Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

Both sides previous revision Vorhergehende Überarbeitung
ddos_protection [2018/07/03 13:57]
combahton [Mögliche Nebeneffekte]
ddos_protection [2018/07/03 14:03] (aktuell)
combahton [Technische Beschränkungen]
Zeile 45: Zeile 45:
   * UDP Source-Port 19, 69, 111, 123, 137, 161, 389, 520, 1434, 1900, 9987, 11211 werden limitiert (10Mbit)   * UDP Source-Port 19, 69, 111, 123, 137, 161, 389, 520, 1434, 1900, 9987, 11211 werden limitiert (10Mbit)
   * TCP / UDP Fragemente (Pakete größer als 1500 byte) werden verworfen   * TCP / UDP Fragemente (Pakete größer als 1500 byte) werden verworfen
-  * Die Route bei ausführen ​eines Traceroute oder MTR endet an edge1.ffmX.combahton.net+  ​* UDP Destination Port 9000 bis 9999 wird strikt gegen Teamspeak3 Pakete gefiltert 
 +  * UDP Destination Port 27000 bis 29000 wird strikt gegen Source Engine Pakete gefiltert 
 +  * UDP Destination Port 53 wird strikt gegen DNS Pakete gefiltert und erzwingt TCP Truncation 
 +  ​* Die Route bei Ausführen ​eines Traceroute oder MTR endet an edge1.ffmX.combahton.net
   * Bei aktiver HTTP Layer7 Mitigation wird sämtlicher TCP Traffic auf Port 80 und 443 durch einen Reverse Proxy geroutet   * Bei aktiver HTTP Layer7 Mitigation wird sämtlicher TCP Traffic auf Port 80 und 443 durch einen Reverse Proxy geroutet
   * Bei aktiver HTTP Layer7 Mitigation ist der Einsatz von Cloudflare nicht möglich, da hierbei sonst eine Schleife in der DNS Auflösung entsteht   * Bei aktiver HTTP Layer7 Mitigation ist der Einsatz von Cloudflare nicht möglich, da hierbei sonst eine Schleife in der DNS Auflösung entsteht
 +  * ​​​​​​​Jeglicher Traffic (außer TCP / UDP) und wird blockiert
 +
 +​​​​​​​Aller weiterer Traffic (TCP / UDP) wird strikt validiert:
 +
 +  * TCP Verbindungen sind nur möglich, sofern zuvor ein TCP SYN oder SYN-ACK Paket gesendet und akzeptiert wurde, die Filter verhalten sich hierbei wie eine Art asynchrone Stateful Firewall für Serveranwendungen. Der Aufbau einer ersten Verbindung (SYN bzw. SYN-ACK) dauert womöglich deutlich länger oder wird erstmalig unterbrochen,​ Webpräsenzen laden ggf. etwas langsamer
 +  * UDP Verbindungen sind nur möglich, sofern diese von einem "​validen Client"​ durchgeführt werden, Spoofing wird durch einen intelligenten Abgleich aller Verbindungsparameter unterbunden