Geoip gegen DDOS?

[manarak]

Ich habe eine Frage zur Abwehr von DDOS-Angriffen.

Sagen wir, der Zielmarkt meiner Webseite ist die Schweiz, und ich möchte Angriffe von internationalen Botnetzen abwehren.

Rein logisch könnte ich doch den DDOS-Traffic erheblich dadurch reduzieren, dass ich den Zugriff auf IPs aus der Schweiz beschränke.

Wie könnte ich das am cleversten anstellen, dass Verbindungsversuche von fremden IPs einfach gedroppt werden?

[daemotron]

Gegen DDoS hilft nur eine dedizierte Firewall. Droppen auf dem Zielhost bedeutet, dass die Pakete auf Layer 3 gestoppt werden, d. h. die zusätzliche Leistung für die Bearbeitung auf Layer 7 sparst Du dadurch ein. Damit kommst Du einem DoS noch bei, aber ein DDoS überlastet einfach dein NIC bzw. den IP-Stack.

[manarak]

hmmm... mist.
Danke für eure Antworten

und könnte man eventuell etwas auf DNS-Ebene tun?
z.B. dass nur für CH-Rechner die DNS zur Zielseite aufgelöst wird?


doh ... ich vergass dass die Säcke ja nur die IP brauchen.

Gegen DDoS hilft nur eine dedizierte Firewall.

die hilft allen Anschein nach auch nicht viel, da in der Schweiz ein Host nach dem anderen in die Knie geht, egal ob der eine dez.FW hat oder nicht.

[daemotron]

die [dedizierte Firewall] hilft allen Anschein nach auch nicht viel, da in der Schweiz ein Host nach dem anderen in die Knie geht, egal ob der eine dez.FW hat oder nicht.

Jain. Also, eine dedizierte vorgelagerte Firewall kann nicht verhindern, dass ein DDoS die Leitung (eher die Netzknoten, Switches etc) überlastet, die zu Deinem Server führen - auch wenn das schon ein ganz schön großer DDoS sein müsste. Eine FW kann aber Deinen Server selbst schützen, also verhindern, dass eine Überlastung des IP-Stacks zu einer Kernel Panic führt. Somit bleibt Dein Server einsatzbereit, sobald das Flooding aufhört.