Discussion about Ddos

Astaro offers some protection for DoS attacks, but a true DDoS will consume all available bandwidth and cannot be managed by *any* perimeter device because the pipeline to the network is crippled outside of your network.  Your best line of defense in case of a true DDoS attack is a competent and reliable ISP.

The advice that DDoS needs to be protected higher in the network, at the ISP, is correct for DDoS flood attacks. However there are many other sophisticated and targeted attacks that are not floods, and these can be protected at teh perimeter. For example open connection attacks, or attacks aimed at specific email or login servers. A number of these types of attacks are illustrated on the IntelliGuard Web site.

Good point Ken- and the IPS system can be a solid defense against many of these types of DoS attacks.

FWIW:
"Astaro Security Linux protects against common Denial of Service (DoS) attacks like TCP SYN flood, ICMP flood, UDP flood, Smurf, Trinoo, and IP spoofing."

Barry

Good point Ken- and the IPS system can be a solid defense against many of these types of DoS attacks.

I don't think that the IPS system defend against any of the attacks illustrated on IntelliGuard Web site. If anyone thinks it can, please explain the method and I will then explain whether or not it works.

Ken,  A quick glance at the IntelliGuard site didn't show me what you were asking for - how about providing a list of the items you think the Astaro can't stop?

Cheers - Bob

Hello Jack
Here's just a few attacks that I doubt Astaro can competently or promptly handle.

1. Many Servers but only one attacked
Data centres can have thousands of separate servers. Attackers can overwhelm these with any type of traffic, but typically send traffic that the servers normally see (i.e. requests) so that the attack remains undetectable by upstream security devices. For example, servers capable of handling 100 requests per second may be sent many hundreds of requests per second which is only a minor increase in overall traffic in the network.
These are trivial attacks to instigate. Security devices are powerless against them because there is nothing anomalous about the requests sent to the web server, nor in the aggregate number of requests. 
Traditional anti-DDoS devices are incapable of the fine-grained monitoring needed to recognize when a server is under attack.
Different parts of a network can handle different traffic rates, and attackers can seek to overwhelm any of these parts. For example, a single server or a link capable of handling 100 Mbps may easily be sent in excess of 200 Mbps.
Rival anti-DDoS systems monitor aggregate traffic rates and particular aspects of packets for anomalies. They are incapable of the multi-level monitoring needed to recognize when a particular part of a network is under attack, and are useless against attacks where there is nothing anomalous about the traffic other than the rate to a particular part of the network or server. This leaves attackers free to work within the threshold of the internet link to knock out low bandwidth services or servers without triggering any protection response. Some DDoS protection systems can protect particular servers, but not all the other network links simultaneously.
IntelliGuard’s Hierarchical fine grained multi-level traffic management system monitors, and establishes traffic limits for, each part of the network to ensure that all such attacks are detected and blocked. All downstream links, servers and services are individually protected. IntelliGuard DPS ensure that each receives only as much traffic as they can handle and establishes traffic limits for each part of the network (over 65,000 different protected entities) to ensure all such attacks are detected and blocked.

2. Browser Malware
A hosted web server on a 1Gbps link might typically see 100 requests/sec. An attacker can compromise one or more other web servers and then put hidden JavaScript (or flash) on a frequently accessed page. 
Normal users browsing these these pages unwittingly download the malicious JavaScript, which directs their web browser to access the victim's web server many times.  
The attacked servers cannot process the large number on incoming connections, meaning legitimate customers of those servers have a very low chance of their connections being processed.
Such attacks do not require a bot-net. They consist of a large number of connections where the attack traffic looks like legitimate traffic because it originates from non-compromised web browsers and involves each client sending only a small number of connection requests.
Anomaly-based DDoS Protection methods may detect the significant increase in number of incoming connections, but be unable to differentiate attack from legitimate traffic. Thus the attack defeats them.
IntelliGuard DPS, on the other hand, detects connection attempts exceeding limits in under one second and limits incoming connections down to a rate that the attacked web servers can handle, giving preference to prior customers of the attacked web server.

3. Simple UDP Flood
Simple UDP floods are one of the simplest attacks. 
An attacker can take a single web server offline that resides within a network, on a 100Mb link, and typically sees around 30 Mbps of TCP web traffic. To do this, the attacker can instruct as few as 5-10 bots to send a total of 300 Mbps of large UDP packets to the web server’s IP address. This will cause 2/3 of packets to be dropped by the switch directly upstream of the server. With this degree of packet loss no TCP connections can be completed and the attack is successful. 
Any anomaly-based DDoS Protection System deployed near the front of the network would be sure to detect such a significant increase in traffic. It would either:
a) notice a significant portion of UDP traffic if there was usually very little. It could then block all the UDP traffic, which would block the attack but could deny legitimate customers access.
b) notice that a small number of IP addresses are sending far too much traffic and black-list those addresses, but could at the same time inadvertently also block some legitimate customers.
IntelliGuard’s DPS achieves the same goal differently. In less than 1 second it will detect traffic exceeding a 100 Mb limit set for the webserver. It will then give preference to legitimate customers causing the attacking IP addresses’ traffic to be dropped.

4. Flash Crowds
While not an attack, “flash crowds” can overwhelm servers with the same effect as a DDoS flood attack. 
Web servers can be suddenly hit with an unexpectedly large number of requests, commonly as a result of focused media attention or timelines or unexpected events. 
This can overload web servers, which may then be unable to deal with any requests. The overload situation persists because users continue to send requests in an attempt to access the overloaded servers. Thus the Web site becomes inaccessible.
This is a particular problem for stock trading sites, online ticketing sites, sports betting sites, news portals, and government emergency information sites. 
As all traffic is legitimate, there is nothing anomalous about it, thus rendering rival anti-DDoS systems ineffectual in dealing with it. 
IntelliGuard DPS, on the other hand, ranks all clients that interact with a network, and limits the requests to a rate webservers can handle. In this type of legitimate traffic flood, the process is “Learn, Rank, Prioritise”, whereby the highest ranked clients are permitted to access the webserver and complete their transaction. Once done so, the next best clients are permitted to access the webserver, and so on, keeping the webservers available and effectively smoothing out large spikes of web requests.

5. Small Packet attacks
Where a DDoS defence system is unable to process full line-rate, it will contribute to the DDoS attack by dropping legitimate packets. Attackers can generate any size packets they want, and simply bring about this failure situation by generating large numbers of small packets, thus making the DDoS defence system the weakest link in the network. 
The only defense against small packet attacks is true line-rate performance.
Rival systems may provide line rate performance only under best case conditions, and thus fail to keep up with all packets on the wire with small packet sizes. IntelliGuard’s DPS can process full line rate at 64 byte packets.
"Prolexic has also witnessed legitimate session floods followed-up by UDP and ICMP floods that use very small packets. Coupling up attacks in this manner has become increasingly commomplace" -- The Prolexic Zombie Report Q1 - Q2 2005

6. Attacks through multiple links
Many networks have multiple incoming links able to carry attack traffic into the network. 
For example, 300 Mbps of attack traffic could arrive from each of three separate links. While link congestion at the network edge might not be apparent, the traffic aggregates within the network to overwhelm any number of links, servers and services. 
To detect and filter such attacks a DDoS Protection System (DPS) needs an aggregate view of all traffic entering the network. 
Rival anti-DDoS products lack the high throughput and numerous interfaces needed for this, and therefore cannot properly protect downstream network components in this scenario.
Deploying separate appliances on each incoming link provides at best partial protection. A device in this configuration that does not see all incoming traffic, does not know how much traffic downstream components are receiving nor how much traffic neighboring protection devices are blocking, and therefore does not know when to initiate or cease filtering.
IntelliGuard DPS’s high throughput and port density enables multi-gigabit protection with multiple incoming links.

1. Thousands of servers?  My largest client has about 10K desktops, but no more than 40 servers in its largest data center.  Astaro IPS will catch this just fine.

2. The goal is to prevent the attack in the first place, not to minimize its effect.  My question is why the IntelliGuard doesn't prevent the access that allows modification of the webpage in the first place.

3. I believe this is how the Astaro works.

4. There are better solutions to this problem than the Band-Aid approach of the IntelliGuard.  In any case, this is not a problem for even the largest of our clients.

5. I'm not sure I understand the issue.  If there are so many packets that the pipe is fully used, dropping them at the speed of the pipe won't allow "good" traffic through.

6. Multiple 300Mbps connections?  It sounds like you're talking about that "reliable ISP" to which Jack referred above.

Seriously, Ken, if you have a customer base for whom these issues are dispositive, you are a fortunate guy!

Cheers - Bob

1. Thousands of servers?  My largest client has about 10K desktops, but no more than 40 servers in its largest data center.  Astaro IPS will catch this just fine.

2. The goal is to prevent the attack in the first place, not to minimize its effect.  My question is why the IntelliGuard doesn't prevent the access that allows modification of the webpage in the first place.

3. I believe this is how the Astaro works.

4. There are better solutions to this problem than the Band-Aid approach of the IntelliGuard.  In any case, this is not a problem for even the largest of our clients.

5. I'm not sure I understand the issue.  If there are so many packets that the pipe is fully used, dropping them at the speed of the pipe won't allow "good" traffic through.

6. Multiple 300Mbps connections?  It sounds like you're talking about that "reliable ISP" to which Jack referred above.

Seriously, Ken, if you have a customer base for whom these issues are dispositive, you are a fortunate guy!

Cheers - Bob

It would be nice  to be told "HOW" Astaro mitigates the attack scenarios mentioned, which I don't believe it does, and what are the other solutions to flash crowds and how they work? IntelliGuard explains how it protects against these attacks and is doing so for its customers, some of whom have had to discard other systems that claimed protection but failed to protect against these types of attacks. So please tell the readers how Astaro protects against each one of the attacks I explained to you.

Ken, you are such an entertainer!   You didn't read the part where I said your stuff doesn't address the issues that concern my clients, did you?

You didn't explain anything.  You offer nothing to the people here.

I know a Ken Baker.  He's intelligent and a gentleman.  You, sir, are no Ken Baker.

This is my last acknowledgement of your existence.  Have a good life.

1. Thousands of servers? My largest client has about 10K desktops, but no more than 40 servers in its largest data center. Astaro IPS will catch this just fine.

A colocation room in a large datacenter can host thousands of servers. I know: the one we're using for our hosted services does.

2. The goal is to prevent the attack in the first place, not to minimize its effect. My question is why the IntelliGuard doesn't prevent the access that allows modification of the webpage in the first place.

Since you're on the receiving end, there is nothing you can do to prevent such an attack. You can only try to mitigate it.

5. I'm not sure I understand the issue. If there are so many packets that the pipe is fully used, dropping them at the speed of the pipe won't allow "good" traffic through.

The network security system has to analyze each packet separately This means that, even without using the complete available bandwidth, you can still overload the security device by sending small packets. If you're doing deep packet inspection, the situation can grow even worse since the security device will have to remember the state of the session until it has enough of the payload data to make a decision about whether to drop it or forward it.

Also, remember that a network security device typically has to protect many systems. This means that it might have to do a LOT more work than any of the individual machines behind it to recompose a packet, requiring more memory, CPU time and internal bandwidth. An attack made of lots and lots of very small TCP packets forming valid HTTP requests sent to a number of web sites hosted behind a single security device can very well force it to drop legitimate packets to process the flood. Since these packets will be retried, legitimate clients will also participate in the DOS because they will send more packets for the same query.

The alternate appliance promoted doesn't seem relevant to the average Astaro user, the small to mid-sized enterprise and the advanced home user.  At its high price it targets a different kind of network, and the device is a single purpose device.  There may be value in putting such a device in front of a UTM solution, but in the large enterprise datacenter environment where it would seem to fit- there are already superior alternate solutions which are not a single-purpose point solution.  (Forgive me for not promoting them by name, some also compete in the SMB UTM market).

Also, the attack by "a few zombies" is theoretically interesting, but with the resurgence of Storm (remember a few months ago when MS told us their MRST had "killed" Storm- yeah, I didn't believe it, either) and appearance of many newer botnets, there are now more bots available than ever.  The global economic situation has also hit the underground, large botnet rental rates are anecdotally the cheapest they have ever been- if an attacker wishes to take someone off the Internet the surest way is to simply fill the pipe and not worry about defenses.  Back to the ISP (and your relationship with them) here to have any hope of addressing it.  As far as the perimeter security device being exposed to more traffic and attacks than any individual device behind it- absolutely true and one of the reasons the systems have to be sized appropriately for the environment.

To flip the question, how well does the proposed alternative handle web and email content filtering, VPN, QoS, uplink failover, HTTPS inspection (7.4), IM/P2P management, WAN load balancing and traffic prioritization (7.4), etc.?

Channeling my inner redneck, let me sum it up this way: I wouldn't ask my coonhound to catch mice, nor would I ask my cat to tree a raccoon.

I think it is fair to point out that Mr. Baker is the founder and CEO of IntelliGuard.  

I would expect him to be proud of his company and their product line, but I do not believe this is the most appropriate method or venue for promotion of either.

You're quite right, Jack.  I'm sorry that I was abrupt in my last post.  My apologies to him and to all here.

Cheers - Bob