Da ich schonmal DDoS'd wurde und damit rechnen muss, dass es noch viel öfters passiert, was haltet ihr davon, einen VPS anzumieten und den als Software Router zu benutzen? Die langsame Festplatte eines VPS ist dann ja irrelevant und die Netzwerkanbindung ist auch nicht so wichtig.

Es geht hierbei um folgende Punkte: Eigentlich will ich nur den HTTP Traffic umleiten. Auf dem Server sind sehr sehr viele andere Dienste, die bei dem DDoS stark betroffen waren.

Was ich dann noch einprogrammieren will, ist eine gewisse Analyse funktion, die dann bei einem DDoS Angriff die Angreifer ganz einfach abkapselt (Via IPTABLES direkt blockt) und den Rest normal weiterleitet.

Sollte der DDoS auf die Bandbreite gehen, dann hilft das dem HTTP nicht allzuviel, aber immerhin bleiben alle anderen Dienste erreichbar.

Sollte der DDoS aber auf die Hardwarressourcen (CPU, RAM) gehen, dann hilft es sogar dem HTTP Server, da die ganzen malicious Requests nicht mehr weitergeleitet werden.



.

du meinst also einen Bastion Host, wie man es langläufig nennt?

Nicht schlecht, wenn der Traffic ausreicht und er gut angebunden ist?

Hilft dir aber immernoch nicht, das Problem loszuwerden. Du verlagerst die Symptome erst einmal nur in den äußeren Ring.

Was für ein DDOS hattest du denn?

Ich denke ein Root-Server mit Serieller Konsole sollte auch gehen, so käme man rauf, wenn der Fall eintritt.

Weil egal wie, die Dienste sind unerreichbar.

du meinst also einen Bastion Host, wie man es langläufig nennt?
Jo, was ich geplant habe is im Prinzip das gleiche.


Hilft dir aber immernoch nicht, das Problem loszuwerden. Du verlagerst die Symptome erst einmal nur in den äußeren Ring.
Man kann auch keinen 100% Schutz vor DDoS haben.


Was für ein DDOS hattest du denn?
Botnet mit 200 Clients, die zig mal pro Sekunde die index.php aufgerufen haben (Noobangriff eigentlich).



Ich denke ein Root-Server mit Serieller Konsole sollte auch gehen, so käme man rauf, wenn der Fall eintritt.

Weil egal wie, die Dienste sind unerreichbar.
Nene, mit dem VPS sind alle anderen Dienste dann noch erreichbar. (Ich will das Analysetool so programmieren, dass der bei einem kompletten Trafficstau erstmal alle IPs blockt und dann Schritt für Schritt die IPs wieder erlaubt und analyisiert). Das heißt in jedem Fall, der versteckte Hauptserver kriegt nur einen Teil des Traffics ab. Sollte allerdings die CPU überlastet sein vom "Bastion Host", dann leitet der auch nicht allen Traffic weiter und das Problem ist auch erstmal gelöst.

Der "Bastion Host" wiederum is dann ja egal, der kann ruhig verrecken.



.