Hilfe - Flooding Angriff!

G

gruber99

New Member
hallo leute!

bitte um hilfe - seit gestern läuft auf meinem vserver ein flooding angriff (server anfragen mit den unterschiedlichsten IPs aus aller Welt).

was kann man dagegen tun?

leider erfolgt der angriff mit unzähligen verschiedenen IPs - meist aus Russland oder Asien - gibt es auf einem linux vserver eine möglichkeite diese länder auszusperren - sprich IP-Sperre?

nach meinen recherchen sind die IPs ja in 5 Regionen eingeteilt (apnic, arin, lacnic, afrinic und ripe).

nur wie kann ich bestimmte regionen nun aussperren - damit die server-anfragen ins leere laufen oder ignoriert werden?

oder gibt es andere möglichkeiten wie man sowas unterbinden/verhindern kann - der angriff dauert nun schon seit über 24 stunden!

BITTE um HILFE!

Danke und LG,
hannes
 
Hm, Fürs erste würde ich fail2ban und mod_evasive nutzen.
Dies ist zwar keine permanete Lösung, schafft dir aber bei flooding noch ein bischen Zeit.

Benutzt mal hier die Suche, da wollte jemand alle IP's aus DE speeren, evtl kannst du dies auch für dich nutzen.
 
Benutzt mal hier die Suche, da wollte jemand alle IP's aus DE speeren, evtl kannst du dies auch für dich nutzen.
Click to expand...

mod_geoip und dann die vorhandene Datenbank nutzen.

Alternativ den Provider fragen ob er nicht direkt etwas am Router machen kann.
 
danke mal für die antworten ...

also ich glaube nicht dass mod_geoip bei mir installiert ist oder läuft.

und der provider hat mir gesagt die können nix machen - ich soll das ganze mal absitzen .....

kann ich da nicht dieses iptable verwenden?
aber wie kann ich da ganze IP Bereich aussperren?

lg, hannes
 
also ich glaube nicht dass mod_geoip bei mir installiert ist oder läuft.
Click to expand...

Schon traurig das du als Admin nicht weisst, was auf deiner Büchse so läuft.

Du sollst dir die Datenbank von mod_geoip runterladen und dann mit .htaccess sperren.

auf http://www.maxmind.com/app/geoip_country findet sich dann der Downloadlink zu GeoIPCountryCSV.zip, aus welchem du dann wunderbar die deutschen Hosts rausfindest:
Click to expand...

Nur sollst du nicht die deutschen nehmen sondern die, die dich angreifen.

So schwer kann das nicht sein. ;)

Alternativ: iptables -I INPUT -s ipadresse/netz -j DROP
 
hallo nochmals,

aber wenn die htaccess aufgerufen wird ist die verbindung bereits erfolgt und ich sperr die ip nur von der seite aus nicht aber vom server - oder versteh ich da etwas falsch ...

lg, hannes
 
Die Verbindung ist doch so oder so an deinem Server angekommen.
Es wäre übrigens toll, wenn du dir die gelesenen und akzeptierten Nutzungsbedingungen nochmal zu Gemüte führen würdest.
 
Bitte fuehr dir mein Blog hier auf SSF mal zu Gemuet, einige DDoS-Methoden und entsprechende Schutzmechanismen werden darin beschrieben.
Des weiteren hilft ein nginx als Reverse Buffering Proxy mit IP-basierter Anfragenbegrenzung auch viel.
 
You must log in or register to reply here.
Back
Top