DDOS / Syn-Flood Abwehr
Ja ja die DDOS Attacken, sie haben mich am Wochenende wieder beschäftigt, was heißen soll mein damaliger Eintrag zum Thema war irgendwie nicht so wirklich die Lösung. Aber probieren wir mal weiter, der Frank hat hier ein Script aufgetan, welches quasi die DDOS Attacken aufhalten soll und dieses schöne Script nennt sich simpel und passend (D)Dos-Deflate. Hat sich nach einigen Recherchen bewährt und funktioniert ganz simpel, denn mittels Cronjob wird das Script z.B. im Minuten-Takt aufgerufen und da checkt es via netstat die Connections und wer quasi zu viele Connections hat (die man in der Config Einstellen kann) der wird dann per iptables gebannt. Nun gibt es auch Stimmen, die meinen, dass dieses Script zu alt wäre und nur Probleme produziert.
Nun wir testen das gerade mal, aber ich könnte mir vorstellen, dass es schwierig wird hier eine gute Konfiguration zu finden. Weil lässt man zu wenige Connections zu, wird es problematisch und bei zu vielen wirkungslos. Ich schiele hier auch mal in Richtung Proxys von AOL, Google und was nicht alles.
Nun gut, dass die Syn Cookies ab Werk eingeschaltet sind, muss ich nicht sagen, bei wem das nicht der Fall ist, der macht ein:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
Und dann kann man eben (auf eigene Gefahr) nur bissel mit den Werten rumspielen:
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1200 > /proc/sys/net/ipv4/tcp_keepalive_time
Naja und dann haben wir eben immernoch das viel angesprochene Mod_Evasive wegen den vielen Syn-Flood angriffen, aber hier kann ich noch nichts berichten. Meine Erfahrungen sind allerdings, wie auch bei Mod_Security2, dass es schwer ist hier die ideale Konfiguration zu finden, so dass der problemlose Betrieb von anspruchsvollen Scripten (unser Ticket-System) gewährleistet ist und dazu noch Sicherheit in vollem Umfang gewährleistet ist.
Alles im allem muss ich aber dennoch feststellen, dass gegen solche Syn Flood Attacken kein richtiges Heilmittel gewachsen ist, wenn man mal so die Stimmen von den Profi hört. Die meinen nämlich, dass iptables dagegen nichts hilft bzw. man es nicht nutzt, bei den Syn-Cookies empfiehlt an diese zwar, aber helfen tun diese nur begrenzt, denn am Ende wird das System schon irgendwie träge.
Ich habe sogar schon den Tipp bekommen, komplette IP-Bereiche die mit 88.XX anfangen und 85.XX zu sperren, aber ich weiß nur zu gut, dass Arcor im IP-Pool solche 88er IPs hat und von daher sag ich mal: nix gut!
Dann hätten wir noch APF, die Advanced Policy Firewall mit der übrigens auch das oben benannte DOS-Deflate Script zusammenarbeitet. Ja es gibt auch noch OSSEC, was auch in punkto Sicherheit sicherlich nützlich ist und die Logfiles analysiert, nach Rootkits sucht und andere Dinge, wie Alarmierungen verschickt. Sicherlich eine feine Sache, aber helfen tut mir das momentan nicht.
ist Unternehmer uns besitzt eine IT-Firma, die sich auf individuelles (Wordpress-) Webhosting sowie individuelle IT-Lösungen spezialisiert hat. Er schreibt hier Fach-Artikel rund um das Thema Internet und Computer. Aber auch in der Welt von Windows, Linux und den modernen Smartphones kennt er sich aus und schreibt hier entsprechende Artikel, Tests und Tipps & Tricks.
Danke für den Link, scheint eine interessante Sache zu sein an der Du da bastelst.
Schöner Beitrag, ich selbst habe gerade ein ähnliches Script in der Entwicklung, welches das ganze noch einfacher machen soll. Zu finden ist es hier:
http://www.anti-hack.net/viewt.....&t=69
Folgendes sehr ausführliche Review kann ich jedem nur empfehlen und die Wirksamkeit des genannten DDoS Mitigation Device bestätigen:
http://tweakers.net/reviews/16.....rough-hell