Hej, tänkte höra om någon vet om ett svenskt webbhotell med ett bra skydd mot ddos-attacker?
Jag vet att det ska finnas några typer av skydd. Exempelvis har webbhotell i USA "ddos protection". Fínns detta på något av de svenska webbhotellen också?

Har nämligen ganska stora problem. Någon/några sänker min sajt hela tiden. Jag har Webcows idag, de säger att man inte kan skydda sig mot ddos-attacker, men jag betvivlar detta. De nämde också att man kunde köpa en värstingserver för 50-100 000:-, och då skulle denna klara av ddos-attacker.

Men jag har på känn att det måste finnas något bättre alternativ och framför allt billigare.

Vad är det för sorts attacker du får?

Webcows verkar mycket korkade om dom säger att du skydder dig genom köpa en server för 50-100k. Måste vara året med idiotiska sak någon har sagt.

Överbelastnings attack som går ut på fylla transit länken är mycket svår att skydda sig emot, kräver att man har då har många Gbit. Går så sätt att få bort den attackerade målet för skydda alla andra som sitter i nätet men löser inte problemet för den som blir attackerad.

Andra dos/ddos som går ut att belasta servern endast genom syn attack eller andra attacker mot olika service på servern för att få den att dö eller belastas är lätt att skydda sig emot. IDS/IPS/FW klarar oftast skydda mycket bra emot det.

Kan ju tillägga att det Webcows sa var att de större sajterna sitter på "stora" servrar och bra liner som klarar av attacker. Och att en seriös server kostade kring 50-100 k. Jag kanske var lite otydlig där.

Återigen, vad är det för sorts attack? Försvaret ser helt annorlunda ut om det är en ren bandbreddsattack än om det är en riktad attack mot tjänster, script, etc.

Kan man inte se vart attacken kommerifrån då?
Man borde väl kunna det om dom använder javascriptet som laddar samma bild om och om igen...?

Alla som påstår sig ha skydd mot ddos-attacker talar om hur inkompetenta de är. Det går inte att skydda sig mot DDOS, lika lite som man kan skydda sig mot spam. Det går att minimera risken för spam genom att inte lägga ut sin email-adress överallt, men att skydda sig, nej.

Poängen med DDOS-attack (Distributed Denial of Service) är att mha ett stort nätverk av maskiner under ens eget kontroll, simulera legitim trafik till en tjänst. Trafiken is sig ser ofta ut precis som vanligt, och ingen maskin, eller för den delen människa kan avgöra ifall den är legitim eller bara del av en DDOS-attack.

Ta ett exempel. Jag skriver en trojan och smittar 400 000 datorer. När jag etablerar kontroll över alla dessa, beordrar jag dem helt enkelt att göra en GET / HTTP/1.1 på www.tradera.com. Hur kan då traderas "skydd" vad det nu må vara, urskilja dessa från vanliga människor som surfar med sina browsers? Det är inget som hindrar mig att göra min trojan så smart att den beter sig exakt som IE exempelvis.

Att ha skydd mot DOS-attacker (obs avsaknaden av ena D-t), dvs vanliga Denial of Service attacker, är däremot möjligt beroende vad för hål som utnyttjas. En DOS-attack, måste utnyttja ett hål, medan DDOS kan helt enkelt bara använda tjänsteleverantörens begränsade bandbredd som "hål".

Så, personligen skulle jag aldrig välja ett webbhotell som påstår sig ha "skydd mot ddos".

Det kan du. Från flera tusen till miljontals datorer runtom världen. (Det är ju vad en DDOS är).

Visserligen finns det ingen magisk lösning, men applikationsspecifika attacker går ofta att mitigera tämligen effektivt. Tillvägagångssättet är dock unikt för varje sorts attack, men ofta går det att skriva om scripts, använda en PHP-optimerare, låta en snabb statisk/cachande webserver ta hand om requestsen, och/eller sätta upp begränsande brandväggsregler.
Rent bandbreddskäkande attacker är det lite värre med, men om sidan exempelvis har en svensk målgrupp är en enkel metod att strypa global trafik medan attackerna pågår.

Jo visst, det är någon lösning som _kan_ funka om man har tur. Är det frågan om DDOS attack, så kommer även din "stryppunkt" vara utsatt för regn av paket, som den måste analysera för att kunna släppa förbi eller droppa (beroende på ip-adress). Även om den analysen, inte är så resurskrävande kanske, så går det nog i taket vid en riktig DDOS.

Det jag blir mest irriterad över är självaste benämning av ordet skydd. För mig låter det som att de "gjort vad de kan för att minimera risker för skada vid DDOS", inte att de har någon form av skydd.

Mja, vad PRQ menar med strypa global traifk är att helt enkelt sluta annonsera prefixet globalt.

Då kommer det inte finnas någon route till IP-numret för de som går globalt medans de som sitter inom sverige (nåja, alla fås inte med här, men en stor del i alla fall) kan surfa till sidan.

//Anders

Kort svar: Nej
Längre svar: Blackholecommunity, manuell blackhole, eller sluta annonsera prefixet.
Att matcha mot blackholerouten tar inte mer kraft än vilken annan routinguppslagning som helst, så det går utmärkt att slänga stora mängder trafik den vägen (särskilt om det görs redan vid transitleverantörernas edge).
Jag har personligen använt den metoden vid attacker på i alla fall ett par Gbps.

Blackhole fungerar utmärkt ja, och gör att trafiken droppas till Null på transitleverantörens edge router. Leverantören brukar även använda uRPF och gör att det inte belastar cpu mycket alls.

Men detta löser igentligen bara för skydda resten av kunderna i nätet, och skyddar inte den som blir attackerad utan blir samma effekt som ddos:en att servern inte kommer åt från nätet. Även om man blockerar just från GT så blir det säkerligen en del besökare som drabbas.

Bandbreddsätande zombie-DDoS-attacker tenderar som tur är att vara ganska korta, eftersom det är svårt att upprätthålla en sådan attack särskilt länge (folk undrar varför deras uppkoppling går så långsamt, osv). Under den tiden är en blackhole ofta fullt tolererbar om den riktas rätt.

Ända skyddet mot DDoS är att ha mer bandbredd än de som attackerar och filtrera bort det, attacken skadar fortfarande nätverket och kostar fortfarande pengar, det är inte värt pengarna att ha en server 100% säker mot DDoS. Efter att ha haft ett IRC shell företag i några år och testat flera olika leverantörer så är det bara ett ända företag som lyckats hålla mina servrar online trots DDoS mot dem, inga servrar gick någonsin totalt ner eller crashade pga av attackerna hos foonet/CIT (numera gigeservers.com)
Jag vet dock inte om jag skulle vilja använda det företaget igen efter att förra ägaren var inblandad i DDoS attacker själv och FBI knackade på hans dörr.. det hände dock efter att jag stängt ner mina shell servrar pga tidsbrist.