IP-Adresse "verlassen"

  • Thread starter Thread starter Deleted member 11691
  • Start date Start date
D

Deleted member 11691

Guest
Hallo,

kleine Frage: Wenn ich bei meinem Hoster Hetzner.de eine IP-Adresse aus /etc/network/interfaces herausnehme, werden Pakete dann noch zum Server transferiert bzw. entsteht dann noch Traffic am Server oder werden die dann ab dem Router/Switch verworfen? Bräuchte nämlich für den Fall aller Fälle eine Lösung, einen DDoS so schnell als möglich zu stoppen. Dass ich dafür eine neue IP-Adresse brauche ist mir klar, wir haben 4 andere, welche ich dann noch in die NGINX-Config eintragen kann bis der DDoS wieder aufhört.
 
Code: 
ifconfig eth0 down
Danach kickst du dich aber selber vom Server, falls du keine serielle Konsole, eine KVM oder sonstige unabhängige Remote-Hardware hast.

Eleganter wäre es den Server einfach über das WI herunter zu fahren, falls es die Möglichkeit gibt.
 
Wenn du über eine andere ip noch zugreifen kannst ist das theoretisch möglich.
Frag am besten doch mal Support nach.
 
Um die eigentliche Frage mal zu beantworten:
PCFreund said:
Wenn ich [...] eine IP-Adresse aus /etc/network/interfaces herausnehme, werden Pakete dann noch zum Server transferiert [...] ?
Click to expand...
Das ist so, als würdest Du mit iptables einen DROP auf alle eingehenden und ausgehenden Pakete der IP setzten.
Sprich, der eingehende Traffic läuft weiter über alle Router - und damit über den Traffic-Counter.

huschi.
 
Huschi said:
Sprich, der eingehende Traffic läuft weiter über alle Router - und damit über den Traffic-Counter.
Click to expand...
Und auch bis zum Server (Kernel), da der Router/Switch nicht weiss, dass Du Dein Netzwerk unvollständig konfiguriert hast.
 
Bist du dir sicher das sich dein Problem nicht anderweitig lösen lässt?

Es gibt viele gute Möglichkeiten einen mittelschweren DDoS ohne den Server herunterzufahren zu bewältigen.

Mein Server bei OVH kämpft öfter mal mit DDoS Attacken die im Bereich von 10.000 Bots liegen und liefert den content trotzdem noch problemlos aus ;)
 
Mein Server bei OVH kämpft öfter mal mit DDoS Attacken die im Bereich von 10.000 Bots liegen und liefert den content trotzdem noch problemlos aus
Click to expand...
Das haengt alles von der eingesetzten DDoS-Variante ab, der Ersteller hatdesbezueglich keine Informationen gegeben.
Mit 1000 Bots kann man sich aber ueber 100Mbit incoming Traffic "bandwith eating" erwarten und das beschaeftigt nicht nur den Server stark sondern bringt die Netzwerkkarte ans Limit wodurch legitimer Traffic nicht mehr garantiert durchkommt. Am Server selbst kann man nur kleine DDoS (Slowloris, Synflood, ...) erfolgreich abwehren.

entsteht dann noch Traffic am Server oder werden die dann ab dem Router/Switch verworfen?
Click to expand...
Falls Kosten deine Sorge sind; incoming Traffic wird von Hetzner afaik nicht (mehr) verrechnet.

einen DDoS so schnell als möglich zu stoppen.
Click to expand...
Ein IP-Wechsel wird dir da nicht viel helfen, Bots koennen auf neue Ziele ausgerichtet werden...
 
Die Büchse bei OVH, die sich unter meiner Fuchtel befindet, hat eine 1Gbit Anbindung und volle 16GB Ram und eine Hardware Firewall ;)
 
B2T:

Die Idee einen DDoS mit dem IP-Wechsel abzuwürgen scheitert IMHO am praktischen Szenario. Nehmen wir an die Webseite xyz.xxx steht unter Beschuss. DDoS können auch durchaus namensbasiert erfolgen also nicht nur direkt auf die IP.

Wird die IP gewechselt, ist die Webseite für alle erstmal nicht mehr erreichbar, weil der DNS-Eintrag erstmal angepasst werden muss. Ist die Äbnderung entsprechend durch, wissen das aber implizit auch die Bots, wenn sie auf die Domain und nicht auf die IP ausgerichtet sind.

Wir hätten also letztlich nur eine Ausfallzeit produziert.
 
Nein, um das, dass das Botnetz neu ausgerichtet werden kann, geht es mir erst 'mal garnicht.
Folgendes steht zurzeit:

Firewall-Server (insg. 13 Stück mit jeweils 1 IP-Adresse per A-Record an eine Domain)
`-> Weiterleitung per NGINX von/an Port 80 an:
Webserver (insg. 4 IP-Adressen)

Nun läuft der Haupt-Traffic über IP #1. Keiner bekommt IP #1 mit, da Apache die IP-Adresse mit "0.0.0.0" ersetzt und auch IPTables den HTTP-Traffic so eingrenzt, dass der Traffic nur von den Firewall-Servern erlaubt wird.
Wird aber nun doch irgendwie die IP #1 herausgefunden und wird diese dazu noch mit einem Botnetz, etc. geddost, brauche ich eine effiziente Lösung, diesem DDoS standzuhalten.
Nun habe ich mir gedacht, nehme ich doch IP #2 als Haupt-IP (eth0 anstatt eth0:0) und entferne IP #1 aus jeglicher Konfiguration. Auch die Firewall-Server werden auf die neue IP-Adresse IP #2 angepasst und die Sache hat sich dann auch schon, oder?
 
In dem Fall würde ich den Hauptserver/Webserver erst gar nicht mit einer externen IP ausstatten sondern nur über ein internes Netzwerk erreichbar machen (DMZ-Prinzip).

huschi.
 
Ah, ok. Erst 'mal schauen ob ich das auch mache.
Das Problem ist dann jedoch aber, dass auf dem Webserver auch noch ein FTP-Server (proFTPd) läuft und ich bis jetzt noch keinen FTP Proxy so beeindrucken konnte dass es aktiv und passiv funktioniert, muss ich aber wahrscheinlich hier auch noch fragen, warum dat nich geht :D
 
You must log in or register to reply here.
Back
Top