dDos abwehren

C

Crystal26

New Member
Bestimmt ein oft erwähntes Thema hier. Ein Bekannter von mir überlebt gerade einen dDos. Leider greift hier kein Fail2Ban, aber okay ist ja auch kein wirklicher Schutz. Ich würde gerne die Angriffsmethode verstehen im access.log steht folgendes:


Code: 
75.210.40.98 - - [09/Jan/2012:14:56:24 +0100] "POST / HTTP/1.1" 200 15777 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)"
188.195.49.154 - - [09/Jan/2012:14:56:24 +0100] "POST / HTTP/1.0" 200 15728 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)"
188.195.49.154 - - [09/Jan/2012:14:56:24 +0100] "POST / HTTP/1.0" 200 0 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)"
72.215.1.196 - - [09/Jan/2012:14:56:24 +0100] "POST / HTTP/1.0" 200 15728 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)"

in hundertfacher Ausführung. Habe schon angefangen einzelne IPs in eine htacess zu zu sperren. Hat jemand vll. noch Tipps?
 
Sieht spontan nach Slowloris (oder Abwandlung) im POST-Modus aus.
Das gleiche was ich gestern schon vorgeschlagen habe sollte auch hier helfen:

ip_conntrack läuft alle drei, vier Tage voll

Hi, ich habe seit ungefähr ein, zwei Monaten das Problem, dass mein Server alle drei, vier Tage Anfragen nur noch langsam beantwortet (CPU last nicht besonders hoch..), die Apache Prozesse immer weiter sinken, bis er dann gar keine Anfragen mehr beantwortet. Nur ein Neustart hilft mir dann...
serversupportforum.de

Ausserdem solltest du mod_reqtimeout oder einen Reverse-Proxy wie Nginx verwenden, Slowloris und Co laufen mit ersterem bedeutend schwaecher und mit letzterem komplett ins Leere.
 
Ich dachte eigtl. iptables gehen nicht auf einem VPS, naja dazugelernt. Bin da aber recht unerfahren (muss ich zugeben)

Output siehe Bild:

Output deines Vorschlags aus dem anderen thread:
Code: 
iptables: No chain/target/match by that name
 

Attachments

  • root.PNG
    root.PNG
    9.6 KB · Views: 127
Last edited by a moderator:
Da wirst du mit dem händischen Sperren nicht hinterher kommen, wenn es sich um einen DDoS handelt, zumal ein Request dann bereits vom System behandelt und bis zum Webserver durchgereicht wurde. Ein Schutz per .htaccess ist daher m.E. ohnehin Quatsch.

Die Logfiles sagen so gar nichts. Hast du google.com eingetragen oder steht das so im Log?

Eine Firewall mit entsprechendem Verbindungshandling könnte da helfen, aber das kommt natürlich auf die Bandbreite und das Betriebssystem an, sofern du keine dedizierte Firewall davor schalten kannst.

EDIT: Da war jemand schneller, ich lass es aber mal so stehen.
 
Ich dachte eigtl. iptables gehen nicht auf einem VPS, naja dazugelernt.
Click to expand...
Das haengt von der Virtualisierungstechnik ab. Unter einer (linux-vserver) von zirka einem Dutzend geht es nicht, unter einer zweiten (openvz/virtuozzo) nur wenn der Anbieter die Module freigibt.
So bleibt dir leider nicht viel uebrig als Nginx, wobei er aber bedeutend weniger effektiv und leistungsfaehiger darin ist als reine iptables.

Nein, das ist der Original-Auszug, deswegen wundere ich mich selbst.
Click to expand...
Das kann ein Versuch sein dich zu verwirren oder nicht in den ueblichen Logfiles zu landen. Angeben kann der Client was er will, fuer diesen Zweck ist es irrelevant.
 
Konnte es erstmal stoppen, indem ich alle einzelnen IPs mit iptables gesperrt habe... Werde nun versuchen die Anfragen zu limitieren über den Hoster.
 
Wenn wirklich jemand dich angreift dann verschaffst du dir 1-2 Tage Ruhe bis er ein anderes Botnetz hat oder dessen Rechner (meist DSL-Anschluesse mit dynamischer IP) neue Adressen bezogen haben...

So oder so musst du dich um das Problem kuemmern, nicht die Auswirkung!
 
You must log in or register to reply here.
Back
Top