[Danski]

Twitter är helt nere och anger att det är en överbelastningsattack på sin blogg. Facebook har problem, timeouts och errors lite här och där.

Mer information

Intressant att diskutera är att än idag är så pass stora siter och nätet i stort så sårbart att en riktad attack kan göra tjänster otillgängliga. Ingen nyhet direkt men ett ämne som berör oss alla som lever på nättjänster.

[Danielos]

Citat:

Ursprungligen postat av Jine

Det finns många andra sätt att styra bort trafik ifrån en tjänst/server än att bara begränsa antal anslutningar/sek.

Tänk på det.

Citat:

Ursprungligen postat av danielos

Jine, berätta gärna mera.

Jag uppskattar att du berättar att det finns en sådan möjlighet. Nu har jag väntat en tid på ett svar från dig och du har ännu inte exakt sagt vad det är. Jag är enormt intresserad av vad du exakt menar.

I mitt fall har jag runt 5 miljoner användare världen över som accessar runt 120 000 konton (hemsidor, forum bloggar mm), med runt 10 miljoner accesser/dygn, hur skulle jag exakt kunna styra bort trafik vid ddos? Visserligen har jag idag inga problem med bra brandväggar med begränsningar satta som ovan i tråden, men jag är ändå väldigt nyfiken på vad du menar.

[patrikweb]

Finns flera olika sätt, men beror vad för typ av DDoS.

Men i regel kan man alltid hitta ett mönster och blockera på det, blockera antal anslutningar hjälper inte så mycket om man får antal tusen anslutningar från spoofade ip.

[Danielos]

Citat:

Ursprungligen postat av patrikweb

Finns flera olika sätt, men beror vad för typ av DDoS.

Men i regel kan man alltid hitta ett mönster och blockera på det, blockera antal anslutningar hjälper inte så mycket om man får antal tusen anslutningar från spoofade ip.

Skumt, mina brandväggar klarar iaf av det. Innan hade jag typ 15-20 000 IP som anslöt när det var som värst juli 2008, och den brandvägg jag har nu klarar det galant utan problem. Under 2008 har jag runt 10 st ddos attacker och sedan oktober 2008 när jag skaffade nya brandväggar, noll komma noll problem.

Det må hända att de ddos attacker jag har haft var milda, men med en Ingate som var innan gick hela härligheten ner helt vid mer än 10 tillfällen.

Folk som har infekterade datorer med maskar, klagar dock ofta att dom inte når tjänsterna, då dom har runt 30-50 accesser / sekund, så det fungerar uppenbarligen.

[patrikweb]

Säkert små DDoS då, fast en FW kan man utnyttja i vissa fall. Sedan är frågan hur många state dom klarar av.

Eller hur många spoofade IP om behövs för att den har blockerat ut stora delar av internet.

Ett bra exempel är att spoofa och skicka massa från IP du använder för DNS servrar för att resolva, blir kul effekt när FW sedan blockerar.

I regel klarar en brandvägg av hantera DDoS som inte är byggda för utnyttja FW eller helt enkelt är förmånga spoofade paket eller för stor i kapacitet.

Jag har fått DDoS idag, igår och sedan flertal senaste dagarna efter det. Inget som blivit störd av.

Igår var det 2Mpps antal paket (2.000.000 paket per sekund) är tveksam om din FW skulle klarat av det. Och det var ändå en liten DDoS som jag ser det.

I regel anser jag att använda en FW för skydda mot DDoS oftast ger mer skada än nytta, alla fall om man får stora DDoS.

Fast funkar säkert bra för dig i din storlek, som inte fått några "stora" DDoS. Samt 10 st är ju inget på ett år. Jag kan få över 10 st på en dag ibland.

[Danielos]

Att jag kanske inte har haft de största ddos:erna är tänkbart, men med tanke på att tex en ingate gick ner när den hade runt 1% av de ddos:er nuvarande brandvägg klarar av så tror jag det är många därute som som med en riktig brandvägg skulle komma bra mycket längre. Ingate 1550 är ju inte den allra sämsta som finns. De ddos attacker jag har bygger upp sig under några timmar för att konstant verka i 2-3 dagar, och verkar vara vanliga datorer ute på nätet som har blivit infekterade av maskar. Dessa maskar slår upp en adress hela tiden som anonym användare på tex. ett forum, där de forum som blev attackerade kunde få 500-1000 anonyma användare från flera tusen IP. Dessa ddos attacker tror jag är för lika vanlig trafik för att kunna göra något åt det i en router, och Facebooks ddos tror jag är liknande de jag har haft, dvs detta är "smarta ddos attacker" som är hur lika som helst en vanlig användare som surfar runt.

Edit: Just nu har jag tex. en server på Karlstads kommun som accessar med mer än 50ggr/sek och då spärras det IP under 1 timme.