df.de: dedizierter oder virtueller server?

[heisenberg]

Japp, und daran hat sich seitdem nichts geändert.

Wozu brauchst du eigentlich den dedicated server? Läuft da noch mehr als nur das Forum?

Auch wenn Du - cosinus - nicht mich gefragt hast, sondern Sebastian, antworte ich mal darauf und zwar hier, weil ich Sebastian nicht unbedingt extra deswegen anpingen will:

Ich denke, das eine VM locker die Performance hätte um, das Zeugs rund um df.de (chat, forum, wiki, mail, ... (Die SANs im df.de Zertifikat lassen vermuten, was da noch alles drauf läuft) abzufrühstücken. Ich vermute, dass da ansonsten nix drauf läuft. Wie aber TRex schon anmerkte: Wenn da mal wieder irgendwelche seltsamen Menschen Ihre Bots auf jeden Server, der da keine passenden Abwehrmassnahmen hat, hetzen, dann wäre eine VM total überfordert und weil das eben regelmässig passiert, ist da dann auch regelmässig Arbeit drin. Einfache Variante: Mehr Power!

[cosinus]

Sind die Server, die man bei Hetzner mietet, direkt im Internet, ohne ein Gateway dahinter, das DDoS und andere eklige Sachen abwehrt?

[Livingston]

Sind die Server, die man bei Hetzner mietet, direkt im Internet, ohne ein Gateway dahinter, das DDoS und andere eklige Sachen abwehrt?

Das dürfte wohl ein Geschäftsgeheimnis sein. Der Datenstrom durchläuft wie bei jedem Vermieter ein paar interne Router, und schon da wird verdächtiger Traffic vorgefiltert. Es liegt ja auch in deren Interesse, DDoS & Co. schnell zu entdecken, sonst werden alle ihre Kunden kollateral mit"erledigt".
Für die "letzte Meile" (oder wie nennt man das in diesem Zusammenhang?) gelten dann die Bedingungen, die im Vertrag stehen. Ein anständiger Anbieter wird seinen Kunden möglichst wenige Restriktionen auferlegen.

[heisenberg]

DDOS wird vielleicht schon etwas gefiltert. Bots sind natürlich etwas anderes.

Edith:

Was die Filterung angeht, so würde ich da gerne selbst entscheiden wollen, was da gefiltert wird. So wie bei Strato, die da anscheinend recht empfindliche Schwellen für ein Blocking von SSH-Verbindungen zum Server haben, finde ich das Recht uncool.

[cosinus]

Naja ich frag nach, weil hier geschrieben wurde, dass kleinere Server bzw. VPS schon arg in die Knie gehen bei DDoS. D.h. da dürfte dann wohl kein (wirksamer?) Schutz im Form eines Gateway mit Anti-DDoS eingerichtet sein.

[heisenberg]

Ich hätte gesagt, dass DDOS hier eher als Stellvertreterbegriff für den üblichen Wahnsinn des Sammelsuriums an störendem Internettraffic verwendet wurde.

[MSfree]

DDOS wird vielleicht schon etwas gefiltert.

Man kann bei DDoS bestenfalls die reinkommenden Pakete nicht annehmen. Man kann aber nicht verhindern, daß man die Pakete zugeschickt bekommt. Wenn jemand mit genug Netzwerkbandbreite alle Zugänge eines Rechenzentrums verstopft, hat man verloren. Nur das interne Netz im RZ bleibt durch die Filterung verschont. Der legitime Verkehr kommt dann trotzdem nicht oder nur sehr sehr langsam durch die Gateways durch.

[heisenberg]

Eine Massnahme, die ich im Bereich (D)DOS kenne, ist z. B. dass sich mehrere Netzwerkstreckenbetreiber zusammenschließen und den Traffic an den Grenzen des Netzverbundes blockieren. Das muss dann nicht heissen, das die Verbindung zum Server schon gestört ist. Letztlich: Man weiss einfach nicht, was auf der Seite des VM-Anbieters getan wird.

Im Kontext des aktuellen Themas: Der Anbieter mag sich vielleicht irgendwelche Massnahmen gegen Störtraffic ergreifen, aber betrifft natürlich nur gegen einen Teil. Um den Rest muss man sich selbst kümmern und da sind wir dann wieder bei der Leistungsreserve, die ein dedizierter Server im Vergleich zu einem virtuellen hat.

[niemand]

Das Problem mit einigen DDoS-Varianten ist, dass es sich um legitime Zugriffe auf den Server handelt – nur eben arg viele davon. Wenn der Provider die dann blockt, ist ja genau das Ziel des Angriffs erreicht worden: der Service steht auch tatsächlichen Nutzern nicht zur Verfügung.

[MSfree]

Eine Massnahme, die ich im Bereich (D)DOS kenne, ist z. B. dass sich mehrere Netzwerkstreckenbetreiber zusammenschließen und den Traffic an den Grenzen des Netzverbundes blockieren.

Genau, das erfordert aber mehr als nur zu filtern. Wenn es wirklich mal hoch hergeht, dann glühen die Telefone zwischen RZ und Netzprovidern, um der Sache Herr zu werden. Der der RZ-Betreiber selbst kann das gar nicht in den Giff bekommen.

Um den Rest muss man sich selbst kümmern und da sind wir dann wieder bei der Leistungsreserve, die ein dedizierter Server im Vergleich zu einem virtuellen hat.

Wir haben hier einen 8-Kern Ryzen. Wenn du eine VM mit 8 Kernen eines 64-Kern EPICs mietest, sollte die VM ähnlich leistungsfähig sein wie ein physikalischer Server, zumindest, was die Rechengeschwindigkeit angeht. Einige Resourcen muß man sich allerdings mit den anderen VMs teilen, die auf derselben Hardware laufen, z.B. Netzwerkschnittstellen, Speicherbandbreite und Storage (SSD, HDD, NAS, SAN...). Und wenn es ein Billighoster ist, dann sind die Server natürlich auch entsprechend überbuct, auf dem 64-Kern EPIC laufen dann 16 VMs denen jeweils 8 Kerne zugeteilt wurden.

[uname]

Ich habe nicht alle Beiträge gelesen. Aber zum Thema DDoS-Schutz gibt es doch Dienstleister wie z. B. Cloudflare. Wer sich selbst mit sehr hoher Wahrscheinlichkeit gegen DDoS absichern will, kann wohl kaum selbst genug Hardware hinstellen und muss das Problem über Reverse Proxy in die Cloud auslagern. Ich kenne aber auch Firmen, die sich gegen diese Gefahr so absichern, dass sie nur im Bedarfsfall ihren Traffic über einen Dienstleiter zum Scannen bzw. Ausfiltern umleiten.