IP Bannen über Firewall?

roman237

New Member
Guten Abend,

Seit heute vormittag wird von iergent einem Vogel meine Homepage Attackt... Aufjedenfall lädt die Homepage und es passiert nichts.

Ich habe meinen vSERVER von S4Y und habe mich da auch im Support schon gemeldet. Die haben mir jetzt eine IP Adresse gegeben und meinen ich kann die jetzt über die Firewall bannen.

Jetzt mein Problem, wie mach ich das? mit ner Firewall auf nem vSERVER kenn ich mich garnicht aus und weiss auch garnicht ob mein vSERVER sowas hat...


Danke schonmal für eure Hilfe.
 
Code:
iptables -A INPUT -s <IP-Adresse> -j DROP

Und anschließend die Doku zu iptables lesen um zu verstehen.
 
Vielen Dank!

Jetzt noch ne kleine frage... mir hat ja S4Y die ip gegeben, von wo der flood kam, wie finde ich selber die IP raus? iergentwo in den Logs? wenn ja, wo genau?

Und wie ist das so mit dem Traffic? wenn so eine Attacke läuft, wie viel Traffic kommt da so an einem Tag zustande?
 
Du kannst es in den Logdateien vom Apache sehen. Oder Du begibst dich von der Anwendungsschicht auf die Transportschicht und schaust dir mit "netstat -atnpl" die Verbindungen an.
Auch hier solltest Du dir dann zu "netstat" mal die Doku anschauen, da das Werkzeug noch einiges mehr an Optionen bietet :)

Was so eine Attacke an Traffic verbraucht kommt drauf an, was dein Webserver zurückliefert und wie lange die Attacke läuft. Das lässt sich pauschal nicht wirklich sagen.
 
Die heißt:

/var/log/apache2/access.log

oder

/var/log/apache2/other_vhosts_access.log

öffnen tust du du sie so:

cat /var/log/apache2/other_vhosts_access.log

oder

cat /var/log/apache2/access.log

Kommt hald drauf an, wie du deinen Apache konfiguriert hast.

Achja, das Sperren von IpTables macht nicht viel Sinn, wenn der Angreifer eine dynamische IP Adresse hat, da müsstest du dann mit dem Apache Mod_Security2 arbeiten.

LG Joseph
 
Achja, das Sperren von IpTables macht nicht viel Sinn, wenn der Angreifer eine dynamische IP Adresse hat, da müsstest du dann mit dem Apache Mod_Security2 arbeiten.

Du willst den Traffic wirklich erst auf Layer 5/6 filtern, wenn Du die Zugriffe bereits im Layer 3 bzw. 4 abfangen kannst?
 
Du willst den Traffic wirklich erst auf Layer 5/6 filtern, wenn Du die Zugriffe bereits im Layer 3 bzw. 4 abfangen kannst?
Wie willst Du bei einer dynamische IP bitte dauerhaft einen Schutz auf Layer 3/4 garantieren?
Nicht umsonst gibt es Mod_Security usw..
Wenn das direkt auf Layer3/4 gehen würde, dann würde es wohl Mod_Security nicht geben?
 
@txc: stimme dir zu. Hatte das "dynamisch" im Beispiel von Joseph überlesen.
Hat aber mit dem ursprünglichen Problem nicht wirklich was zu tun, da es sich ja scheinbar nur um eine IP handelte :)
 
hi,

um nochmal auf das thema zurück zu kommen... würde mal gerne wissen wie ich denn eine IP wieder entbannen kann?
 
und wo finde ich die Doku???
Benutzte doch einfach eine Suchmaschine deiner Wahl. Dann findest du sofort englische oder deutsche Websites mit dem gewünschten Material. Oder du findest den sinnvollen Hinweis, dass man in die Manpage schauen sollte ;)


MfG Christian
 
Also mal so ein paar Anmerkungen:
- Daß Traffic anfällt, kann man nur VOR dem Vserver bzw. eigentlich sogar nur vor dem Rootserver auf dem dieser läuft verhindern. D.h. der Switch o.ä. müßte den zu blockenden Traffic schon ausfiltern. Kaum ein Provider kann das bieten. S4Y hat sogar bei den Vservern genug Traffic dabei, so dass eigentlich nur DDoS Attacken wirklich weh tun könnten. Allerdings sollte man sich sicher sein können, dass bei einer solchen S4Y sowieso von sich aus eingreift.

- Eine dynamische IP hinter einem DSL o.ä. Provider kann wohl kaum genug Last erzeugen, um einen Vserver in die Knie zu zwingen. Insofern könnte die IP zu einem (gehackten) Rootserver gehören. Gegebenenfalls sollte man den Provider dieser IP (evtl Rootserverprovider) über den Mißbrauch verständigen.

- http://root-und-kein-plan.ath.cx/
 
Back
Top