Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Bron: Secure64

Het bedrijf Secure64 heeft wereldkundig gemaakt dat het een dns-server heeft ontwikkeld die in staat zou zijn de ergste ddos-aanvallen te weerstaan. De basis van een Itanium-chip en specifiek ontworpen software moet het systeem te allen tijde in de lucht houden.

Secure64 is een nieuw bedrijf dat onder de leiding staat van een van de Itanium-ontwerpers. Het eerste product van deze firma is een dns-server die niet alleen ddos-aanvallen moet weerstaan, maar volgens marketingmanager Mark Beckett in staat is rootkits, trojans, virussen en wormen van zich af te slaan. De basis van het systeem wordt gevormd door een rx2660-server van HP met een dualcore Itanium 2-chip. Vooralsnog wil Secure64 eventuele bestellingen zelf afhandelen, maar in de toekomst zal gezocht worden naar resellers voor het ongeveer 15.000 dollar kostende apparaat. De hardware wisselt overigens al voor 5000 dollar van eigenaar, maar voor de software moet de hoofdprijs van 9995 dollar betaald worden.

HP rx2660Volgens de marketingafdeling van het bedrijf zorgt een aangepaste versie van de NSD-software ervoor dat de Secure64-server meer dan honderdduizend queries per seconde kan afhandelen, zelfs onder de zware belasting van een ddos-aanval. Analist Gorden Haff stelt dat Secure64 een aantal geloofwaardige claims neerzet, maar meent dat het bedrijf een reseller als HP nodig heeft om echt succes te kunnen boeken. Zelfs dan is het echter nog de vraag of de bewezen technologie van Anycast voor veel partijen niet interessanter is. Wellicht biedt Secure64 een uitkomst voor kleinere isp's en bedrijven die niet in staat zijn meerdere servers op verschillende geografische locaties neer te zetten, maar voor de rest lijkt er maar een kleine markt te zijn voor de nieuwe dns-appliance.

Moderatie-faq Wijzig weergave

Reacties (34)

Wat ik vreemd vindt is dat DDOS met name een software probleem is. Namelijk te lang verbindingen open houden waar niks mee wordt gedaan. Als je dat te lang/veel doet raakt je geheugen op.

Echter hier wordt met geen woord over het besturingssysteem gerept?
Van de website:
Secure64 DNS is the first application to run on SourceT®, a micro OS designed from the ground up for security and performance. Unlike hardened operating systems, SourceT is Genuinely Secure: it is secure by design and fully utilizes the hardware to make the system and its applications immune to compromise from rootkits and malware and resistant to network attacks.
En als ik dan kijk naar de standaard support contract: 90 dagen. Als je zo zeker bent van je product geef je toch wel meer support. En verder vind ik hun "Independent test lab results" nogal twijfelachtig. Ze hebben alleen BIND getest. En dan BIND niet de beste performance leverd is al lang bekend. Naar is de vergelijking met NSD of PowerDNS
De meeste van de DDoS-simulaties die ze hebben gedaan zijn echter niet specifiek gericht op de DNS-server, en laten dus vooral zien hoe de TCP/IP-stacks het t.o.v. elkaar doen. Het is trouwens vrij normaal in de serverwereld dat je extra moet betalen voor supportcontracten.
En als ik dan kijk naar de standaard support contract: 90 dagen. Als je zo zeker bent van je product geef je toch wel meer support.
Dat doet Cisco ook standaard op haar nieuwe switches.

De filosofie hierachter is heel simpel: als het geen DOA is, en het is na 90 dagen nog niet stuk, dan gaat het waarschijnlijk ook niet meer stuk. Genoeg bedrijven die daarop vertrouwen en zich er geen buil aan vallen. (de meeste hebben sowieso toch wel een spare staan).

Als je echt perse support contracten wil, ja, dan betaal je de hoofdprijs.
Ik denk dat de software en het besturingsysteem in dit soort toepassingen heel nauw verweven zijn. De software is in dit geval dus ook het besturingsysteem.
Het eerste product van deze firma is een dns-server die niet alleen ddos-aanvallen moet weerstaan, maar volgens marketingmanager Mark Beckett in staat is rootkits, trojans, virussen en wormen van zich af te slaan.
Ik vraag mij echt af in hoeverre rootkits, trojans en wormen nu een werkelijke bedreiging zijn voor een DNS-server. Zijn dit niet zaken die alleen voorkomen op client computers? Het lijkt me sterk dat er iemand op de DNS-server zélf zit te werken en hier en daar wat illegale zaken download.

Toch?

Oké via exploits zouden in principe dat soort zaken op een DNS-server terecht kunnen komen, maar dit soort servers zijn toch echt wel goed onderhouden bakken die up-to-date gehouden worden. Dus die kans lijkt mij niet heel groot.
In bedrijven wordt de kans dat een dns-server meerdere taken heeft, dus meer software, en bijgevolg ook kwetsbaarder is wegens de potentiële aanwezigheid van meer lekken al groter.

Er zijn heel wat bedrijven die hun dns-systeem gewoon op de Exchange-server draaien bijvoorbeeld, waarbij je met zowel de lekken in je dns-software als in je Exchange-pakket geconfronteerd kunt worden.

Daar tegenover staat dan weer dat deze bak geen Windows of uberhaupt zelfs maar een normale Linux-distro draait, dus dat het installeren van extra software moeilijk zal worden. Wellicht zijn er met virtualisatie echter wel alsnog scenario's te bedenken waarbij enige preventieve activiteit wenselijk dan toch positief is.
Ah in het licht van de DDoS aanvallen op de DNS root servers ging ik ervanuit dat het om een root server ging. My bad :Y) (verkeerd gelezen doh)

Dan moet ik het overigens wel eens zijn met de laatste regel uit het artikel:
..., maar voor de rest lijkt er maar een kleine markt te zijn voor de nieuwe dns-appliance.
Zo'n kleine markt nu ook weer niet. Denk eraan dat er letterlijk honderden kleine providers zijn, die veelal voor businesses werken. Hun enige verkoopsargument is snelle, persoonlijke service en advies. Vaak zijn ze erg lokaal, geografisch spreiden is dus geen optie.

Als er ook maar 1 webwinkel op hun server draait, staan ze open voor DDoS-dreiging als afpersing (zie een reeks britse online gokbedrijven, vorig jaar); als ze neergaan kunnen ze hun winkel sluiten want dan denkt de klant "hm, grote provider had dit voorkomen, macht van het getal". Dan is een eenmalige 15K een snelle, goedkope oplossing --- spreiding impliceert extra contacten en contracten om te onderhouden.

Buiten providers, geldt hetzelfde voor hosting bedrijven, en veel telecommunicatie.
Afpersing is op zich wel een aardig argument... maar ik denk niet dat dat op DNS van toepassing is. Welke dodo gaat er nou een DNS DoS doen, als je zo makkelijk een HTTP-DoS kan doen... en die zijn over het algemeen wat effectiever. Het verschil tussen een duwtje en een dreun met een honkbalknuppel.
Zeker het feit dat er een zeer kleine specifieke markt voor is, verklaart de $9995 prijs voor de software.

Moet toch zeker wel een Open-Source alternatieve methode voor gevonden kunnen worden, buiten het feit dat bestaande DNS software zoals BIND vermoedelijk ook een gigantische hoeveelheid DNS queries kunnen bedienen op zo'n krachtig $5000 systeem natuurlijk.

Daar zullen vast wel geen tests van zijn vrijgegeven.

Vraag me dus af of de ontwikkelaars in BIND nu puur hun heil in Anycast zoeken, of ook nog steeds methodes ontwikkelen die soorgelijk zijn aan dit Secure64 systeem.

@Wouter Tinus, dank je voor de duidelijke uitleg, de secure64.com site werkte niet voor mij (het bekende t.net en /. effect, en ze moeten vast nog aan de webserver variant werken die een DDoS kan weerstaan :+). Maar zoals je zelf al zegt, het is inderdaad de vraag of de Linux setup wel een goede was. Zou dus liever een gelijkwaardige test van BIND ontwikkelaars zien, aangezien die natuurlijk wel een Linux setup optimaal op BIND kunnen afstemmen.

En misschien kan BIND inderdaad niet verder geoptimaliseerd worden, waardoor load-balancing/clustering via Anycast de enigste uitweg is, maar zou toch een goede zaak zijn als ze dat heroverwegen. Kan BIND alleen maar beter van worden als ze de architectuur onder de loep nemen, zeker met IPv6 in het vooruitzicht.
Moet toch zeker wel een Open-Source alternatieve methode voor gevonden kunnen worden, buiten het feit dat bestaande DNS software zoals BIND vermoedelijk ook een gigantische hoeveelheid DNS queries kunnen bedienen op zo'n krachtig $5000 systeem natuurlijk.
De test is uitgevoerd op dezelfde hardware voor Secure64 en Linux/BIND. Onder normale omstandigheden haalde de eerste 109K queries/sec en de tweede 29K queries/sec. Daarna hebben ze er een Avalanche 2700 loadgenerator op losgelaten met verschillende soorten aanvallen:

ARPFlood: Secure64 onderuit bij 7.02 miljoen pakketten, Linux onderuit bij 181.000 pakketten.
EvasiveUDP: Secure64 onderuit bij 6.28 miljoen pakketten, Linux onderuit bij 309.000 pakketten.
Ping of Death / Ping Sweep: Secure64 onderuit bij 654-830Mb/s, Linux onderuit bij 70-165Mb/s.
TCP SynFlood: Secure64 bij 830Mb/s, Linux bij 232Mb/s
UDPFlood: Secure64 bij 791Mb/s, Linux bij 41.000 pakketten
Unreachable Host Attack: Secure64 bij 810Mb/s, Linux 20.000 pakketten/161Mb/s
XmasTree Attack: Geen effect op beide

Het opvallende is dat Secure64 bijna zijn volledige prestaties blijft behouden tot het punt waarop de aanval echt de hele lijn dichttrekt (en dan kan geen enkel programma nog werken), terwijl Linux vaak al bij een fractie van de maximale bandbreedte onderuit gaat. Ook zou de Secure64 steeds direct na de aanval weer beschikbaar zijn, terwijl Linux dan nog even op adem moet komen.

Het is natuurlijk moeilijk te beoordelen of ze Linux optimaal geconfigureerd hadden - ze zeggen van wel, maar er worden niet veel details gegeven - maar is het is dus in ieder geval niet simpel op de hardware af te schuiven.
Leuk dat men een vergelijking doet met Linux, maar volgens mij draaien veel van dit soort machines op FreeBSD danwel OpenBSD (correct me if I'm wrong).

Hoe verhoudt deze machine zich tot een [u]goed[u] geconfigureerde FreeBSD/OpenBSD machine?

* Little Penguin vraagt zich verder af of de Linux machine gewoon standaard was of juist geoptimaliseerd voor DNS aanvragen...
Nog even wat quotes over wat ze met Linux hebben gedaan:
the Linux operating system (which had been modified specifically to suit only the DNS services that the Secure64 software supports) and the BIND version 9.3.4 program
The Linux/BIND combination was stripped of all services, daemons, and other elements not essential to DNS services. IPTables was used on the Linux/BIND DNS server in a generic configuration that exposed only telnet, ssh, and DNS ports.
We modified the Linux/BIND server, removing
all non-essential services, daemons, and processes, and optimized virtualization/paging/memory management, as well as using IPTables techniques to make the server more ‘stealthy’.
Of dat voldoende is: geen idee :).
[quote]
Hoe verhoudt deze machine zich tot een [u]goed[u] geconfigureerde FreeBSD/OpenBSD machine?
[/quote]

Dat vraag ik me ook wel af ja.

Ik weet uit persoonlijke ervaring dat linux bakken zelfs onder middelmatige belasting kunnen bezwijken. Nadat dezelfde hardware voorzien is van FreeBSD was er echter geen vuiltje meer aan de lucht.

Mocht iemand de beschikking hebben over de benodigde hardware: ik ben gaarne bereid een test op te zetten. Dat andere OpenSource besturingssysteem (FreeBSD dus) moet eigelijk gewoon in de meeste tests (voor zover mogelijk) meegenomen worden, fair is fair.

[edit]

Over OpenBSD: OpenBSD is helemaal niet geschikt voor dergelijke toepassingen, aangezien OpenBSD best slecht is als het om multithreaded dingen doen. Daarentegen is het wel heel erg goed in datgene waar het voor ontworpen is: secure zijn.

Als firewall is het erg goed, qua security hardened box is het uitstekend, maar als webserver, SQL machine, DNS server? nee, daar is het simpelweg niet voor ontworpen, en in kleine omgevingen kom je daar wel mee weg, maar in een zware omgeving (bijvoorbeeld de DNS servers van een middelgrote ISP) gaat OpenBSD niet je vriendje zijn.
Erhm grappig dingetje, maar DDoS blijft een _fysiek_ probleem in tegenstelling tot wat anderen hier beweren.

Het is vrij simpel: als de pijp vol is, past er niks anders meer door heen. Afgezien van of packets/requests ignored/dropped/rejected/whatever worden, de pijp (uplink, backbone, whatever) heef een fysiek maximum.

Feit is dat zodra dit verkeer de pijp betreed er minder ruimte is voor legitiem verkeer. Daar kun je nog zulk intelligente software tegenover zetten, het blijft een kwestie van bandbreedte. Zodra de pijp maar vol genoeg propt wordt met rommel, past er niks anders meer door heen en hebben we het dus over een Denial of Service.

Leuk dat dat ding 800 Mbit kan weerstaan, maar de verbinding waar het ding aan hangt kan dat niet.

Slimme marketing truuk om uit de recente DoSen op de root servers een slaatje te proberen te slaan.
Deze mensen zijn al sinds 2004 bezig met hun OS, dus om ze af te doen als marketinggedreven meelifters is ook een beetje cru, hoewel de timing ongetwijfeld goed uitkomt ;).

nieuws: Secure64 bouwt OS specifiek voor Itanium-processors

Volgens mij heeft een beetje provider trouwens wel minstens een gigabitlink voor een stuk vitale infrastructuur als DNS, misschien wel twee voor redundantie. Die 800Mbit zou in praktijk dus wel gehaald kunnen worden. Niets kan ooit helemaal bestand zijn tegen DDoS-aanvallen, maar dit lijkt i.i.g. een stuk robuuster dan Linux/BIND.
Volgens mij heeft een beetje provider trouwens wel minstens een gigabitlink voor een stuk vitale infrastructuur als DNS
Daar vergis je je behoorlijk in hoor. De uplinks van de meeste providers zijn wel Gigabit, maar de interne netwerk links zijn gewoon 100 Mbit/s. Alleen nieuwsservers willen nog wel eens gebaat zijn bij Gigabit links.

Wij hadden in de tijd naast alle duizenden domeinen van klanten ook nog mirrors van onze blacklists, en onze eigen populaire blacklists op de 3 nameservers staan (wel geografisch gescheiden), toch haalden die nameservers niet meer dan 8 Mbit/s aan traffic (en dat is voor een nameserver eigelijk al extreem).

Zoals mijn ex collega zei toen hij de stekker uit de blacklists trok: "they probably tried to (D)DoS us, we didn't even notice"
Ik neem aan dat, wanneer je maar met genoeg zombie computers op de netwerkverbinding van deze server in loopt te stampen, dat je op die verbinding op een gegeven moment zoveel packet loss krijgt dat gewone requests er niet meer doorheen komen. Daarmee kun je deze server nog gewoon DDoSsen, hoe slim de software ook is.
Stel dat dit product inderdaad werkt zoals het beloofd, dan zouden de vastbesloten DDoSSers ook kunnen besluiten om de andere (niet beveiligde) servers in hetzelfde datacentrum aan te vallen.

Een kleine omweg die meer capaciteit zal vereisen, maar uiteindelijk hetzelfde effect zal hebben.
En zouden ze nu ook keiharde garanties durven geven voor die prijzen? Zo niet dan is het naar mijn mening een marketingverhaaltje van Secure64 om hun winstmarge groot te houden.
Eindelijk een DNS server die up blijft als ik mijn DDoS met DNS Reflector attack uitvoer :+
Afgaande op de resultaten is deze DNS server niet bestand tegen DDOS attacks (wat volgens mij niets is) maar gewoon een ERG performante DNS server waardoor het lijkt dat hij een DDOS attack kan weerstaan.

Dit is niet negatief bedoelt hoor, de test resultaten die door Wouter aangehaald worden zijn echt wel knap.
Kun je niet gewoon stellen dat elke server een DDOS kan weerstaan zolang die maar meer rekencapaciteit heeft dan er requests door de lijn kunnen?

Ik bedoel, doe maar lekker een aanval op mijn servertje thuis bijvoorbeeld. De lijn slipt inderdaad helemaal dicht, maar zolang je maar kracht genoeg hebt om de requests die er door komen te beantwoorden zal je server nooit plat gaan. Toch?

Edit: aanvulling

Ik ben dus benieuwd wat er gebeurt als je de software kosten die je bespaart door het gebruik van Open Source in extra hardware investeerd. Dus de genoemde Itanium met de speciale software tegenover een Linux machine waar die $10.000 gebruikt is voor extra Itaniums en RAM.
Bij mijn weten komt het niet zo vaak voor dat een DNS gehacked word hoor, wees daar ook maar blij van want voor je het weet kom je op een andere site uit dan je zou willen.
Porn for everyone :+
Of op helemaal geen site meer...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True