrum vor. Per Definition kann jeder das Einkaufszentrum betreten und dann in den Läden stöbern. Es ist öffentlich. Die Geschäfte erwarten , dass Leute vorbeikommen, sich die Displays ansehen, vielleicht eintreten und dann Dinge kaufen.

In der Mall gibt es einen Ladenbesitzer, der beispielsweise Computer verkauft . Nennen wir ihn Jim. Er möchte, dass die Leute vorbeikommen und die Computer sehen und dazu verleitet werden, sie zu kaufen. Jim ist der nette Kerl in unserer Geschichte.

Lass es Bob geben. Bob ist ein verärgerter Nihilist, der Jim hasst. Bob würde große Anstrengungen unternehmen, um Jim unglücklich zu machen, z. Jims Geschäft stören. Bob hat nicht viele Freunde, aber er ist schlau, auf seine eigene verdrehte Art. Eines Tages gibt Bob etwas Geld aus, um die lokale Zeitung dazu zu bringen, eine Anzeige zu veröffentlichen. In der Anzeige heißt es in großen Schriftarten und lebendigen Farben, dass Jim anlässlich des zehnten Geburtstages seines Shops eine großartige Aktion durchführt: Die ersten hundert Kunden, die den Shop betreten, erhalten ein kostenloses iPad . Um seine Spuren zu verwischen, führt Bob seine Geschäfte mit der Zeitung unter dem Pseudonym "bob" (wie er heißt, aber rückwärts geschrieben) durch.

Am nächsten Tag ist der arme Jim natürlich Untergetaucht von Leuten, die ein kostenloses iPad wollen. Die Menge verstopft Jims Laden, aber auch einen wesentlichen Teil des Einkaufszentrums, das voller enttäuschter Personen ist, die zu verstehen beginnen, dass es kein kostenloses iPad gibt. Ihre Negativität macht es unwahrscheinlich, dass sie etwas anderes kaufen, und in keiner Weise können sie sich aufgrund der Presse der Menge bewegen, so dass das Geschäft in der Mall ganz aufhört. Jim wird sehr unbeliebt, bei den Ex-iPad-Cravern, aber auch bei seinen Ladenbesitzer-Kollegen. Bob kichert.

Zu diesem Zeitpunkt kontaktiert Jim die Mall-Managerin Sarah. Sarah beschließt, den Notfall zu bewältigen, indem sie die Feuerwehrmänner anruft. Die Feuerwehrmänner kommen mit ihren leuchtenden Helmen, blitzenden Lastwagen, schreienden Sirenen und scharfen Äxten und überzeugen die Menge bald, sich zu zerstreuen. Dann ruft Sarah ihre Freundin Gunther an. Gunther ist ein Sohn deutscher Einwanderer, ein reines Produkt des US Melting Pot, aber was noch wichtiger ist, er ist ein FBI-Agent, der für das Problem verantwortlich ist. Gunther ist schlau, auf seine eigene verdrehte Art. Er kontaktiert die Zeitung und ist zuerst verwirrt, hat dann aber eine intuitive Offenbarung: ah-HA! "bob" ist nur "Bob" rückwärts geschrieben! Gunther verhaftet Bob umgehend und schickt ihn vor den Bezirksrichter, um sein grimmiges, aber rechtliches Schicksal zu erfüllen.

Schließlich, um weitere Probleme mit anderen Nihilisten zu vermeiden, die von der Vision von Bobs Zerstückelung nicht ausreichend abgeschreckt würden Sarah stellt eine Leiche vor dem Einkaufszentrum aus und entwirft eine Abhilfemaßnahme: Sie engagiert Henry und Herbert, zwei gemein aussehende muskulöse junge Männer, und postet sie an den Eingängen des Einkaufszentrums. Henry und Herbert sind dafür verantwortlich, den Zugang zu blockieren, falls eine große Anzahl von Personen versucht, über einen bestimmten Schwellenwert hinaus einzutreten. Wenn ein Proto-Bob erneut zuschlägt, kann das Problem auf der Außenseite auf dem Parkplatz behoben werden, auf dem es nicht an Platz mangelt und die Kontrolle der Menschenmenge viel einfacher ist.

Trotz allem, was andere sagen, können Sie das.

Viele große Unternehmen haben sehr effektive Lösungen, und selbst die jüngste Spamhaus-Schlacht, in der DNS-DDoS in einer bisher nicht gekannten Größenordnung eingesetzt wurde, wurde nach der Einführung von CloudFlare schnell behandelt.

Die von mir getesteten Lösungen sind sehr effektiv bei der Übertragung von DDoS-Verkehr, selbst wenn es sich um einen Spiegel des tatsächlichen, gültigen Verkehrs handelt. Bei einigen dieser Tests betrug die Umstellung weniger als eine Millisekunde und hatte fast keine messbaren Auswirkungen auf den legitimen Verkehr.

Diese arbeiten mit dynamischen Umleitungsprotokollen und können im Prinzip überall funktionieren. Der Grund, warum sie nur von großen Unternehmen verwendet werden, ist, dass sie viel kosten.

Eine sinnvolle Lösung für alle ISPs besteht darin, ausgehenden Datenverkehr zu flotten und Filterlisten gemeinsam zu nutzen. Dies könnte DDoS-Angriffe vollständig verhindern. Es würde lediglich erfordern, dass Benutzer und Unternehmen dies von ihren ISPs verlangen und sich von jedem entfernen, der diesen Service nicht bereitgestellt hat. Irgendwann würde jeder ISP, der dies nicht zur Verfügung stellte, nur auf die schwarze Liste gesetzt.

Nein, theoretisch oder praktisch ist das nicht möglich. Ein ausreichend verteilter DDoS-Angriff ist nicht von legitimem Datenverkehr zu unterscheiden.

Berücksichtigen Sie die "Slashdot" - oder "Reddit" - oder "Digg" -Effekte, bei denen der tatsächliche legitime Datenverkehr die Netzwerkdienste auf der Zielwebsite beeinträchtigt. Das einfache Posten eines Links zur Zielwebsite auf slashdot ist in vielen Fällen eine effektive DDoS.

Nun, Sie können die Infrastruktur skalieren, um es einem Botnetz zu erschweren, genügend Datenverkehr aufrechtzuerhalten, um den Dienst zu deaktivieren. Letztendlich ist dies jedoch der einzige Zähler, wenn ein DDoS ansonsten legitimen Datenverkehr verwendet, um Probleme zu verursachen Erhöhen Sie Ihre Bandbreite, um höher als ihre zu sein. Wenn Sie eine Quelle als Schurke identifizieren können, können Sie versuchen, die Verarbeitung des Datenverkehrs durch Ihren Server zu blockieren (wodurch die CPU- und Speicherlast verringert wird). Sie müssen sich jedoch weiterhin mit dem Datenverkehr befassen, der vom Internet bereitgestellt wird .

Es gibt grundsätzlich Möglichkeiten, ein DDOS zu stoppen:

• Der einfachste Weg besteht darin, einfach mehr Ressourcen darauf zu werfen. Viel Glück beim Versuch, amazon.com oder google.com auszuschalten. Wenn Sie einen Round-Robin-DNS-Eintrag mit Tonnen von Cloud-Servern kombinieren, wird es für DDOS sehr schwierig.

• Nicht jeder kann sich solch immense Ressourcen leisten, aber genau das sind Dienste wie CloudFlare zum. Wenn Sie ihr Kunde werden, stellen sie die Ressourcen (Proxys, Bandbreite) zur Verfügung und weisen sie Ihnen zu, sobald Sie sie benötigen. Es ist wie bei einer Versicherung, viele Menschen teilen sich die Investition und Sie profitieren bei Bedarf davon.

• DDOS-Verkehr ist oft von legitimem Verkehr zu unterscheiden .:

  • Wenn es beispielsweise als HTTP-Anforderungen eingeht, können Sie Port 80 vorübergehend blockieren, aber Ihre HTTPS- und E-Mail-Server sind weiterhin erreichbar. Dies bedeutet natürlich ein teilweises Herunterfahren, aber besser als ein vollständiger Verlust von Diensten.
  • Dies ist nur Hörensagen, aber mir wurde gesagt, dass es spezielle Switches gibt, die Deep Packet Inspection mit unglaublicher Bandbreite durchführen können. durch Verwendung von FPGAs. Sie können verwendet werden, um HTTP-Anforderungen zu filtern, die keinen richtigen User-Agent haben, oder TCP-Pakete, die verdächtig aussehen.

• Last but not least a In Zusammenarbeit mit Ihrem ISP oder den Backbone-Anbietern könnte viel mehr getan werden. Wenn der Angriff geografisch konzentriert ist, beenden Sie vorübergehend die Weiterleitung von Daten aus dieser Region an Ihre Server. Ich gehe davon aus, dass diese Art von Strategien in Zukunft weiter verbreitet werden muss.

  (In Tom Leeks Analogie: Stellen Sie sich vor, Bob hat sein kostenloses iPad-Angebot nur für Schwarze / Chinesen / Kaukasier / ... gemacht Stellen Sie einen rassistischen Sicherheitsbeamten ein. Sie werden den Sturm gefälschter Kunden stoppen, aber zu einem Preis, nämlich dass Sie einige legitime Kunden verärgern. (Natürlich tun Sie das bitte nicht in der Realität.))

• Nur der Vollständigkeit halber können Sie sich revanchieren, wenn Sie wissen, wer Sie angreift. Entweder legal, indem Sie die Behörden anrufen oder indem Sie sie mit ihrer eigenen Münze zurückzahlen und ihre Server angreifen (aber bitte nicht!).

Es gibt Dinge, die Sie tun können, aber Sie werden niemals 100% geschützt sein.

Mir wurde zuvor in diesem Forum die Fail2Ban-Firewall für meine Website empfohlen, und das hat geholfen. Grundsätzlich erkennt ein fail2ban eine ähnliche Aktivität x Mal in seinen Protokolldateien, die es verbietet, dass IP.

Das Blockieren aller nicht verwendeten Ports hilft ebenfalls.

Ich denke, mit einer Nur-P2P-Architektur könnte dies möglich sein ... Aber es würde viele Änderungen im Verhalten von Computern erfordern und es würde für viele kleine Websites zu Trägheit führen. Das ist eine gute Frage.

Wenn Sie über eine Netzwerkarchitektur verfügen, die eine Zentralisierung ermöglicht, ist DDOS immer zulässig. Um dies zu verhindern, müsste die gesamte Internetinfrastruktur DDOS-fähig werden. Dies bedeutet, dass alle Anforderungen an eine bestimmte IP-Adresse herausgefiltert werden, wenn ein Engpass festgestellt wird. Die Implementierung einer solchen Funktion wäre sehr teuer, da Router schnell ausgelegt sind und einen "DDOS-Containment-Modus" erfordern würden, der Paketzieladressen überprüft, was langsam wäre. Die Website würde immer noch nicht reagieren oder nicht erreichbar sein, aber nicht abstürzen.

Eine andere Möglichkeit wäre, der Website eine Art Spiegel- / Broadcast-System zum Wiederholen von Inhalten zu ermöglichen. Broadcast bedeutet, dass der Inhalt von Routern automatisch wiederholt wird. Aber es müsste nicht oft geändert werden, was eine schwerwiegende Anforderung wäre, und nicht viele Websites könnten es sich leisten, da es teuer ist.

Ehrlich gesagt betrachte ich DDOS nicht wirklich als Angriff oder Sicherheitsproblem. Botnets sind.

Der billigste, effektivste und einfachste Weg, einen DDoS-Angriff zu blockieren:

Sobald der Server mehr Anfragen erhält, als er verarbeiten kann, wird ein "Secure-Mode" eingeschaltet. In diesem Modus erhält jede anfordernde IP-Adresse eine minimale HTML-Site, je kleiner desto besser, bestehend aus einer Warnung vor einem Live-DDoS-Angriff und einer Captcha-Eingabeaufforderung:

Die IP-Adressen, die das richtige Captcha eingeben, werden in einer weißen Liste angezeigt, in der Sie die Site wie gewohnt durchsuchen können. Nachdem die Anforderungen wieder gesunken sind, wird der "Secure-Mode" deaktiviert

Ich liebe die Antwort des Einkaufszentrums. Hier sind einige Details. Was passiert, wenn das Einkaufszentrum geschützt ist, der Parkplatz jedoch voll wird?

Erstens ist es mit der aktuellen Internetarchitektur nicht möglich, einen Angriff von beliebiger Größe zu stoppen. Als gut finanzierter großer ISP können Sie jedoch ziemlich große stoppen.

Aber (ungefähr) solange der Angriff kleiner ist als die Größe der eingehenden Verbindungen Ihrer ISPs, können sie gut daran arbeiten, die Dinge am Laufen zu halten. Aber sie brauchen eine ausgefallene Technologie.

Das Beste, mit dem ich jemals viel zu tun hatte, hat zwei Phasen.

In der ersten Stufe werden mögliche Verkehrsspitzen identifiziert, die durch DDoS-Aktivitäten verursacht werden. Eine Firma namens Arbor Networks ist darauf spezialisiert ( http://www.arbornetworks.com/)

Dann wird dem Netzwerk befohlen, den gesamten Datenverkehr für das Ziel aufzunehmen und erneut zu verwenden Leiten Sie es an DDoS-Scrubber weiter. Jeder Scrubber kann eine bestimmte Menge an Verkehr verarbeiten und er kann den gültigen Verkehr gut aus dem Rauschen heraussuchen.

Der Scrubber leitet den gültigen Verkehr dann an die ursprüngliche Site weiter.

Die Hauptsache, die DDoS-Angreifer nutzen, ist eine zentralisierte Ressource , die sie mit Datenverkehr überfordern können. Wenn Sie die Anwendung so gestalten, dass sie stark verteilt ist, sind DDoS-Angriffe nicht effektiv.

Genau dies wurde mit DNS-Infrastruktur und Anycast durchgeführt. Google DNS befindet sich beispielsweise unter 8.8.8.8. Sie verwenden jedoch Anycast, sodass die tatsächlichen Maschinen, die Anforderungen an 8.8.8.8 bearbeiten, in Rechenzentren auf der ganzen Welt verteilt sind. Daher werden auch DDoS-Angriffe, die auf 8.8.8.8 gerichtet sind, aufgeteilt und verteilt, was nicht das Ziel von DDoS-Angriffen ist. Um nicht zu sagen, dass dies unmöglich, aber weitaus weniger effektiv ist.

Leider sind nicht alle Anwendungen so konzipiert, dass sie hinter einer Anycast-IP ausgeführt werden. Aber der Gesamtansatz ist die beste Verteidigung. Machen Sie die App stark verteilt und die DDoS-Effektivität nimmt ab.

Abhängig. Wenn im Übrigen ein DDoS mit einer Größe von nur 1 Byte über die Hälfte des Internets gestartet wird, ist das gesamte Internet ausgefallen. Aber das ist fast unmöglich. Normale DDoS-Angriffe können absorbiert, aber nicht gestoppt werden. Im obigen Beispiel von Tom Leek kann der Sicherheitsmann nur mit so vielen Menschen umgehen. Wenn die ganze Welt hereinkommt, können sie nichts tun. Gleiches gilt für DDoS. Sie können CloudFlare, Incapsula, ... bezahlen, um die Wache zu sein, aber mit genügend Leistung wird ein DDoS sie ausschalten.

Eine gängige Lösung auf der Ebene der Megakonzerne: Kaufen Sie genügend Bandbreite / Server, um sowohl legitime Benutzer als auch DDoS gleichzeitig unterzubringen.

Außerhalb des Werfens von Geräten. Die einzige andere Lösung ist die ständige öffentliche Wachsamkeit. Zu viele Leute sind schlampig mit ihren Computern und erlauben ihnen, durch Hintertüren oder böswillig ferngesteuert zu werden. Einige Gerätehersteller sind auch mit internetfähiger Heimelektronik schlampig, konfigurieren sie schlecht und machen sie anfällig für Hacks.

Allgemeine Faustregel: Sperren Sie eingehende Verbindungen, wenn Sie sie nicht verwenden. Wenn Sie Ihren Computer so einrichten, dass alle eingehenden Verbindungen blockiert werden, kann ihn niemand fernsteuern (mit Ausnahme extrem entarteter Instanzen von Backdoors / "zombieware", die aktiv Verbindungen zu Servern herstellen, von denen Befehle gelesen werden können).

Die meisten In der Regel sollte der durchschnittliche Computerbenutzer keine eingehenden Verbindungen zulassen müssen. Wenn Sie müssen, entsperren Sie nur die spezifischen Ports / Programme, die eingehende Verbindungen benötigen, und blockieren Sie die eingehenden Verbindungen erneut, sobald Sie mit diesen Ports / Programmen fertig sind.

IOT-Geräte sind etwas schwieriger. Sie können nicht einfach alle eingehenden Verbindungen blockieren, da sie ferngesteuert sind.

Es gibt Forschungen zu diesem Thema und theoretisch scheint es Möglichkeiten zu geben, DDOS-Angriffe zu stoppen.

Hier ist ein Vortrag von Adrian Perrig über SCION, ein funktionierender Prototyp für eine neue Netzwerkarchitektur. Dies sollte der Artikel über den Teil des Systems sein, der die DDOS-Minderung durchführt. Natürlich machen sie Annahmen über das Angreifen von Botnetzen und dergleichen.

Wie andere angemerkt haben, befinden Sie sich im Wesentlichen in der gleichen Situation, als ob Sie es nicht getan hätten, wenn Ihr Angreifer stark genug ist, um den DDOS-Angriff als legitimen Datenverkehr erscheinen zu lassen genug Ressourcen für alle Ihre Benutzer. Daher kann dieser Fall nicht verhindert werden.