Effectiveness of Astaro v5 against DDoS

I have come under some light DDOS traffic, ~20-50 packets per second.
No problems whatsoever, other then slightly increased proc usage everything was normal.

Get a decent processor a good NIC and you should be OK.

Recommend 1GHz or higher.

20 - 50? I'm looking more at thousands - tens of thousands. I plan to use a Dual Xeon 2.4 or better. Someone please tell me i'll get better performance than 20 - 50 for $6995. This is a DDoS intensive commericial network i'm looking at putting this on, not a home connection.

Regards.

I'm not sure if this has information about performance under DDOS, but if you go to

http://download.astaro.com/Astaro_Security_Linux/marketing/v5.0/

There are seceral PDF's which have performance figures for astaro on several boxes including a dual CPU dell.

Version 5 does have a syn rate limiter which should increase performance over v4.

[ QUOTE ]
20 - 50? I'm looking more at thousands - tens of thousands. I plan to use a Dual Xeon 2.4 or better. Someone please tell me i'll get better performance than 20 - 50 for $6995. This is a DDoS intensive commericial network i'm looking at putting this on, not a home connection.

Regards. 

[/ QUOTE ]
As you probably already know..if the DDOS is big enough to saturate your pipe coming to the ASL box then you will be dead no matter what..ASL cannot mitigate a pipe filling DDOS but can keep the DDOS from getting past it.

[ QUOTE ]
20 - 50? I'm looking more at thousands - tens of thousands. I plan to use a Dual Xeon 2.4 or better. Someone please tell me i'll get better performance than 20 - 50 for $6995. This is a DDoS intensive commericial network i'm looking at putting this on, not a home connection.

Regards. 

[/ QUOTE ]
Of course that's light traffic which hardly qualifies for the term Denial Of Service.
I was simply trying to relay my experiences in order to help you. I run ASL 5.004 on a P3 500 Katami with 450 MB of PC100 SDRAM.

A dual Xenon rig will scream given it has enough ram.

As the man said above, your pipes will be the first issue to address. So the trick will be to quickly ramp up with more pipe; a strategic alliance with a major ISP is one thing to look at.

Let's say the saturation you're talking about will not consume the pipe; then it will depend upon if you're using the proxies. That will steal cycles from the firewalling tasks.

It has been found that SMTP packet saturation can cause the Exim agent in Astaro to cannabalize packetfiltering processes (we're talking a lot of packets here...). If you don't need the inbound SMTP over the exposed interface, you can do the classic screening bridgehead router trick (done with overpriced firewalls too, I might add...): a cheap router outside the external interface with an ACL blocking 25. The cheap router handles stuff like packet fragments, teardrops, ports you don't want, and whatnot, and the firewall concentrates on network session state for ports you do want.

Also, if you don't need inbound SMTP and you're Linux fluent, you can go under the hood and shut off the Exim agent.

If you know a Linux guru (they are getting more prevalent these days, no?), tweaking of /proc/net parameters can help things along. One technique of DOS attack is to have the attack agents upon a session on an open port (for example http, if you're web hosting), then sit there and don't follow through fast on the session. Thise session initiations in quick succession steals resources. So you can tweak the tcp settings to be less tolerant of that, but that could backfire if some of your audience is coming over slow dialup connections (their sessions will be dropping with less tolerant settings). That's a judgement call based on your knowledge of the network audience you are serving.

There are two other techniques for managing DDOS attacks: one is to have multiple servers and feed back to DNS what server should be used. Such technology is quite pricey. Another is to look for 'signatures' in the attack patterns and adapt to them judicioulsy with router screening.

Again, rather than doing it yourself, you might find these products and expertise at an ISP. I rarely find it wise to be hosting a server that will be heavily visited in your own shop, unless you've got bucks for the pipe and anti-DOS tools and staff with expertise for handling it.

But maybe you have other considerations.

The fact that Astaro is a adaptable, I think it's a wise tool to add to your security toolkit.

[ QUOTE ]
As the man said above, your pipes will be the first issue to address. So the trick will be to quickly ramp up with more pipe; a strategic alliance with a major ISP is one thing to look at.

Let's say the saturation you're talking about will not consume the pipe; then it will depend upon if you're using the proxies. That will steal cycles from the firewalling tasks.

It has been found that SMTP packet saturation can cause the Exim agent in Astaro to cannabalize packetfiltering processes (we're talking a lot of packets here...). If you don't need the inbound SMTP over the exposed interface, you can do the classic screening bridgehead router trick (done with overpriced firewalls too, I might add...): a cheap router outside the external interface with an ACL blocking 25. The cheap router handles stuff like packet fragments, teardrops, ports you don't want, and whatnot, and the firewall concentrates on network session state for ports you do want.

Also, if you don't need inbound SMTP and you're Linux fluent, you can go under the hood and shut off the Exim agent.

If you know a Linux guru (they are getting more prevalent these days, no?), tweaking of /proc/net parameters can help things along. One technique of DOS attack is to have the attack agents upon a session on an open port (for example http, if you're web hosting), then sit there and don't follow through fast on the session. Thise session initiations in quick succession steals resources. So you can tweak the tcp settings to be less tolerant of that, but that could backfire if some of your audience is coming over slow dialup connections (their sessions will be dropping with less tolerant settings). That's a judgement call based on your knowledge of the network audience you are serving.

There are two other techniques for managing DDOS attacks: one is to have multiple servers and feed back to DNS what server should be used. Such technology is quite pricey. Another is to look for 'signatures' in the attack patterns and adapt to them judicioulsy with router screening.

Again, rather than doing it yourself, you might find these products and expertise at an ISP. I rarely find it wise to be hosting a server that will be heavily visited in your own shop, unless you've got bucks for the pipe and anti-DOS tools and staff with expertise for handling it.

But maybe you have other considerations.

The fact that Astaro is a adaptable, I think it's a wise tool to add to your security toolkit.


 

[/ QUOTE ]

I hold significant experience in BSD based OS's, but thats not truely relavant since were dealing with a Linux variant here. It should, however, reflect that I have a basic understanding of the concepts involved with such implementations:

Thanks for the detailed response. This is a fairly large network which is already located within a carriers facility and has a full GigE at its disposal. SMTP is a must (although such traffic is not expected to be heavy, perhaps we could give SMTP a low QoS?), and our rules must be rather generic, yet very effective as we are hosting scores of servers for a wide variety of purposes, not just a couple of web servers at the response implies.

A router is currently being placed at the core to auto-null route any attacks of unacceptable traffic level. Anything 

well then..given a gig cpu or more and 512 megs of ram or more and a large hdd(for handling the logs) astaro v4 will handle things just fine..[:)]

v4? My reseller is pushing me torward v5. Is there a reason why I should not use the newer version? My understand is that v4 lacks necessary DDoS mitigation features?

Thanks.