Hallo zusammen,
es kommt häufiger zur Zeit vor, dass man versucht mich mit einer DOS Attacke vom Netz zu bekommen.
Ich habe eine 1000Mbit/s Leitung und trotzdem reicht eine kleine Attacke wie nur 50Mbit/s um mich vom Internet zu nehmen.
Eine anscheinend beliebt benutzte Website war "https://www.ipstresser.com/".
Welche Methoden kann ich anwenden, um diesen Angriffen vorzubeugen?
Mit freundlichen Grüßen,
Alex
Im Endeffekt nichts.
Sobald die Pakete halt deinen Anschluss erreichen, hat dein Router oder deine Firewall damit zutun, da könnte evtl. dein ISP helfen.
Hast du irgendwelche Ports von außen geöffnet?
Zudem auch immer die Frage, welche Art von DOS Angriff war das (viele Anfragen, große Anfragen, von einer IP oder vielen verschiedenen)?
Ergänzung:
Eine Firewall ist nicht das Geräte was für das blocken von z.B. DOS bzw. DDOS Attacken gedacht ist. Sind die Pakete erstmal bei dir, muss sich deine Firewall auch damit auseinandersetzen.
Was kann man machen?
-In den WAN Regeln die Status auf "SYN-Proxy" setzen, wird wahrscheinlich nicht viel bringen, aber vielleicht etwas. Wird aber auch die Performance reduzieren.
- Evtl. hilft es nicht alle möglichen Ports aus dem Internet erreichbar zu machen, die Pakete erreichen zwar die Firewall, ein blocken ist aber noch weniger Ressourcenhungrig wie ein weiterleiten der Pakete.
- Der ISP kann evtl. helfen. Entweder können die dein Traffic "Null Routen", heißt du hast keinen Internetzugang mehr, aber deine Geräte sind geschützt.
Oder die prüfen deinen Traffic und lassen solche Anfragen gar nicht erst zu deinem Internetanschluss.
Dafür kann aber auch dein ISP Geld verlangen.
- Du nutzt Dienste wie z.B. Cloudflare, welche einen gewissen Schutz davor bieten.
Bei Azure kostet beispielsweise die DDOS Protection für 100 Ressourcen etwa 2900$/Monat
- Du stellst dir selbst Hardware vor deine Firewall, welche solche Attacken erkennen und anders Routen kann.
Problem: Diese Hardware ist extrem teuer. Corero hat sowas im Angebot, die kleinen Geräte gehen glaube ich bei ca 25.000$ los, willst du bessere Geräte die mehr aushalten geht z.B die Smart Wall Reihe bei 250.000$ los.
Selbst große Dienstanbieter Amazon, Netflix, etc. haben mit solchen Angriffen massive Probleme, obwohl diese teilweise mehrere hundert Millionen $ in Schutz investieren, da wird einfach nur eine Firewall keine Lösung sein.
Quote from: lfirewall1243 on December 16, 2021, 09:19:27 AM
Ergänzung:
Eine Firewall ist nicht das Geräte was für das blocken von z.B. DOS bzw. DDOS Attacken gedacht ist. Sind die Pakete erstmal bei dir, muss sich deine Firewall auch damit auseinandersetzen.
Was kann man machen?
-In den WAN Regeln die Status auf "SYN-Proxy" setzen, wird wahrscheinlich nicht viel bringen, aber vielleicht etwas. Wird aber auch die Performance reduzieren.
- Evtl. hilft es nicht alle möglichen Ports aus dem Internet erreichbar zu machen, die Pakete erreichen zwar die Firewall, ein blocken ist aber noch weniger Ressourcenhungrig wie ein weiterleiten der Pakete.
- Der ISP kann evtl. helfen. Entweder können die dein Traffic "Null Routen", heißt du hast keinen Internetzugang mehr, aber deine Geräte sind geschützt.
Oder die prüfen deinen Traffic und lassen solche Anfragen gar nicht erst zu deinem Internetanschluss.
Dafür kann aber auch dein ISP Geld verlangen.
- Du nutzt Dienste wie z.B. Cloudflare, welche einen gewissen Schutz davor bieten.
Bei Azure kostet beispielsweise die DDOS Protection für 100 Ressourcen etwa 2900$/Monat
- Du stellst dir selbst Hardware vor deine Firewall, welche solche Attacken erkennen und anders Routen kann.
Problem: Diese Hardware ist extrem teuer. Corero hat sowas im Angebot, die kleinen Geräte gehen glaube ich bei ca 25.000$ los, willst du bessere Geräte die mehr aushalten geht z.B die Smart Wall Reihe bei 250.000$ los.
Selbst große Dienstanbieter Amazon, Netflix, etc. haben mit solchen Angriffen massive Probleme, obwohl diese teilweise mehrere hundert Millionen $ in Schutz investieren, da wird einfach nur eine Firewall keine Lösung sein.
Okay, vielen Dank für die ausführliche Antwort!
Ich werde meinen ISP kontaktieren.
Mit freundlichen Grüßen,
Alex