Folgemaßnahmen zuIdentifizieren von DDOS-Angriffen auf Windows 2008-Server.
Welche Schritte unternehmen Benutzer, um DDOS-Angriffe auf ihre Windows 2008-Server in einer gehosteten Umgebung zu verhindern?
Mich interessieren insbesondere Möglichkeiten, die keine separate Hardware-Firewall erfordern, sondern Dinge, die mit Software oder der Konfiguration des Servers selbst erledigt werden können.
MS hat einen Artikel mit dem TitelAnleitung: Härten des TCP/IP-Stacks. Hat jemand Erfahrung (oder Gedanken) zum Erfolg dieser Schritte?
Antwort1
In der Praxis können Sie sich im kleinen Maßstab einfach nicht vor einem echten DDOS-Angriff schützen, denn selbst wenn Sie die Probleme mit der Ressourcennutzung ignorieren, können selbst tausend Maschinen eine ziemlich große Verbindung sehr leicht überlasten.
Die einzigen wirklichen Maßnahmen sind die Standardkonfiguration und Härtung, um sicherzustellen, dass nur das ausgeführt wird, was benötigt wird, und dass das, was benötigt wird, optimal konfiguriert ist.
Hoffentlich verfügt Ihr ISP/Colo über Verfahren, um bei Angriffen einige Dinge auf seiner Seite zu beheben. Sofern Sie jedoch keine Glücksspiel-, Pornografie- oder andere (legale) Randseiten betreiben, ist ein solcher Angriff äußerst unwahrscheinlich.
Antwort2
Ehrlich gesagt können Sie auf Serverebene nicht viel tun, um sich vor einem echten DDoS-Angriff zu schützen. Es gibt keine Einstellung, die Sie vor riesigen Datenmengen schützen kann, die auf einen bestimmten Server abzielen.
Um die Symptome eines DDoS-Angriffs zu verhindern, ist die beste (und teuerste) Methode, einen Dienst wie Prolexic zu verwenden, der Unmengen an Bandbreite zusammenfasst und Ihren Datenverkehr bereinigt. Es gibt auch Geräte, mit denen Sie schädlichen Datenverkehr herausfiltern können, aber auch hier kommt es darauf an, welche Art von Internet in das Rechenzentrum eingeht, in dem Sie sich befinden. Wenn sie sich auf einem OC-3 befinden, könnte ein DDoS-Angriff die Verbindung mehrerer Anbieter vollständig überlasten, und kein Gerät der Welt wird Sie davor bewahren. Wenn Sie sich an einem Ort befinden, an dem es Unmengen an Leitungen gibt, können diese Geräte nützlicher sein.
Um die Symptome eines DDoS-Angriffs zu stoppen, ist eine gewisse Zusammenarbeit mit den Providern der ISPs Ihres Rechenzentrums erforderlich. Allein können Sie nur begrenzt etwas tun.
Antwort3
Das Härten des IP-Stacks funktioniert und hilft auf jeden Fall (insbesondere der Schutz vor Syn-Angriffen) und stellt sicher, dass die integrierte Windows-Firewall aktiviert ist und nur das zulässt, was erforderlich ist. Eines der Dinge, die in Ihrer vorherigen Frage erwähnt wurden, war, dass alles wieder normal war, als Sie den eingehenden Zugriff deaktivierten, aber dass es sich nicht um HTTP-Verbindungen handelte. Die Firewall sollte so eingestellt sein, dass nur Port 80/443 auf der öffentlichen Schnittstelle zugelassen wird. Abhängig von Ihren speziellen Anforderungen kann eine separate Firewall/ein separates IDS erforderlich sein oder auch nicht. Wenn Sie ein einzelnes Unternehmen sind, das Ihre eigene Website hostet, können Sie wahrscheinlich unbemerkt bleiben. Wenn Sie ein Webhosting-Anbieter sind, werden Sie höchstwahrscheinlich eine separate Firewall wünschen.
Antwort4
http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions
Die IIS-Erweiterung „Dynamic IP Address Restrictions“ blockiert IP-Adressen bei verdächtigen Aktivitäten. half uns, das HTTP-Flooding-Problem zu lösen