[dxp]

Hallo liebe Gulli Gemeinde,

ich habe in letzter zeit starke probleme mit Leuten die meinen, meine webseite lahmlegen zu müssen.

Leider bin ich gezwungen diese webseite auf einem w2k3 server mit apache zu hosten.

der angriff scheint wohl relativ einfach, auf irgend eine art&weise, wahrscheinlich per vurl unter linux o.ä. werden unmengen an anfragebn gleichzeitig auf meine webseite gejagt, dies legt relativ schnell den apachen lahm.

Nun die Frage ob es eine möglichkeit gibt die maximalen geöffneten TCP/IP verbindungen pro minute/client irgendwie zu beschränken mit einer firewall oder ähnlichem. Apache-Mods selbst haben bisher nicht geholfen, da diese nur greifen, nachdem die verbindung bereits aufgebaut ist.

Wenn jemand Rat hat bitte schreiben.

Vielen Dank im Vorraus.

[Kugelfisch23]

Handelt es sich um wirklich aufgebaute (established) TCP-Vebindungen, bei denen das 3-Wege-Handshake abgeschlossen wurde, oder handelt es sich um einen sog. SYN-Flood, wo möglichst viele `halb-offene` Verbindungen, meist mit gefälschten Absenderadressen, erzeugt werden?

Im Ersten, einfacheren Fall, stammen die Angriffe meist nur von einer geringen Menge von Absender-IPs, für die man dann in der Firewall DROP-Regeln hinzufügt.

Der Zweite Fall ist etwas komplexer. Es gibt Mittel und Wege, einem SYN-Flood beizukommen (Reverse-Path-Überprüfung, SYN-Cookies,...), aber ich weiss nicht, welche davon Win2k3 Server implementiert.

[dxp]

es handelt sich um voll geöffnete verbindungen, mit vollständigem http header. ich kann den angriff selbst reproduzieren...

ich weis aber nicht in wiefern es erlaubt ist das ganze hier zu posten...

[Kugelfisch23]

Zitat:

Zitat von dxp 

es handelt sich um voll geöffnete verbindungen, mit vollständigem http header. ich kann den angriff selbst reproduzieren...

In wie weit ist der Angiff verteilt? Will heissen: Wenn immer von 3-4 gleichbleibenden IPs massenhafte Requests schicken, lässt du am einfachsten deinen Paketfilter einfach alles, was von diesen IPs kommt, verwerfen.
Manche Paketfilter bieten ausserdem die Möglichkeit, die Anzahl an neu aufgebauten Verbindungen pro Zeiteinheit zu limitieren. Ob das in deinem Fall allerdings sinnvoll ist, ist fraglich, da es auch `normale` User treffen kann.

[dxp]

Zitat:

Manche Paketfilter bieten ausserdem die Möglichkeit, die Anzahl an neu aufgebauten Verbindungen pro Zeiteinheit zu limitieren. Ob das in deinem Fall allerdings sinnvoll ist, ist fraglich, da es auch `normale` User treffen kann.

Welche paketfilter/firewalls können das?

Zur Zeit ist da wohl nur die standard windows firewall atkiv( )

Habe das System erst vor ein paar tagen übernommen.

Wie installiere ich eine firewall auf einem remoteserver ohne mich selber auszusperren(hatte dieses Problem schon einmal)

[trojan]

Zitat:

Zitat von dxp 

Welche paketfilter/firewalls können das?

Zur Zeit ist da wohl nur die standard windows firewall atkiv( )

...

Zitat:

Quelle http://www.rrzn.uni-hannover.de/fw_windows.html
Paketfilter WIPFW

Als OpenSource-Projekt gibt es eine Portierung des aus FreeBSD bekannten IPFW nach Windows: WIPFW. Es handelt sich dabei um einen Paketfilter, der rein- und rausgehenden Verkehr filtern kann, dieses aber nur anhand von Protokoll und Port, nicht anhand der Applikation. Zudem ist es ein Kommandozeilen-Tool, das sicher nur für skript- oder unix-affine Administratoren geeignet ist. Es ist für Windows 2000 aufwärts geeignet. Zwar wurden von uns keine ausgiebigen Tests vorgenommen, erste Tests waren aber erfolgreich und vielversprechend.

http://wipfw.sourceforge.net/




und dann gibt es noch CHX-I Stateful Paket Filter for Windows
in version 2.8.2 und 3.0, mir gefiel die 2.8.2 besser, aber die page von denen gibts nicht mehr, die waren mal unter idrci.net zu finden. hab auf die schnelle auch keinen dl gefunden

[vmk]

http://www.wilderssecurity.com/showthread.php?t=166264