Würde ich mein Anliegen mit dem Handbuch hinkriegen würde ich hier nicht fragen..
Welchen Teil davon verstehst du nicht?
Abuse-Meldung
- Thread starter NRG21
- Start date
Welchen Teil davon verstehst du nicht?
Ich denke das Problem mit dem generellen Limitieren ist keine Syntax-Frage, sondern könnte andere Probleme mit sich bringen.
Mit den Regeln aus dem Beispiel würden max. 3 UDP-Pakete pro Sekunde angenommen werden, die einen bestimmten Inhalt haben, in diesem Fall Statusanfragen.
Wenn jetzt alle UDP-Pakete limitiert werden sollen, müsste man sich erstmal Gedanken über das richtige Limit machen - bei 3 Paketen pro Sekunde könnte Counterstrike ein wenig ruckeln
Was spricht den gegen den Vorschlag mit der Filterung nach Strings?
Mit den Regeln aus dem Beispiel würden max. 3 UDP-Pakete pro Sekunde angenommen werden, die einen bestimmten Inhalt haben, in diesem Fall Statusanfragen.
Wenn jetzt alle UDP-Pakete limitiert werden sollen, müsste man sich erstmal Gedanken über das richtige Limit machen - bei 3 Paketen pro Sekunde könnte Counterstrike ein wenig ruckeln
Was spricht den gegen den Vorschlag mit der Filterung nach Strings?
Ich habe mich nur an diesen Post orientiert:
Auf dem Server werden demnächst ca. 9 CS:S Server laufen (ca. 230 Slots). Ich weiß nicht inwiefern sich so eine iptables-Regel auf die Performance auswirkt?
Wenn ich jetzt alle UDP-Verbindungen blockieren würde, würde ich das Limit natürlich höher stellen als 3.
Ich weiß ja auch gar nicht, ob die Gameserver diejenigen sind, die die Pakete beantwortet haben. Was ist mit anderen Diensten, sollte man da auch Limitierungen vornehmen? Zum Beispiel bei SSH? Was ist mit ICMP?
Danke!
Yo da hast du grundsätzlich Recht.
Normalerweise nutzt man Anfragen auf Nameserver oder Gameserver aus, da die Antworten deutlich größer sind als die Anfragen. Dadurch kann man deinen Server als "Verstärker" missbrauchen.
In deinem Fall war ein- und ausgehender Traffic aber nahezu identisch, was gegen einen solchen Angriff spricht. Es könnte also theoretisch alles mögliche gewesen sein.
Normalerweise nutzt man Anfragen auf Nameserver oder Gameserver aus, da die Antworten deutlich größer sind als die Anfragen. Dadurch kann man deinen Server als "Verstärker" missbrauchen.
In deinem Fall war ein- und ausgehender Traffic aber nahezu identisch, was gegen einen solchen Angriff spricht. Es könnte also theoretisch alles mögliche gewesen sein.
Ist das so? Wenn ich SYN Pakete mit deiner IP durch die Weltgeschichte schicke, bekommst du doch SYN ACKs aus allen Richtungen, oder nicht? Ob das eine besonders effiziente Maßnahme ist um dich zu ärgern lasse ich mal dahingestellt... ;-)
Um das zu verhindern müsste er den Port aber ganz dicht machen
Oder die SYN Pakete limitieren.
Wieso meinst du, dass icmp nicht das Problem ist? Mit den aktuellen Informationen könnte es alles mögliche sein.
Yo, aber da sich es hier offensichtlich nicht um so ein typisches Szenario geht, da der ausgehende Traffic nicht höher war als der eingehende, könnte es halt alles mögliche gewesen sein.
Ich befürchte, es wird mit den bisher bekannten Informationen nicht möglich sein, eine passende Anleitung zur Behebung des Problems zu geben. Besteht es denn überhaupt noch? Während eines solchen Vorgangs ist es ja ein leichtes herauszufinden, welcher Art die eingehenden Pakete sind und passende Gegenmaßnahmen zu ergreifen. Rückwirkend wird das schwierig.
Warum wird hier eigentlich immer auf UDP-Attacken ausserhalb des Systems eingegangen? Es kann genauso jemand auf den Server eingebrochen sein. Nur weil "keine Dienste" drauf laufen heisst das nicht, dass man nicht einbrechen könnte.
Unter welchem User läuft der Gameserver? Ist KeyLogin eingerichtet und Passwortlogin deaktiviert? Was sagt netstat -tulpen? Ist der Server aktuell? Was sagt rkhunter aus dem Rescuesystem?
Zum Thema "alle Logs durchgegangen":
Ich weiss ja nicht, aber meine Logs zusammen zählen 17603 Zeilen. Sicher alle durchgegangen?
Unter welchem User läuft der Gameserver? Ist KeyLogin eingerichtet und Passwortlogin deaktiviert? Was sagt netstat -tulpen? Ist der Server aktuell? Was sagt rkhunter aus dem Rescuesystem?
Zum Thema "alle Logs durchgegangen":
Ich weiss ja nicht, aber meine Logs zusammen zählen 17603 Zeilen. Sicher alle durchgegangen?
Und der Einbrecher sollte dann was getan haben, was 22MBit/s ausgehenden und 27MBit/s eingehenden Traffic erzeugt?
Natürlich nicht unmöglich, aber von den Auswirkungen her unwahrscheinlich dass hier ein Hack vorliegt.
Aber wie gesagt, ausschließen kann man mit den vorliegenden Infos gar nichts.
Natürlich nicht unmöglich, aber von den Auswirkungen her unwahrscheinlich dass hier ein Hack vorliegt.
Aber wie gesagt, ausschließen kann man mit den vorliegenden Infos gar nichts.
Hab nicht gesagt dass ich den Einbruch für möglicher halte Wollte damit nur sagen dass man in alle Richtungen schauen kann. Halte auch eine Amp-Attack für warscheinlich.
Ausserdem waren hier nicht die MBit/s das Problem, sondern hatte er 59kpps. Die mbit/s selber können ja auch durch die Clients verursacht werden.
Wollte damit nur sagen dass man in alle Richtungen schauen kann. Halte auch eine Amp-Attack für warscheinlich.Ausserdem waren hier nicht die MBit/s das Problem, sondern hatte er 59kpps. Die mbit/s selber können ja auch durch die Clients verursacht werden.
Nochmal: Bei einem Amplifier Angriff wäre der ausgehende Traffic höher als der eingehende. Die Anzahl der Pakete ist logischerweise gleich groß. Daher habe ich gerade den MBit/s Wert erwähnt und nicht die Anzahl der Pakete, auch wenn diese beim Provider die Reaktion ausgelöst hat.
Da in diesem Fall der ausgehende Traffic sogar geringer ist als der eingehende ist ein Amplifier Angriff eines von wenigen Dingen, die meiner Meinung nach ausgeschlossen werden können.
Da in diesem Fall der ausgehende Traffic sogar geringer ist als der eingehende ist ein Amplifier Angriff eines von wenigen Dingen, die meiner Meinung nach ausgeschlossen werden können.
Joe User
Zentrum der Macht
Wo steht dass es UDP-Pakete waren?
Wo steht dass es gespoofte Pakete waren?
Liest hier überhaupt noch Jemand, oder wird nur noch blind irgendeine Antwort abgegeben und der Thread in gleich mehrere falsche Richtungen Off-Topic gelenkt?
Letzteres ist mein Job, falls Ihr es vergessen haben solltet... (SCNR!)
Ich wollte damit sagen, dass man SSH nicht für Amp-Attacks wie bei UDP-Services benutzen kann.
Man muss ja wohl einige mögliche Ursachen in Betracht ziehen? Ohne die Info ob es UDP oder TCP war oder irgendetwas anderes kann man wohl nicht viel mehr machen.
Ich bin raus.
Man muss ja wohl einige mögliche Ursachen in Betracht ziehen? Ohne die Info ob es UDP oder TCP war oder irgendetwas anderes kann man wohl nicht viel mehr machen.
Ich bin raus.
Nein, im Moment nicht. Das war nur gestern zwischen 23:00 und 01:00 Uhr.
Ist aber niemand eingebrochen.
- Eigener User ohne Root-Rechte
- Server ist aktuell
- Server ist sauber (rkhunter hat nichts gefunden)
Ich weiß ja nicht was du für Dienste am Laufen hast, ich aber nur SSH und Gameserver. Da gibt es nicht viel an Logs.
Das ist ja das Problem: Ich weiß es nicht.
Ich kann ja schlecht überprüfen was da gestern nacht passiert ist, ich war nicht dabei. Ich weiß nicht ob es TCP oder UDP war, ich weiß nicht auf welchem Port es lief.
Ich möchte jetzt einfach für den Fall vorsorgen und verhindern das mein Server das nächste Mal auf so viele Pakete antwortet. Egal ob TCP oder UDP. Es wird ja ein vernünftiges Limit geben, das ein "normaler" Nutzer auf keinen Fall überschreitet, ab dem eine IP geblockt werden kann. Unabhängig davon ob TCP/UDP. Hetzner löst laut Mail ab 30.000 Paketen/Sekunde aus. Wenn ich für TCP und UDP ein Limit von 5000 setzen würde reicht das doch auch allemal oder nicht? Ein normaler Client macht doch nicht 5000 Pakete senden in der Sekunde? Oder ist 5000 hier zu hoch/niedrig?
Es ist ja super wenn ihr euch alle spitzenmäßig mit dem Thema auskennt und Begriffe wie SYN und OpenResolver in den Raum werft, aber noch besser wärs wenn ich nach 38 Posts ein Beispiel (Befehl) kriege, was zu tun ist, um z.B. ALLE ausgehenden Verbindungen zu limitieren, falls das Sinn macht.
Danke nochmal..
MfG
Obwohl ich mich raushalten wollte:
Zusätzliche Logs sind:
...und sonst noch ein paar Logs.
Kleiner Tipp noch zu iptables: Die Regeln bleiben nur bis zum nächsten Reboot aktiv. Also schön mit iptables-save speichern und in /etc/rc.local beim Systemstart laden...
ymmd. Kann man nicht mal bei einem normal laufenden Server zu 100% ausschliessen.
Willst du hier die fertige Lösung auf dem Silbertablett serviert kriegen? Noch bist du der Admin. Wir können zwar helfen, aber es ist nicht unsere Sache dein Problem zu lösen.
Am laufen hab ich auf diesem Server:
Code:
ejabberd (1239 Zeilen)
apache2 (der ist aber nicht mitgezählt worden)
MySQL (0 Zeilen)
unattended-upgrades (162 Zeilen)Zusätzliche Logs sind:
Code:
dmesg (947 Zeilen)
Syslog (269 Zeilen)
dpkg (744 Zeilen)
rkhunter (10632)
Messages (10 Zeilen)
auth.log (4963 Zeilen)Kleiner Tipp noch zu iptables: Die Regeln bleiben nur bis zum nächsten Reboot aktiv. Also schön mit iptables-save speichern und in /etc/rc.local beim Systemstart laden...
Last edited by a moderator: