Wie schützt man einen vServer vor DDoS?
Habe einen StandPC mit Linux drauf, Debian 8. Wie kann ich diesen vor DDoS Attacken schützen? Keine Scripts. Die großen Anbieter schützen die ja auch, aber wie? Installiert man was darauf oder wie? Und nein, ich miete mir keinen Server.
5 Antworten
Einen DDoS kannst du GAR nicht verhindern. Höchstens abmildern, wenn du richtig dicke Hardware davor setzt. Aber ein Angreifer wird sich anpassen, und selbst Load-Balancing- oder -Cache-Dienste wie Akamai oder die Amazon-Cloud, sind teilweise überfordert damit.
Deinen eigenen kleinen Server kannst du nicht effektiv davor schützen. Egal ob Skript, oder sonst irgend etwas.
Du kannst bei Erkennung eines DoS-Angriffs natürlich sämtliche Anfragen wegwerfen, um zu verhindern, dass dein Server zusammen bricht, aber das hat dann den gleichen Effekt, den der Angreifer erreichen will: Deine Site wird lahmgelegt.
Und da DDoS-Angriffe oftmals von zich tausenden von gekaperten regulären Rechnern ausgehen, nützt eine IP-Blockade auch eher wenig.
Wenn du selber versuchst, DDoS-Angriffe zu verhindern, wirst du arm dabei ... allein schon wegen der nötigen Hardware.
Am besten, du mietest dir so einen DDoS-Schutz-Proxy, schaltest den vor deinen eigentlichen Server, und vertraust darauf, dass der Anbieter genügend Reserven im Bezug auf Server, Bandbreite, usw. hat.
Aber sei dir im Klaren darüber, dass selbst solche Dienste hin und wieder bei einem DDoS in die Knie gehen.
Verhindern kannst du einen DDoS nicht. Dagegen schützen kannst du dich nur sehr sehr bedingt. Und die Firmen, die dir so einen Schutz anbieten, bewegen sich oft auf einem Niveau zwischen Schlangenöl und Homeshopping-TV ... also nicht sonderlich seriös.
Und mit einem Skript wirst du gar nichts ändern. Verschwende nicht deine Energie dafür! Wenn ein DDoS-Request bei deinem Skript ankommt, wurde er schon durch den gesamten Netzwerkstack im Kernel genudelt, und dann ist es eh zu spät.
Du müsstest dir deinen eigenen Netzwerk-Stack, eigenen Treiber für die NIC, einen eigenen Scheduler und eigenen Memory-Manager schreiben, um vernünftig auf solche Paketfluten reagieren zu können. Akamai macht das auch so. Und damit kann man dann locker 10 Mio. Requests pro Sekunde behandeln. Tust du das nicht, dürfte dein Standard-System an der 10000 Requests pro Sekunde Marke abkratzen. :)
Mit anderen Worten: Um einen einzigen Akamai-Server zu ersetzen, müssetes du 1000 Standard-Linux-Server mit deinem Skript versehen, um den selben Effekt zu erzielen, oder - wie oben erwähnt - eben alles selber neu schreiben.
Fazit: Konzentriere dich lieber auf wichtigere Themen. Einen DDoS wirst du nicht verhindern, genauso wie eine Influenza ... da musst du dann einfach durch. :)
Naja. Du musst einfach erkennen DDoS erkennen. Am einfachsten: Du erkennst, dass eine IP ungewöhnlich viele Anfragen schickt und sperrst diese IP. Dies kann man automatisieren.
Am besten selber scripten.
Was denkst du ist es einen Server zu haben. Debian installieren. Apache starten und fertig?
Bringen tun die schon etwas. Aber sonst geht es halt nur, wenn du einen anderen großen Anbieter dazwischenschaltest. Dafür muss man dann halt Geld bezahlen.
Wenn du dir Software auf den Server installierst macht diese ja auch nichts anderes. Dann sind die Anfragen ja schon am PC.
Meist ist es ja gar kein Ddos, der einem das Leben schwer macht, sondern Spammer-Skripte, die zu oft Anmeldungen versuchen und so die Datenbank aus bremsen. Ich nutze ein Script, welches Anmeldeversuche, die zu häufig auftreten, in der Firewall blockt. Das läuft so gut, dass mein Server mittlerweile für die Spammer-Skripte durch diese Aktion uninteressant geworden ist. Mein Script habe ich im Internet gefunden und auf meine Ansprüche angepasst.
Die grösseren anbieter "schalten" einen großsen server dazwischen
Hallo
https://www.cloudflare.com/Wie schützt man einen vServer vor DDoS?
Wäre eine Möglichkeit.
Linuxhase
Nein, aber ein Anbieter meinte mal, als ich fragte, dass Scripts nichts bringen würden. Dann sind die Anfragen ja bereits da.. Werden dann nur noch vom PC abgeblockt.