hallo

ich habe meine firewall verbessert ( iptables )

wie kann ich die firewall testen, ob diese dos-attacken,... erfolgreich abwehrt..

nmap habe ich schon gestartet -> sieht gut aus..

wie testet ihr eure server...

Danke

DoS-Attacke? ab bzw. ab2 (Apache Benchmark) sind z.B. Programme, mit denen man eine DoS-Attacke durchführen kann. ;)

Mit welchem Maßnahmen bist du der Meinung DoS-Attacken verhindern/abwehren zu können?

DoS-Attacke? ab bzw. ab2 (Apache Benchmark) sind z.B. Programme, mit denen man eine DoS-Attacke durchführen kann. ;)

Mit welchem Maßnahmen bist du der Meinung DoS-Attacken verhindern/abwehren zu können?

ich meine Denial-of-Service-Attacken...

was ist ab bzw. ab2...
wo kann ich die programme downloaden.... ?

ne einfache iptables regel ( habe ich aus dem forum.. )

$IPTABLES -A INPUT -i ppp0 -m state --state NEW \
-j ACCEPT


Danke

ich meine Denial-of-Service-Attacken...
Ja, das ist mir klar.


was ist ab bzw. ab2...
wo kann ich die programme downloaden.... ?
ab ist ein Benchmark-Tool für Webserver. ab ist bei bei Apache 1.3, und ab2 ist bei Apache 2.0 dabei.
Siehe: http://httpd.apache.org/docs-2.0/programs/ab.html


ne einfache iptables regel ( habe ich aus dem forum.. )

$IPTABLES -A INPUT -i ppp0 -m state --state NEW \
-j ACCEPT
Damit willst du genau was erreichen? Weisst du, was ein DoS ist und was genau deine Paketfilterregel bewirkt?

Hi Muell,

Bei einer DoS werden Deinem Server so viele Anfragen geschickt, dass er mit der Ausfuehrung nicht mehr nachkommt, sodass Deine IP von aussen nicht mehr erreichbar ist.

HTH,

Samsara
.

Bei einer DoS werden Deinem Server so viele Anfragen geschickt, dass er mit der Ausfuehrung nicht mehr nachkommt, sodass Deine IP von aussen nicht mehr erreichbar ist.
Ich würde es etwas anders formulieren: Bei einer DoS-Attacke wird ein Serverdienst übermäßig stark beansprucht, so dass dieser Serverdienst nicht mehr erreichbar ist.

Bei einer DoS-Attacke wird ein Serverdienst übermäßig stark beansprucht, so dass dieser Serverdienst nicht mehr erreichbar ist.

heisst das,..
wenn ich nach aussen keinen dienst offen habe bzw. brauche...
dann brauche ich keine angst vor einer DoS haben...

oder hat @Samsara recht... das der server dann nicht mehr erreichbar ist
und kein verkehr über den server/router mehr möglich ist...

heisst das,..
wenn ich nach aussen keinen dienst offen habe bzw. brauche...
dann brauche ich keine angst vor einer DoS haben...
Du brauchst insgesamt keine Angst zu haben, weil du dich gegen DoS-Angriffe eh nicht wirklich wehren kannst. ;)


oder hat @Samsara recht... das der server dann nicht mehr erreichbar ist
und kein verkehr über den server/router mehr möglich ist...
Ein DoS kann auch dazu führen, dass der Netzwerkverkehr unmöglich wird.

Schau mal hier: http://de.wikipedia.org/wiki/Denial_of_Service und von dort weiterführende Links.

Man an sich nur sehr ingeschränkt gegeb DoS und besonders DDoS wehren:

Man kann die Pakete der Angreifer sofern erkennbar (Problematik der gespooten UDP-DDoS) generell droppen. Vorsicht: Nur bei TCP-Conections anwenden!

Man kann fehlerhafte Pakete (Flags) droppen anstat sie zu rejecten.

Generell kann man sich nicht vor einem DDoS schützen außer man bezahlt spezialisierte Dienstleister die dann den eigenen Verkehr über ihre sehr performanten Netze routen und den Verkehr vorfiltern.

Auch das hilft nur teilweise da ein Webshop sich beispielsweise nicht vor masenhaften HTTP-Requests schützen kann die regulär erscheinen (Botnetze).


mfg
cane

Hallo allerseits,

ich habe mich auch schon gefragt, welche Maßnahmen ich mit iptables zum Schutz vor (D)DoS ergreifen könnte. Selbst wenn keinerlei Dienste von außen zugreifbar sind, wie sieht das mit fragmentierten Pakten aus? Wenn ich die iptables-Doku richtig in Erinnerung habe, werden fragmentierte Pakete zuerst zusammengesetzt, bevor sie an die netfillter-Architektur weitergeleitet werden.

Ein bekannter Angriff ist doch die "fehlerhafte" Verwendung fragmentierter Pakete. Beispielsweise überlappende Fragmente oder ähnliches. Gibt es dazu Meinungen?

Wenn du aber Verbindungen von außen zuläßt (wie auch immer), dann wage ich zu behaupten, daß du dich nicht gegen einen (D)DoS-Angriff schützen kannst. Außer vielleicht: Auswählen -> neue IP ;-)

kehj

Selbst wenn keinerlei Dienste von außen zugreifbar sind, wie sieht das mit fragmentierten Pakten aus? Wenn ich die iptables-Doku richtig in Erinnerung habe, werden fragmentierte Pakete zuerst zusammengesetzt, bevor sie an die netfillter-Architektur weitergeleitet werden.

Wenn keine Dienste erreichbar sind sind die Ports geschlossen und es werden keine, also auch keine fragmentierten, Pakete empfangen.

Netfilter kann sehr wohl mit Paketfragmenten umgehen, um bestimmte Analysen durchzuführen (Paketgrößen) ist es aber nötig die Fragmente zusammenzusetzen.



Ein bekannter Angriff ist doch die "fehlerhafte" Verwendung fragmentierter Pakete. Beispielsweise überlappende Fragmente oder ähnliches. Gibt es dazu Meinungen?

Es existieren in Netfilter Mechanismen generell alle Pakete vor der Verarbeitung zu defragmentieren...



Wenn du aber Verbindungen von außen zuläßt (wie auch immer), dann wage ich zu behaupten, daß du dich nicht gegen einen (D)DoS-Angriff schützen kannst. Außer vielleicht: Auswählen -> neue IP ;-)

Auch wenn man keine Verbindungen zulässt kann ein DDoS gefahren werden da Netfilter die Pakete ja zumindest droppen muss - auch das kostet CPU und verstopft den IP-Stack. Wenn der Angreifer eine bandbreite von 100 MB/s und das Opfer nur 2 MB/s hat kann er einfach die Leitung verstopfen. Reguläre Dienste sind dann nicht mehr zu erreichen...

mfg
cane

Wenn keine Dienste erreichbar sind sind die Ports geschlossen und es werden keine, also auch keine fragmentierten, Pakete empfangen.


würd ich jetzt auch net so unterschreiben...

Nehmen wir an dass in netfilter selbst ein problem herrscht, dass bei einem bestimmten paket welches behandelt wird durch sagen wir eine DROP Regel eine hohe CPU Belastung hervorruft dann würde man es trozdem schaffen.
Gleiches wär auch auf den IP-Stack übertragbar.

Aber, im Prinzip kann man da ja nicht wirklich viel machen.
Man müsste überlegen wie man es erkennen kann.
Das is ja bei einem DoS ganz ok da es von einer Maschine kommt. Z.B. einfach übermässigen Traffic dann blockieren. Aber wo setzt man die Grenze? Heikles Thema ;)

Aber bei DDoS tut sich noch die Problematik der verschiedenen Quellen auf. Da müsste man etwas wie eine z.B. zeitliche struktur finden um so etwas abzuwehren, oder auch bestimmte Inhalte der Pakete...

Grüße Temp

Aber, im Prinzip kann man da ja nicht wirklich viel machen.
Man müsste überlegen wie man es erkennen kann.
Das is ja bei einem DoS ganz ok da es von einer Maschine kommt. Z.B. einfach übermässigen Traffic dann blockieren. Aber wo setzt man die Grenze? Heikles Thema ;)

Aber bei DDoS tut sich noch die Problematik der verschiedenen Quellen auf. Da müsste man etwas wie eine z.B. zeitliche struktur finden um so etwas abzuwehren, oder auch bestimmte Inhalte der Pakete...

Wie hier schon gesagt wurde kann man als Opfer im Prinzip nichts machen und das Vorfiltern in einem externen, performanten Netze ist die einzige Loesung.

Ich hab das mal getestet und mit meinem 100Mbit Server unter Ausnutzung hunderter Gameserver etwa 2-3Gbit traffic an eine IP geschickt!
Wenn man mehrere solcher 100Mbit server hat, koennte man also mit "Hilfe" der tausenden gameserver schon etwas sehr sehr Grosses lahmlegen.

Allerdings kann man darauf achten, dass man nicht selbst zu solchen DoS Attacken ausgenutzt wird. Hier sind aber IMO vor allem die Entwickler gefragt, da die noetigen iptables Regeln fuer den Anwender oft sehr schwer zu finden sind bzw. oftmals ueberhaupt nur mit Hilfe unschoener Kernel Patches realisierbar sind (um oben beschriebene Attacke zu verhindern muessten die gameserver UDP-Pakete inhaltsabhaengig filtern falls diese zu oft von derselben IP kommen).

Speziell wundert mich, dass die getstatus/getinfo DoS-Attacke bei nahezu allen zigtausenden gameservern seit Jahren auf einfachste Art und Weise moeglich ist - Es sollte ziemlich einfach sein diese Anfragen im Server-Code wenigstens zeitabhaengig zu limitieren, um so Dritte zu schuetzen.

Ich hab das mal getestet und mit meinem 100Mbit Server unter Ausnutzung hunderter Gameserver etwa 2-3Gbit traffic an eine IP geschickt!
Wenn man mehrere solcher 100Mbit server hat, koennte man also mit "Hilfe" der tausenden gameserver schon etwas sehr sehr Grosses lahmlegen.



interessant...
ausnutzung hunderter gameserver...
klingt irgendwie dubios *G*

interessant...
ausnutzung hunderter gameserver...
klingt irgendwie dubios *G*
Ja ja;)
Wir haben es meist nur als Trockenuebungen oder mit wenigen befreundeten Servern bzw. nur sekundenlang getestet. Ausserdem, wenn man den Traffic auf viele Server verteilt, werden diese das gar nicht bemerken (nur 0.2Mbit/s jeweils von 10000 Servern macht 2Gbit/s an das Opfer! wobei man selbst nur etwa 60mbit/s an die 10000 verschicken muss)

Was mich nur verwundert hat ist, dass die gespooften IP Pakete von meinem Provider ueberhaupt gerouted werden - an meinem Gateway waere es ja sehr leicht die falsche Sender-IPs zu erkennnen! Gibts denn irgendeine "gute" Anwendung wo man gespoofte Pakete benoetigt?

Zu Hause von meinem Arcor-ISDN aus werden solche Pakete jedenfalls irgendwo gedroped und erreichen ihr Ziel nicht. Sowas verhindert schonmal eine ganze Menge Attacken irgendwelcher Kiddys - denn die 200 Zeilen c-code kann jeder kompilieren und auf eine Serverliste + Opfer-IP loslassen.

Ja ja;)
Wir haben es meist nur als Trockenuebungen oder mit wenigen befreundeten Servern bzw. nur sekundenlang getestet. Ausserdem, wenn man den Traffic auf viele Server verteilt, werden diese das gar nicht bemerken (nur 0.2Mbit/s jeweils von 10000 Servern macht 2Gbit/s an das Opfer! wobei man selbst nur etwa 60mbit/s an die 10000 verschicken muss)

...

Hi,

musst mich gerade mal registrieren, nachdemich dieses Thema gesehen oder besser gesagt gefunden habe.
.. denn seit einigen Wochen erwischen uns immer wieder eins bis zweistündige DOS-Attacken. Es ist eher eine einfache Art der DOS Attacke mit nur einer IP den HTTP-Dienst vollsauen, bis dieser umkippt. Problem ist, dass ich momentan nur die Lösung parat habe "iptables -I INPUT -s 1*2.***.1*2.*0 -j DROP" für die ich ja sozusagen "live" vor Ort das ganze gerade mitbekomme (um es eben sofort zu unterbinden).

Einige Posts drüber erwähnte allerdings jemand, dass mittels iptables zumindest diese einfachen dinge verhindert werden könnten (falls ich das richtig verstanden habe?!).

Ich wäre für jeden Tip äusserst dankbar, denn es nervt total und kostet nicht nur Austragungen aus Searchengines (wenn diese gerade zufällig spidern wollen), sondern auch Besucher, die sowas mehrmals mitbekommen.

Nunja, jetzt noch eine Beichte "es läuft suse 9.1" auf dem root, zu etwas anderem bin ich nicht genug mit Kentnissen bewandert (aktuell halt). Zudem würde es äusserst intensive Arbeiten benötigen (meinerseits) auf eine andere nicht vorgefertigte Distribution umzusteigen und dabei gleichzeitig das produktive System mitzunehmen - weshalb ich wirklich hoffe, dass der Beitrag noch nicht so verstaubt war .. dass es zumindest für singel-ip Attacken erkennbare Lösungswege für iptables gibt.

.. denn seit einigen Wochen erwischen uns immer wieder eins bis zweistündige DOS-Attacken. Es ist eher eine einfache Art der DOS Attacke mit nur einer IP den HTTP-Dienst vollsauen, bis dieser umkippt..
Was heisst das genau?
Blockiert der incomming traffic die connection oder die Anworten von Deinem Apachen? Oder geht die CPU last hoch?


Problem ist, dass ich momentan nur die Lösung parat habe "iptables -I INPUT -s 1*2.***.1*2.*0 -j DROP" für die ich ja sozusagen "live" vor Ort das ganze gerade mitbekomme (um es eben sofort zu unterbinden).

Wenn Du mit DROP die Attacke abwehren kannst ist das ja schon mal gut.
Du musst also "nur" eine Gemeinsamkeit finden finden, die auf (genau) diese Pakete passt, um sie zu filtern.
Wie sehen denn die Pakete aus, die geschickt werden - Groesse, Inhalt, etc? Wie viele Pakete bekommst Du davon pro Sekunde? Kommen sie alle vom selben Port (also moeglicherweise von einem anderen Server)?

Falls die Attacke gezielt fuer den Apache gemacht ist - vlt gibts einen patch der das Problem schon im apachen behebt?

Haben die IPs die du mitgeloggt irgendwelche gemeinsamkeiten (Provider, Herkunftsland?)