Nieuwe site Brein moet DDoS-bestendig zijn

De nieuwe site van Stichting Brein draait op de open source webserver Nginx, dat bekend staat als efficiŽnt bij enorme verkeerspieken. De oude site was soms dagenlang down door DDoS-aanvallen.

"We waren al van plan om een nieuwe site te maken", legt Tim kuik, directeur van Brein uit. "En natuurlijk nemen we die gelegenheid te baat om het technisch zo in te richten om dergelijk vandalisme zo goed mogelijk tegen te gaan."

Daarom is de website anti-piracy.nl al een tijdje uit de lucht. Deze keer niet door aanhoudende aanvallen maar omdat er een nieuwe in de maak is. Kuik is zelf niet bij de technische kant betrokken en weet dan ook niet het naadje van de kous. "Maar ik heb natuurlijk wel gezegd: 'Maak dat ding zo bestendig mogelijk."



Apache-vervanger
De nieuwe site van Brein wordt gebouwd op open source webserver architectuur nginx, verraade de site in wording donderdag. "Nginx is eigenlijk een vervanger voor Apache", legt Rense Buijen, senior technical consultant van hostingprovider Terremark uit. "Het is best wel een opkomend ding." Volgens Buijen wordt Nginx vooral gebruikt omdat het vrij snel is en weinig overhead heeft. Ook is het een klein programma, waardoor de kans dat er fouten in de software sluipen een stuk kleiner worden.

Wordpress draait Nginx
Een ander voordeel van nginx is dat het korte metten maakt met het C10K probleem. De meeste webserver architecturen kunnen niet meer dan ongeveer 10.000 simultane verbindingen aan. Nginx vertrouwt op een asynchrone architectuur in plaats van op threads om de verzoeken af te handelen. Daardoor kan Nginx sneller schalen. Mede daarom wordt deze architectuur gebruikt door grote sites als WordPress.com, Hulu, Github, SourceForge en TorrentReactor. Volgens de makers draait 7,5 porcent van alle sites ter wereld inmiddels op hun platform, meer dan 20 miljoen sites.

Effectief tegen DoS
Volgens Buijen heeft Brein niet zoveel aan Nginx per se als het distibuted denial of service (DDoS) aanvallen wil tegengaan. "Dat is toch wel een beetje de denial of service of choice van menig pestkop, daar zal Brein in principe niks aan kunnen doen." Als het gaat om gerichte denial of service (DoS) aanvallen kan Brein volgens Buijen wel het een en ander hebben aan Nginx. "Maar bij een distrubuted denial of service maakt het niet uit of je nou Nginx of Apache draait, misschien houd de een het dan twee minuten langer uit dan de ander."

het verschil tussen een DDoS-aanval en een DoS-aanval is dat bij een DDoS de pijplijn naar de website verstopt wordt met een grote prop verkeer waardoor er niemand meer door kan. Als de webserver gericht wordt aangevallen kan het gebruik van Nginx volgens Buijen eventueel wel wat uitmaken.