Hey Leute,
Wiedermal habe ich eine Frage ^.^
Mein Linux VPS auf dem ein Sehr Großes Board hostet (5000 User) steht in letzter Zeit unter DDoS Attacken.
Ich weis, dass ich mich gegen (D)DoS Attacken eigentlich nur über die Hardware schützen kann.
Jedoch habe ich gelesen dass es auch manche Programme (IPTables, usw.) Gibt mit denen ich DDoS Attacken erkennen und abwehren kann.
Jedoch wie konfiguriere ich diese Programme?
Wäre toll wenn mir jemand mal nen Link posten würde ;)

Was für ein DDOS läuft denn bei Dir auf?

Ausrichten kann vermutlich aber nur der Provider (auf Routerebene) etwas (wenn überhaupt) - wenn die Anfragen erst mal am Server angekommen sind ist es meist zu spät, um zu reagieren...

Jedoch habe ich gelesen dass es auch manche Programme (IPTables, usw.) Gibt mit denen ich DDoS Attacken erkennen und abwehren kann.

Wie marce schon sagte, aber noch mal als kleine Denksportaufgabe formuliert.

Irgendein Programm soll einen DDoS _auf_ der Kiste, die attackiert wird, abwehren.

Was muss dieses Programm tun?

Röschtösch, es muss die ankommendene Pakete annehmen, analysieren und irgendwie entscheiden, was damit geschehen soll.

Was ist das Ziel eines DDoS?

Röschtösch, möglichst viele Pakete von möglichst vielen IPs gleichzeitig auf eine Kiste bzw. einen Dienst auf dieser abzuschiessen, daß diese so beschäftigt ist und sonst nichts mehr tun kann (Denial of Service).

Letzte Frage:

Was kann also irgendein Tool _auf_ der Kiste gegen einen ordentlichen DDoS-Angriff machen?

(Die Frage kannst Du sicher selbst beantworten ....)

naja, je nach Art des (D)DOS hat man evtl. schon die eine oder andere Möglichkeit - so eine Art "Strohalm" findet sich oftmals, meistens läuft es aber in der Tat auf eine Hase-Igel-Situation hinaus...

Hallo !
Macht diese Art der Netzwerküberwachung nicht der Anbieter bei denen der Server steht? Meine stehen zum Beispiel bei Hetzner und falls da mal was sein sollte gehen die auf Routerebene dazwischen oder nehmen das Ding kurz offline.

Viele Grüße
Sam

Der macht das nur
- gegen Geld
- aus Eigennutz

Ansonsten - wie erkennt man denn einen DDOS? Der Provider kann das evtl. gar nicht...

Ich vermute dass es simpele HTTP Flood Attacken sind. Meistens von Root Servern oder sehr kleinen BotNets aus.
SYN oder so ist da meines erachtens nicht ^.^

Ich vermute dass es simpele HTTP Flood Attacken sind. Meistens von Root Servern oder sehr kleinen BotNets aus.
SYN oder so ist da meines erachtens nicht ^.^

Es ist doch dein Server - schau doch nach anstatt Vermutungen zu äußern.

mfg
cane

Okay ich hab mir mal wieder einige Logdateien angeschaut. Es sind überwiegend HTTP Flood Attacken (Lighttpd Log 50MB Groß xD) und ich weis leider nicht wie ich diese Attacken abwehren kann. Manuell IP's Blocken dauert sehr lange (Und ich bin auch nicht 24/7 Online) und ist daher nicht besonderst gut.
Gibt es für Linux nicht irgendeine DDoS Firewall?
Am liebsten wäre mir Freeware aber wenn sie was kostet wäre das auch nicht der weltuntergang.

Wie sehen die HTTP Requests denn aus?
Sind sie anders aufgebaut als die regulären HTTP Requests?

mfg
cane

Sehen eigentlich für mich Ganz Normal aus.
Aber es muss doch einfach ne Firewall für Linux Geben (Ich benutze übrigens CentOS 5) mit der ich die DDoS Attacken (zumindest die kleineren) ohne Probleme Abwehren und die IP's der Angreifer automatisch sperren lassen kann.

Sehen eigentlich für mich Ganz Normal aus.

Also keinerlei Unterschiede zu normalen Requests?
Ganz sicher?


Aber es muss doch einfach ne Firewall für Linux Geben (Ich benutze übrigens CentOS 5) mit der ich die DDoS Attacken (zumindest die kleineren) ohne Probleme Abwehren und die IP's der Angreifer automatisch sperren lassen kann.

Du kannst Dir iptables anschauen, die Option "--limit-burst" könnte passen:

http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-7.html

mfg
cane

Hm, Sorry wenn ich das jetzt so sagen muss. Ich bin wenn's um Linux geht eher sehr hilflos und finde diese Anleitung auch nen Bisschen zu kompliziert. Jedenfalls komme ich überhaupt nicht zu recht :S

dann frag deinen admin ob er dir hilft

edit:
sonst vllt mal nen buch kaufen / ausleihen

oder in meiner lieblingsbücherei nachsehn - http://openbook.galileocomputing.de/linux/linux_kap23_006.htm

In lighttpd 1.5.x gibt es mod_evasive, das bei einer DoS-Attacke eingeschränkt hilft. Bei einer ausgewachsenen Distributed DoS-Attacke hilft es auch nicht mehr, da die Grenzwerte pro Client selten erreicht werden.

http://redmine.lighttpd.net/projects/1/wiki/Docs:ConfigurationOptions#mod_evasive-evasive-150

Wenn Du im Umgang mit Linux "sehr hilflos" bist, wieso betreibst Du dann einen eigenen Server? *seufz* Oder bist Du gar nicht der Administrator?

Jedenfalls:

Über (D)DoS könnte man ein ganzes Buch füllen, wenns nicht schon geschehen wäre. Das Thema ist komplex. Gerade bei HTTP gibt es im Gegensatz zu anderen Diensten ein großes Problem: Du kannst fast gar nicht herausfinden, wann etwas eine normale Benutzung und wann ein Angriff ist.

Zur Erklärung des "Warum" laß mich kurz HTTP mit einem anderen Protokoll wie beispielsweise SSH vergleichen. Um Dich auf einer Maschine anmelden zu können, öffnest Du eine Verbindung (SSHv2 sprich von einer Session), d. h. ein Socket geht auf, der SSH-Daemon meldet das, und dann arbeitest Du beliebig lange. Nach fünf Sekunden, fünf Minuten oder fünf Stunden, d. h., wenn Du fertig bist, wird die Sitzung und damit der Socket wieder geschlossen. Folgerichtig erkennt man DoS daran, daß innerhalb von kurzer Zeit viele Sitzungen geöffnet werden -- eigentlich bräuchte man nur eine.

Wie sieht das jetzt bei HTTP aus? Da macht der Browser eine Anfrage an den Webserver, um sich die Seite zu besorgen. Er verarbeitet das HTTP und startet dann für jedes Bild, für jedes CSS, für jede JavaScript-Datei, für jedes eingebettete Flash-Filmchen, ... eine neue Anfrage. Am besten natürlich parallel, sonst würde es dem Nutzer ja langweilig. Das heißt, daß die Anzahl der Anfragen, die den Server treffen, ganz stark von der Seite abhängt, die der Browser gerade anfordert. Für eine Nur-Text-Seite braucht er eine, für eine mit CSS zwei, wenn dann noch ein Bild drin sind, sinds drei, und so fort. Kurz gesagt, die Logik dahinter wird komplex.

Du hast zwei mögliche Ansatzpunkte:
Sieh in Deinem AccessLog nach, was im Falle eines DoS so angefordert wird. Vielleicht kristallisieren sich eine Reihe von typischen Anfragen heraus. Wenn innerhalb von fünf Sekunden von einer IP zweihundert Mal die Index-Seite aufgerufen wird, stimmt was nicht.
Stelle ein Limit für HTTP-Anfragen pro IP für einen bestimmten Zeitraum (drei Sekunden, fünf Sekunden, etc) auf, und mache das grob abhängig von der Intensität Deiner normalen Seiten. Surf einfach mal in Deinem Board und sieh Dir an, was dabei so rauskommt. Sinds 50 Anfragen innerhalb von X Sekunden, leg das Limit auf etwas mehr, und sieh nach, obs immer noch klappt.


HTH

...und schütz Dich vor DSDS!!!

Davor hilft aber nur eine ordentliche Firewall:
für LAN / Kabel / ...: http://www.pkelektronik.com/productPics_big/9516165.jpg
für WLAN / Digitalfunk / ...: http://entropia.de/wiki/images/b/b3/Bastelabend-bla.gif

Du solltest auch mal mit dem Hoster sprechen ...
Wenn es denn wirklich DDoS-Attacken sind, wird dich sicherlich auch mal der Punkt 'Traffic' dieser DDoS-Attacken interessieren, spätestens dann, wenn das Trafficlimit erreicht ist. Vllt. hat der Hoster ja bereits, aus Eigennutz, wirksame DDoS-Gegenmaßnahmen ergriffen ...

@Bridden:
Ich betreibe den VPS mit Linux aus folgenden Gründen:
-Linux läuft sehr Stabil
-Das einrichten der Webserver, usw. Geht ja ganz einfach z.B. mit yum und außerdem gibt's genug ordentliche Tutorials ;D
Mit DDoS kenne ich mich aus. Weis Jedoch nicht genau wie ich Angriffe abwehren soll.
APF oder so endet für mich immer in nem SelfDoS :S

@Stormbringer:
Ich habe extra den Host den ich momentan habe ausgewählt, da ich ganz genau wusste dass es DDoS Attacken geben wird. Der Host bietet auch DDoS Sicheren Space an, jedoch ist der Unbezahlbar (1GB Space, 600GB Traffic z.B. Kosten da 20€).
Deshalb habe ich mir nen Linux VPS geholt.
Der VPS wurde dann eingerichtet, usw.

Und ehm das lighttpd mod_evasive werde ich mir mal anschauen.

Ich habe extra den Host den ich momentan habe ausgewählt, da ich ganz genau wusste dass es DDoS Attacken geben wird.
Aha...


Der Host bietet auch DDoS Sicheren Space an
Den gibt es nicht.

Den gibt es nicht.
Aber unter ner Attacke mit 1000 Computern mit ner Schnellen Leitung kriegt man da nix Down.
1Gbit anbindung
Spezielle Firewall (Ich weis ned genau wie es ist, jedoch irgendwas mit der Anbindung blockt die DDoS Angriffe).
IPTables, APF und DDoS Deflate sind eingerichtet und Funktionieren.

Ich denke nicht, dass da jeder Möchtegern was machen kann. Im gegensatz zu meinem VPS :S

Aber unter ner Attacke mit 1000 Computern mit ner Schnellen Leitung kriegt man da nix Down.
Und die Erde ist eine Scheibe.

Wobei ein Bot-Netz mit nur 1000 Clients kein Bot-Netz ist sondern eher ein Kaffeekränzchen...

Und die Erde ist eine Scheibe.

Wobei ein Bot-Netz mit nur 1000 Clients kein Bot-Netz ist sondern eher ein Kaffeekränzchen...

Dieser Hoster der größte Deutsche Szene Hoster den es gibt. Die sollten wissen wie man mit DDoS umgeht da sie selbst auch DDoS (100k BotNet) gegen Geld anbieten.

Wir sind nun ernsthaft imprägniert.

Mein gott, wo ich hoste ist doch egal.
Ich habe mich an euch gewendet da ihr die größte Deutsche Linux Community seid die ich kenne.
Ihr seit in meinen Augen die einzigen die mir helfen können.
Da ist es doch total egal wo ich hoste. Wenn nicht Schließt oder löscht den Thread. Wenn es darauf ankommt wo man hostet werde ich eben wo anders fragen ._.

Dieser Hoster der größte Deutsche Szene Hoster den es gibt. Die sollten wissen wie man mit DDoS umgeht da sie selbst auch DDoS (100k BotNet) gegen Geld anbieten.
Naja .. ganz ehrlich, ohne etwas böses zu wollen: jeder Verkäufer preist immer nur seine Produkte an ... und ob jemand 'groß' ist, ist kein Merkmal von Qualität ;)

Schau mal hier (http://de.wikipedia.org/wiki/Denial_of_Service) nach, was so an ddos gegen große Firmen lief ... und viele von denen haben ihre Systeme, zumindest teilweise, ausgelagert - und mit Sicherheit keine Hobby-Admins engagiert ;)

Gegen einen ddos anzugehen erfordert auch immer ein gutes Maß an Abwägungen, nicht nur an know-how & Technik:
- wieviele Anfragen werden als i. O. betrachtet
- welche routing-Tabelle können angepaßt werden
- welche dyn. Lastteilung ist möglich
- welche Quell-ip-Bereiche werden wann für welchen Zeitraum gesperrt
- welcher Dienst wird wann angeschaltet
- etc.

Hinzu kommt ja, daß all jene Aktionen, die Du startest bzw. starten möchtest, erst dann erfolgen, wenn bereits traffic zumindest zu deinem Board hin erzeugt wurde ... entweder drop-st Du dann Anfragen (wobei auch berechtigte verworfen werden können), oder das System beantwortet diese in irgendeiner Art. Wird das aber getan, dann wird erneut traffic auf Deine Kosten verursacht.
Aber wenn das ddos-handling nun lt. der Info doch eh auf Seiten des hosters gemacht wird, dann solltest Du dich nur versichern, daß ggf. erfolgreiche ddos-Attacken nicht zu deinen Lasten laufen.

Viel Erfolg ;)

Ja, was mir aber schon fehlt ist das KnowHow mit IPTables oder APF (Endet immer damit, dass sich der VPS Selbst angreift und damit dann down geht [...]).
Ich frage ja hier, ob mir evtl. Jemand mit IPTables oder beim schreiben einer APF Config die keinen SelfDoS Anrichtet hilft ^.^

Dazu müsstest Du endlich mal konkrete Fakten zu dem vermutlichen dDOS posten.

Solltest Du das nur per PN oder als "Suche Freelancer, der mir das gegen $ macht" tun wollen, so solltest Du dies ebenfalls erwähnen.

Dazu müsstest Du endlich mal konkrete Fakten zu dem vermutlichen dDOS posten.

Solltest Du das nur per PN oder als "Suche Freelancer, der mir das gegen $ macht" tun wollen, so solltest Du dies ebenfalls erwähnen.

Na hier ist alles was ich weis:
-Es sind manchmal Root Server die mich angreifen. Manchmal auch BotNets von 5-100 Clients
-Es ist bis jetzt noch keine SYN Attacke aufgetaucht. Immer werden viele Connections erstellt und darüber werden dann verdammt viele Pakete gesendet

Der DDoS ist nicht vermutlich, ich bin mir sicher dass ich DDoSed werde >,>

Falls wer noch Infos braucht bitte sagen :S