[MrBackup]

Zitat:

Zitat von onkelchen 

RTFM
Das ist nicht der wirkliche Filter.

Danke das hatte ich schon vorher verstanden. Aber letzlich können wir uns darauf einigen, dass die DDOS Abwehr mittels des Wrappers derzeit leider nur darin besteht einigermaßen schnelle Regex Filter für: KEYWORD zu finden, um die IP blocken zu können.

Vielleicht habe ich aber das richtige Location bit auch einfach nicht gefunden (Request per Minute o.ä.)

Zitat:

Zitat von Salomon 

Prima, gib denen noch Tips

Ist bestimmt nicht meine Absicht, und ich vermute mal da kommen die auch von selbst drauf, wenn man mal den Verlauf des damaligen Heise DDOS betrachtet...

[onkelchen]

Und eines bestimmten Merkmals in LOCATION und zwar nicht der gleichnamige Location Header wenn du darauf hinaus willst.

[MrBackup]

Ja, danke.

Bzgl. der Heise Meldung

Zitat:

Da die Webzugriffe der Bots eindeutige Merkmale aufweisen, lassen sich so die IP-Adressen der Angriffs-PCs ausfiltern und damit mittels eines Wrappers dynamisch neue Regeln in der Firewall definieren.

wollte ich mir den Wrapper und mod_security insofern mal ansehen, ob es die Möglichkeit bietet auch auf eventuelle nicht eindeutige Merkmale reagieren zu können. Die > 15000$ für sonstige AntiDDOS Konzepte müssen ja wohl irgendwo eine Berechtigung haben

[Spacefish2]

Hm Wrapper mit dynamischen Regeln finde ich auch, dass es dsa Effektivste ist. Aber man kann halt die ganzen Pakete sofort verwerfen ok, aber sie kommen trozdem durch die Leitung, auch wenn sie nicht beantwortet werden. Wenn man jetzt nur Zugriff auf seinen eigenen Server hat (100 Mbit Switchport) und die dort dropped, muss der Angreifer eigentlich nur nen entsprechend großes Botnet benutzen und irgendwann sind die 100Mbit auch zu. (Knackpunkt hier ist meines Wissens ~ 120% der Leitung). Ab dann werden auch echte Pakete in den Routern gedropped und es kommt zu Paketverlusten, was schließlich zum nicht mehr ereichbar sein des Servers führt.

Also: FW mit Wrapper auf Server -> Eindämmung

Stattdessen ist es eine bessere Möglichkeit, die Pakete auf dem Server per Wrapper zu erkennen und die Sperregeln dann an eine Firewall zu senden die möglichst weit vom Server weg ist (also am besten beim Carrier Router direkt an der Backbone). Damit hat man dann den "Bottleneck" zwischen Switch und Server (100 Mbit) frei für echten (gewollten) Traffic, da ja alle Angriffspakete schon abgefangen sind. Und um so eine Leitung des RZ´s zu überlasten braucht der Angreifer nen richtig großes Botnet, da man ja ein paar Gbit im Nacken hat.

Nachteil diese Methode: Es muss möglich sein die Pakete an der Backbone abzufangen, was relativ schwierieg werden könnte, wenn einem das RZ nicht gehört ^^

Naja ..... sry bin grade etwas abgeschweift, da ich mich auch grade mit ähnlichen Probs. beschäftige. Wünsch Euch noch gutes gelingen ^^.

edit: Habt ihr schonmal probiert nen Honeypot mit Syncookies die nie akzeptiert werden aufzustellen? -- Manche sind so dumm das net richtig zu coden in Ihrem Botnet ^^

[Der Jurist]

Wie sieht es hier aus?

Antispam.de hat es wieder erwischt.
Computerbetrug.de stand auch wieder unter Feuer, nur Treffer gab es nicht bzw. sie zeigten keine Wirkung.

[Der Jurist]

Was für Liebhaber.

[Spacefish2]

15 mbit korrekt!

[Chrimp]

Bin ja jetzt schon gespannt, wie viele Online-Wettbüros zur WM erpresst werden.
Da wird wohl Hochsaison für alle botnetze sein - leider -