|
Klarade millennium-buggen
|
|
Reg.datum: Nov 2004
Inlägg: 6 096
|
|
|
Klarade millennium-buggen
Reg.datum: Nov 2004
Inlägg: 6 096
|
Men Sverige är ett jävla u-land att klara av DDoS, det beror väl i regel på att Sverige inte fått så mycket DDoS som övriga länder.
Även om jag får en hel del DDoS varje månad, men den beror i regel att jag har en stor kundgrupp som gillar att dra på sig en hel del. Och jag låter kunderna vara kvar och bara skrattar över alla misslyckade DDoS. Bara kul att få lite fina Gbit grafer och lite Mpps.
Men då det i regel inte gör någon skada utan endast förbättringsmöjligheter så gör det inte så mycket.
Stora problemet är när man kan sänka så mycket på en sådan liten DDoS som 400Kpps, och tyvärr gäller det stora delen av Sverige.
Att kunna sänka stora nyhetssidor, myndighetssidor eller andra viktig saker är inte stabilt, inte att man kan få ner allt bara rakt av för att man har tråkigt en dag.
Att frontservrarna kanske inte klarade av 400Kpps är en sak, men skulle ändå inte vara ett problem.
400.000 /s får man anta att det är då SYN paket, man får då anta att det inte är 400.000 burkar i ett botnät som skickar 1 paket /s var utan några hundra eller några tusentals som skickar massa paket per sekund.
Sätt upp en microflow policy som begränsar antal pps per IP skulle löst mycket som först steg att minska skadan. Och skulle säkerligen löst det.
Detta skulle dock inte löst om det vara spoofade paket som skickar ifrån random IP varje paket. Detta är dock betydligt mindre troligt eftersom fåtal kan ha möjlighet till det.
Sedan viktigaste delen är att det tar CPU som fan att generera massa små IP paket med rätt checksum, ännu mer att generera random IP på varje med.
En Xeon server med en CPU brukar klara av generera 20.000-40.000 IP paket per sekund bara. Självklart går det optimera kod för att klara betydligt mer men då snackar vi ändå om ett ännu större steg.
Sedan nästa steg skulle vara att begränsa skadan, kolla vilka världsdelar trafiken kommer ifrån. I regel så lär all trafik kommit utanför norden, man kunde då börjat med att blockera all utlänsk trafik och tillåtit Sverige och grannländerna där ändå största vanliga målgruppen kommer ifrån.
Inte helt optimalt men betydligt bättre att 90% av besökarna når sidorna än 0%
Och som sagt 400Kpps är ingen DDoS att hänga i granen.
|