Ergebnis 1 bis 18 von 18
  1. #1
    Mitglied Avatar von Nivek
    Registriert seit
    Jul 2005
    Beiträge
    1.159
    Danksagungen
    714

    Standard Schutz gegen einen DDos Angriff

    Hallo,

    Derzeit wird mein Projekt des öfteren mit DDos Angriffen beschossen.
    Mein Provider weiß auch keinen Rat und der Sericemitarbeiter konnte mir auch nicht sagen warum der interne DDos Schutz nicht greift... so far.

    Sobald ein Angriff kam, habe Ich die alte IP geblockt und dem Namenserver eine neue IP gegeben, so konnte Ich mein Internetangebot online halten.

    Ein Angriff sieht bei einer netstat-Anzeige nach blocken meist so aus:

    Code:
    tcp6       0    469 static.88-198-xxx-1:www p5083CE1C.dip0.t-:61764 LAST_ACK
    tcp6       1    454 static.88-198-xxx-1:www xdslx103.osnanet.d:2882 CLOSING
    tcp6       0    454 static.88-198-xxx-1:www e176077241.adsl.al:1387 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www pD9EC7EDC.dip.t-di:3880 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www e176077241.adsl.al:1377 LAST_ACK
    tcp6       0    454 static.88-198-xxx-1:www pD9EC7EDC.dip.t-di:3876 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www 125-27.3-85.cust.:49894 LAST_ACK
    tcp6       0    469 static.88-198-xxx-1:www pD9570B0D.dip0.t-:61933 FIN_WAIT1
    tcp6       0      1 static.88-198-xxx-1:www pD9570B0D.dip0.t-:61932 FIN_WAIT1
    tcp6       0      1 static.88-198-xxx-1:www p548428AC.dip0.t-:62500 FIN_WAIT1
    tcp6       0      0 ip6-localhost:32907     ip6-localhost:www       TIME_WAIT
    tcp6       0      0 ip6-localhost:32908     ip6-localhost:www       TIME_WAIT
    tcp6       0    468 static.88-198-xxx-1:www dont-blame-admin-:63078 FIN_WAIT1
    tcp6       0    468 static.88-198-xxx-1:www M5759.m.pppool.de:62412 FIN_WAIT1
    tcp6       0    454 static.88-198-xxx-1:www M5759.m.pppool.de:62410 FIN_WAIT1
    tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63858 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63852 LAST_ACK
    tcp6       0    454 static.88-198-xxx-1:www p5081F255.dip.t-d:62241 LAST_ACK
    tcp6       0    469 static.88-198-xxx-1:www 85-233-102-141.kt:50116 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www p57B5B065.dip0.t-:63838 LAST_ACK
    tcp6       0      1 static.88-198-xxx-1:www p508C5CB9.dip.t-d:62159 FIN_WAIT1
    tcp6       0    469 static.88-198-xxx-1:www bonn-4db4a99c.pool:4132 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www ip-90-186-50-171.w:1928 LAST_ACK
    tcp6       0    469 static.88-198-xxx-1:www ip-90-186-50-171.w:1938 LAST_ACK
    tcp6       0    454 static.88-198-xxx-1:www i577B50D5.versane:63081 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www p54AF6794.dip.t-di:2761 FIN_WAIT1
    tcp6       0    454 static.88-198-xxx-1:www p54808D52.dip0.t-:61491 FIN_WAIT1
    tcp6       0    454 static.88-198-xxx-1:www dyndsl-085-016-23:64485 FIN_WAIT1
    tcp6       0    468 static.88-198-xxx-1:www i577A6ADB.versanet:4688 LAST_ACK
    tcp6       0    454 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62457 FIN_WAIT1
    tcp6       0    468 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62459 FIN_WAIT1
    tcp6       0    468 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62458 FIN_WAIT1
    tcp6       0    469 static.88-198-xxx-1:www Q7bf8.q.strato-ds:62460 FIN_WAIT1
    tcp6       0    454 static.88-198-xxx-1:www p5081F255.dip.t-d:62195 LAST_ACK
    tcp6       0    469 static.88-198-xxx-1:www pD95DFED9.dip.t-di:4420 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www pD95DFED9.dip.t-di:4419 LAST_ACK
    tcp6       0    468 static.88-198-xxx-1:www pD9581186.dip.t-d:62408 FIN_WAIT1
    tcp6       0    469 static.88-198-xxx-1:www pD9581186.dip.t-d:62409 FIN_WAIT1
    tcp6       0    454 static.88-198-xxx-1:www pD9581186.dip.t-d:62406 FIN_WAIT1
    tcp6       0    468 static.88-198-xxx-1:www pD9581186.dip.t-d:62407 FIN_WAIT1
    // Es sind ca. 400 Zeilen mit IP´s - jede IP wiederholt sich ca. 5 mal.

    Diese ganzen IP´s hängen nun auf meiner alten IP die geblockt wird mit "TIME_WAIT" rum.

    Die Angriffe gehen zwar auf den www-Port, also auf den Apache-Server, nur sehe Ich in den Logs nichts besonderes, auch die Zugriffe oder die CPU-Load sind nicht höher geworden - nur spackt eben der Apache ab.

    Was mir auch seltsam vorkommt: Dieses "tcp6" steht immer speziell vor diesen IP´s die den Angriff verursachen. Was hat es damit aufsich?

    Nun ist eben die Frage: Wie verhindere Ich solch einen Angriff?
    Ich hatte vor mir meinen Kernel mit GR-Security zu patchen, nur nützt das überhaupt etwas?

    Gibt es spezielle iptable-Befehle die solch einen Angriff erkennen?

    Bis jetzt habe Ich die IP vom Namenserver 3mal geändert, das es kein ein Spaß ist, ist ja nun ersichtlich.

    Ich bin echt für jede Hilfe dankbar.

    Gruß Kevin

  2. #2
    Mitglied Avatar von prepassenger
    Registriert seit
    Mar 2006
    Beiträge
    3.758
    Danksagungen
    21

    Standard Re: Schutz gegen einen DDos Angriff

    Da will dich wohl Konkurrenz ein bisserl dämpfen.
    Geändert von prepassenger (06. 01. 2007 um 20:57 Uhr)

  3. #3
    ex-Moderator Avatar von vmk
    Registriert seit
    Jun 2000
    Ort
    /home/vmk
    Beiträge
    15.321
    Danksagungen
    964

    Standard Re: Schutz gegen einen DDos Angriff

    Ich denke, du hast eher ein Servertypisches Problem und nicht ein Linux-Home-User typisches Problem.... Es gibt schon sicherlich 'ne handvoll Threads zu dem Thema in *diesem* Forum.

    btw, mit iptables, mod_security etc kannst du sicherlich einiges erreichen, dafür brauchst du aber gut Ahnung ;-)

  4. #4
    Mitglied

    (Threadstarter)

    Avatar von Nivek
    Registriert seit
    Jul 2005
    Beiträge
    1.159
    Danksagungen
    714

    Standard Re: Schutz gegen einen DDos Angriff

    Hi,

    @prepassenger:
    Ja, das bin Ich. Aber Ich dachte ich versuche es nochmals woanders.

    @vmk:
    Oh, habe das irgendwie übersehen .
    Werde dann nochmal suchen.

    Hm, mod_security. Bringt mir das z.b. bei einem SYN-Flood überhaupt etwas?
    Das würde doch erst gar nicht auf Apllikations-Ebene kommen, um die Pakete überhaupt zu analysieren.

    Ich muss wohl noch ein wenig lesen.

  5. #5
    ex-Moderator Avatar von vmk
    Registriert seit
    Jun 2000
    Ort
    /home/vmk
    Beiträge
    15.321
    Danksagungen
    964

    Standard Re: Schutz gegen einen DDos Angriff

    Stimmt, solange der Apache nicht selbst betroffen ist.

    Mit iptables könntest du z.B. die Anzahl Pakete bzw. SYN-Pakete limitieren. Mit einer IDS könntest du gezielt Clients blocken, die in x Sekunden mehr als n Pakete senden.

  6. #6
    Mitglied

    (Threadstarter)

    Avatar von Nivek
    Registriert seit
    Jul 2005
    Beiträge
    1.159
    Danksagungen
    714

    Standard Re: Schutz gegen einen DDos Angriff

    Unter IDS habe Ich Snort gefunden, damit werde Ich mal mein Glück versuchen.
    Gibt es irgendwie Code-Snippets für diese SYN-geschichte mit iptables?
    Oder kennst du ein paar nette Seiten die das dokumentieren?

    Danke

  7. #7
    Mitglied Avatar von irak
    Registriert seit
    Mar 2006
    Ort
    /dev/null
    Beiträge
    231
    Danksagungen
    2

    Standard Re: Schutz gegen einen DDos Angriff

    ich würde sagen das es kein ddos ist sondern nen botnet^^

  8. #8
    Mitglied Avatar von Ice_Cold
    Registriert seit
    Sep 2006
    Beiträge
    198
    Danksagungen
    0

    Standard Re: Schutz gegen einen DDos Angriff

    Zitat Zitat von irak
    ich würde sagen das es kein ddos ist sondern nen botnet^^
    Es soll Botnets geben, welche Ddos Attacken ausführen!

  9. #9
    Mitglied Avatar von Torrobulba
    Registriert seit
    Oct 2005
    Ort
    Unbekannt
    Beiträge
    1.336
    Danksagungen
    225

    Standard Re: Schutz gegen einen DDos Angriff

    Zitat Zitat von Ice_Cold
    Es soll Botnets geben, welche Ddos Attacken ausführen!
    lol! botnet "firmen" machen ja ddos attacken....

    greetz
    TorrO

  10. #10
    Mitglied
    Registriert seit
    Sep 2006
    Ort
    @ Home
    Beiträge
    669
    Danksagungen
    799

    Standard

    Zitat Zitat von Torrobulba
    lol! botnet "firmen" machen ja ddos attacken....

    greetz
    TorrO
    Die Firmen haben nix anderes zu tuen als "harmlose" Server besitzer zu ärgern?
    Eine frechheit.

  11. #11
    Mitglied
    Registriert seit
    Jul 2003
    Beiträge
    7.046
    Danksagungen
    2

    Standard Re: Schutz gegen einen DDos Angriff

    Zitat Zitat von Nivek
    Nun ist eben die Frage: Wie verhindere Ich solch einen Angriff?
    Kurze und klare Antwort:
    Gar nicht. Das muss dein ISP machen, alles andere ist mumpitz. Wenn er es nicht macht, such dir einen ISP, der das macht. Der kostet allerdings mehr als 49,- Euro/Monat inkl. Traffic-Flat.

    Suche speziell nach ISPs, die mit sowas wie "DDoS-protect" o.ä. werben.

    Ansonsten habe ich hier schonmal URLs zu Dienstleistern gepostet, die dir soetwas als Dienstleistung anbieten, ganz billig ist das allerdings nicht.

  12. #12
    Mitglied
    Registriert seit
    May 2008
    Beiträge
    29
    Danksagungen
    0

    Standard Re: Schutz gegen einen DDos Angriff

    servus,

    die bieten sowas für webserver an:

    http://www.first-colo.de/DE/?show=s_ddos

  13. #13
    Gesperrt Avatar von 0tozero
    Registriert seit
    Jul 2007
    Beiträge
    1.848
    Danksagungen
    0

    Standard Re: Schutz gegen einen DDos Angriff

    Je nach finanziellen Mitteln könntest du dir natürlich ein RZ mieten und jeden Angreifer entsprechend mit einem Gegenangriff belohnen. (Mit einigen Servern aus einem Rechenzentrum solltest du, fokusiert auf jeweils einen Rechner, diesen schnell down bekommen..) Ob das allerdings letztlich dein Problem löst, der günstigste Weg ist wage ich zu bezweifeln, wäre aber mal just for fun ne coole Aktion


    Edit: Aber eine ernst gemeinte Antwort..
    Jeder DDos Schutz, der Serverlokal ist, ist natürlich sehr beschränkt, da dein Server ja trotzdem die Anfragen auf gewisse Weise bearbeitet, auch wenn es nur ein Aussortieren ist. Hast du mal deinen Hoster um Hilfe gebeten?

  14. #14
    Mitglied Avatar von Datafreak
    Registriert seit
    Sep 2004
    Ort
    $HOME
    Beiträge
    1.646
    Danksagungen
    29

    Standard Re: Schutz gegen einen DDos Angriff

    Hört auf Leichen aus 2007 zu schänden!

  15. #15
    Mitglied
    Registriert seit
    Aug 2012
    Beiträge
    1
    Danksagungen
    0

    Standard Re: Schutz gegen einen DDos Angriff

    Hallo, Ich weis das das thema schon älter ist aber bevor ich ein neues aufmache frag ich hier nochmal an.
    Ich habe einen Quadcore PC direkt an einem T-online Router mit 16.000 Dsl Anschluss direkt verbunden über LAN.
    Und benutze seit kurzem ein neues betriebssystem da mir windows zu viel geld verlangt für etwas was ich net bereit bin jährlich zu zahlen, mein neues betriebssystem ist Debian 6.0.5 und wurde mir alternativ von usern Empfohlen.
    Doch hab ich die selben Probleme privat die ich mit windows hatte jetzt auch bei debian, internet ausfälle (alle gemeldet an T-online) die sagen das es Ddos angriffe sind können leider keine Ip zuweisen der herkunft bzw Von wo es genau kommt (standort).
    da diese über Vhosts oder wie die meinten verschicken. und das einzige was ich tun könnte würde mich ca 50 euro pro monat kosten und wäre eine möglichkeit wie ( dynds.org, no-ip.com, selfhost.de TZO.com) nach ausführlicher beratung bin ich mir aber dennoch nicht sicher ob das wirklich helfen soll, da in einem anderem forum einer gelacht hat und meinte das man alles auch ohne geld mit etwas arbeit sogar besser hinbekommt, man muss sich nur kenntnisse darüber verschaffen wie man sich gegen soetwas bis zu einem gewissem punkt absichern kann. ip verschleierung etc was er noch alles geschrieben hatte.
    Nun hoffe ich hier mal etwas bessere Antworten zu erfahren und hilfswege etc. die ich gehen kann. weil ansonsten kann ich genauso gut mein inet auch abmelden xD.
    ein freund sagte nur das die erste und schnellste hilfe ist wärend eines empfangens eines angriffes sofort die leitung zu trennen, aber das zu machen wärenddessen man gerade nen film schaut usw. ist mit der zeit sehr nervig.
    Ich bitte daher wenn es möglich ist mir eventueel etwas zu helfen soweit es möglich ist.
    vielen dank.

  16. #16
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    415

    Standard Re: Schutz gegen einen DDos Angriff

    Dein genaues Setup, insbesondere der Einsatzzweck des `Quadcore PC`s, geht aus deinem Beitrag nicht hervor. Handelt es sich um einen von Aussen erreichbaren Server, welcher (mutmasslich) aus dem Internet angegriffen wird, oder um ein privat genutztes System, welches gar nicht von Aussen erreichbar sein sollte? Oder versucht ein (mutmasslich kompromittiertes) System aus deinem Netzwerk, an einem dDoS-Angriff auf andere Server mitzuwirken?

    Wenn das System nicht von Aussen erreichbar sein soll und du einen normalen Privatanwender-DSL-Anschluss hast, würde sich anbieten, zunächst einmal die Verbindung zu trennen und neu aufzubauen. Dadurch erhältst du (in aller Regel) eine neue IP-Adresse, wodurch der Angriff bis auf Weiteres gegen eine nicht mehr vergebene IP-Adresse gefahren wird.

    Wenn es sich um einen Home-Server handelt, welcher von Aussen erreichbar sein muss und gezielt angegriffen wird, ist eine Abwehr kaum realistisch. Du kannst zwar versuchen, entsprechend verdächtige Pakete auf dem Server selbst zu filtern, doch es ist bereits mit einem sehr kleinen Botnetz kein Problem, deine Internetanbindung zu sättigen oder den DSL-Router auszulasten. Allerdings könntest du einmal versuchen, festzustellen, of es sich überhaupt um einen dDoS-Angriff handelt, indem du den Netzwerkverkehr mit einem Sniffer wie z.B. Wireshark analysierst (bzw. bei fehlendem X auf dem Server erst mittels z.B. tshark aufzeichnest, den Dump auf dein Desktop-System überträgst und dort mit Wireshark analysierst).

  17. #17
    Mitglied Avatar von NeoLizzard2000
    Registriert seit
    Jun 2010
    Ort
    Erde
    Beiträge
    262
    Danksagungen
    0

    Standard Re: Schutz gegen einen DDos Angriff

    Als kleine ergänzung zum Thema.
    Habe in einer Ausgabe von Hakin9 mal einige schöne Techniken gefunden, die auch einem Laien helfen sich zu einem gewissem Maß gegen DDos zu schützen.
    Leider habe ich meine alten Ausgaben weggeworfen und habe daher den Artikel nicht parrat.

    Aber als ich das letzte mal bei Hakin9 auf der Homepage war, konnte man diverse Ausgaben nach der Anmeldung online per pdf anschauen. Vielleicht findest du dort noch eine gute Lösung.

    Mfg

    NeoLizzard

  18. #18
    Mitglied
    Registriert seit
    Mar 2013
    Beiträge
    1
    Danksagungen
    0

    Standard Re: Schutz gegen einen DDos Angriff

    Ich hab für meine Seite n recht guten Anbieter für ddos schutz. Der Service den die anbieten heißt myracloud. Zu finden unter DDoS Schutz von myracloud
    Hatte keinen Bock, dass die immer wegen irgendwelchen Script-Kiddies, die den Server meines Hosters abschießen down geht. Sie liegt auf nem Virtual Server und so kriegt sie die Angriffe auf die anderen Seiten die da drauf laufen auch ab. Habe da auch schon den Provider angeschrieben, der meinte dann auch nur: Ja da können wir nix machen. -.- ganz großes kino!
    Bin deswegen jetzt auf den oben genannten Service umgestiegen und seitdem funktionierts einwandfrei.
    Geändert von Camagine (04. 03. 2013 um 13:04 Uhr)

  19.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •