DDOS erkennen / verhindern

[djrick]

Hallo,

Gibt es eine Möglichkeit auf dem Server den eingehenden Traffic irgendwie zu überwachen um DDOS Atakken zu erkennen bzw. die QuellURL zu sperren?

 

[mr_brain]

Wo willst denn genau überwachen? Auf dem Server direkt ist in den meisten fällen schon zu spät ;-)

 

[IP-Projects.de]

Stichwort Hardware Firewall oder Router.

 

[djrick]

Das Problem ist, es läßt sich nur auf dem Server direkt überwachen.

Ich bin mir nicht ganz sicher ob wir mit pings aussergefächt gesetzt werden oder ein Angriff auf irgendeinem anderen Port.

Man müsste irgendwie messen können, ob der Traffic ansteigt.

 

[mr_brain]

Schau mal (D)DoS-Deflate an, vielleicht hilft es ja.

 

[djrick]

Ah na bitte, genau sowas such ich doch

 

[d4f]

Evtl hilft bei groesseren Angriffen mit vielen Bots auch das hier ohne das Risiko von false-positives ein zu gehen:

Synflood?

Hallo, Seid ein paar Wochen bekomme ich sporadisch Angriffe(?) ab. Nachdem ich tcp_syncookie auf 1 geflaggt hatte, und shellbasierende Syn-BLocker in die Iptables gebastelt hatte (nicht sauber - aber funktionierend *g*), hatte ich tatsaechlich ein paar Tage Ruhe. Seit gestern jedoch: Apr 22...

serversupportforum.de

 

[djrick]

Das Problem bei deiner Lösung ist, dass das nur für einen Port gilt, bzw. man müsste für jeden Port eine solche Regel aufstellen. Da auf dem Server aber viele Ports offen sind, die auch dynamisch wechseln wäre das zuviel Aufwand.

 

[CentY]

Wieso wechseln bei dir die offenen Ports dynamisch

 

[Ben.]

@CentY: Damit sich Portscanner schwerer tun: "Ich bin offen, huch, jetzt wieder nicht, aber dafür der da. Nein, jetzt auch wieder nicht..."

Nennt sich "Port-Gambling" und ist eine verbreitete Taktik zur Abwehr von Angriffen: http://de.wikipedia.org/wiki/Port-Gambling

 

[CentY]

Den Artikel gibts net bei Wiki

Dann braucht er doch auch nicht dringend einen DDOS Schutz wenn die sowieso wechseln Vielleicht sollte er abwechselnd den Server aus und einschalten und die IPs rotieren lassen :x

 

[Ben.]

Den Artikel gibts net bei Wiki

Aber anscheinend war ich so überzeugend, dass du dir tatsächlich die Mühe gemacht hast nachzusehen

 

[d4f]

Wenn du Ports verstecken willst dann solltest du auf Port-Knocking setzen,
quasi nicht detektierbar und die Wahrscheinlichkeit die korrekte KOmbination zu finden ist verschwindend gering (da man weder Sequenz noch Anzahl kennt)

Apache-Ports dagegen zu verstecken waere gelinde gesagt Schwachsinn *grins*
(Und gleichzeitig einer der wenigen Ports den man schuetzen sollte)

 

[CentY]

@Ben du weisst doch ich drück auf alles was net bei drei vom Mauszeiger wegspringt

 

[djrick]

Nein nein mit dynamisch wecheln meinte ich:
Das sind Kundenserver mit Software die pro Kunde einen Port belegen. Sprich: Kommt ein neuer Kunde hinzu, ist ein neuer Port offen, kündigt ein Kunde fällt der Port weg etc.

 

[CentY]

Dann musste halt im Zuge des Kunden anlegen auch die Firewall anpassen ist doch kein Ding. Sollte man immer so machen.

 

[d4f]

Reden wir hier von Streaming-Software (aka Gameserver, Voiceserver, ...) oder von Webservern?
Erstere benutzen das UDP-Protokoll (zumindest fuer den Gros der Uebertragung), welches stateless ist und sich somit nicht so einfach limitieren laesst