[vServer] DDoS Allgemein und Sicherheit S4Y

[DeKon]

Hallo Leute,

ich habe mir hier sehr viele Beiträge von vielen Leute durchgelesen die mit DDoS zutun haben. Finde das Forum hier sehr interessant und gut.

Dennoch bleiben mir Fragen offen.

Undzwar hab ich mir ein vServer bei S4Y bestellt. Dennoch hab ich zu spät gesehen das es garkeine möglichkeit gibt den Traffic einzugrenzen :-/ oder es die vielleicht doch gibt und ihr mehr drüber wisst ?

Vielleicht können ein paar andere Leute aus Erfahrungen berichten wie das bei S4Y so alles abläuft.

Wie ist das falls mein Server betroffen ist ?

Bekomm ich irgendwie eine nachricht drüber ?

Fallen kosten auf mich ?

Gibt es vielleicht vorsorg maßnahmen den vServer so gut es geht zu Schützen gegen DDoS ?

Würde mich sehr freuen, wenn Leute mit der leider gemachten Erfahrung vielleicht etwas berichten könnten.

MfG

DeKoN

 

[Huschi]

Wie ist das falls mein Server betroffen ist ?

Er wird gesperrt/vom Netz genommen, sobald der DDos von Deinem Server ausgeht.

Bekomm ich irgendwie eine nachricht drüber ?

Ja. Wenn Deine Kontakt-Email nicht auf dem Server selbst, sogar sofort.
Hier wäre es also angebracht beim Provider eine gmx- oder web.de-Adresse anzugeben.

Fallen kosten auf mich ?

Ja, sobald Du über den monatlichen Frei-Traffic kommst.

Gibt es vielleicht vorsorg maßnahmen den vServer so gut es geht zu Schützen gegen DDoS ?

Ja. Snort in Kombination in Auswertungstools kann auf DDoS fast in Echtzeit reagieren und die Angreifer IP per IPtables sperren.

Um zu verhindern, daß ein DDos von Deinem Server ausgeht, solltest Du vorallem PHP absichern. Sprich: safe_mode, globals, basedir, temp, etc.

huschi.

 

[Tobster]

Welches Auswertungstool empfiehlst du da??? Logsurfer?

 

[DeKon]

Hallo,

@ huschi danke für deine Tipps, denke die können sehr Hilfreich sein um DDoS so gut wie es geht abzusichern.

Zu den Kosten, sollte z.B. eine beschwerde bei S4Y vorliegen, sperrt der Support selbständig den Server komplett. Da fallen dann 40 Euro auf einen.. was schon nette kosten sind^^

Aber wie ist es, wenn DDoS auf mich z.B. laufen sollten, aber die Pakete nur den Router erreichen und garnicht meine kiste?
denke mal der Traffic wird wohl direkt am Router gemessen oder ?

Wie ist es dann, wenn der Freitraffic überschritten wird, zumindest nach Router berechnung, aber in den logs oder ifconf dieser Traffic garnicht vorhanden ist oder gar Produziert worden ist ?

Könnte S4Y mir da immer noch den Traffic berechnen ? oder wäre das dann ein Problem für S4Y die dann für den Traffic "aufkommen" ?

Gibts eigendlich eine möglichkeit, gewisse Logs per Email zu versenden lassen ? Weil ich hier auch mal gelesen hatte, das ein Kunde ein Problem mit dem Traffic im zusammenhang von DDoS hatte und S4Y den server komplett vom Netz genommen hatte und er somit garnicht mehr an die Logs kam. Die einzigste möglichkeit die er hatte, wäre einen Techniker dran lassen der dann 40 Euro gekostet hätte.

Denke so könnte man viel Geld im gewissen sinne Sparen und viel Arbeit.
Da schon wer Erfahrungen drin gemacht ?

Danke


Cu DeKoN

 

[Tobster]

Logrotate kann dir die Logs zu schicken bevor oder nachdem sie rotiert wurden.

 

[Huschi]

Welches Auswertungstool empfiehlst du da??? Logsurfer?

LogSurfer ist eigendlich ein gutes Teil. Kann viel, ist bereits gut auf Snort abgestimmt und ist stabil.
Nachteile: Es wird nicht mehr gepflegt (auch der Basis-Regelsatz nicht mehr), es fehlen meist für die einzelnen Distributionen die passenden Start-Scripte.

fwlogwatch oder psad lassen sich ebenfalls dazu mißbrauchen, aber erfordern mehr Einarbeitung in die Materie und speziell in die Konfiguration.

Ansonsten bleibt noch Acid, welches aber für spontane, automatisierte, einfache iptables-Regeln einfach zu überladen ist.

huschi.

 

[Huschi]

Aber wie ist es, wenn DDoS auf mich z.B. laufen sollten, aber die Pakete nur den Router erreichen und garnicht meine kiste?

Selbst mit einem iptables -DROP erreichen die Pakete noch Deinen Server und gehen damit in Deine Traffic-Messung mit ein. Ein Router bzw. ein Provider kann hier gar nicht entscheiden ob es ein ddos ist, oder gewünschte Daten-Pakete.

Wie ist es dann, wenn der Freitraffic überschritten wird, zumindest nach Router berechnung

Einfache Aussage von allen Providern: Der Router hat immer recht.

Gibts eigendlich eine möglichkeit, gewisse Logs per Email zu versenden lassen?

Natürlich Logrotate, aber der schickt nur einmal die Woche.
Du brauchst mind. ein tägliches Auswertungsscript (logwatch) um Tendenzen zu erkennen. Im ernstfall ist auch dies nicht ausreichend.

huschi.

 

[Elegantly]

LogSurfer ist eigendlich ein gutes Teil. Kann viel, ist bereits gut auf Snort abgestimmt und ist stabil.
Nachteile: Es wird nicht mehr gepflegt (auch der Basis-Regelsatz nicht mehr), es fehlen meist für die einzelnen Distributionen die passenden Start-Scripte.

Was Huschi sagte. Leider wird logsurfer nicht mehr gepflegt, allerdings kann man mit etwas Einarbeitungszeit (und dem Vergleichen mit Beispiel-Regeln) sehr einfach eigene Regeln erstellen - auch für eigenentwickelte Anwendungen, die ins syslog schreiben.

 

[Tobster]

Natürlich Logrotate, aber der schickt nur einmal die Woche.
Du brauchst mind. ein tägliches Auswertungsscript (logwatch) um Tendenzen zu erkennen. Im ernstfall ist auch dies nicht ausreichend.

Logrotate kann auch täglich rotieren sprich auch täglich senden.

 

[Tobster]

Was Huschi sagte. Leider wird logsurfer nicht mehr gepflegt, allerdings kann man mit etwas Einarbeitungszeit (und dem Vergleichen mit Beispiel-Regeln) sehr einfach eigene Regeln erstellen - auch für eigenentwickelte Anwendungen, die ins syslog schreiben.

Werden nur die Regeln nicht gepflegt oder das ganze Programm nicht, sprich keine Update etc.?
Ich habe kein Problem meine eigenen Regeln zu erstellen. Ist es zu empfehlen oder nicht?

 

[DeKon]

Einfache Aussage von allen Providern: Der Router hat immer recht.

Also würde das dann wohl eher im Rechtsstreit enden :-/

Natürlich Logrotate, aber der schickt nur einmal die Woche.
Du brauchst mind. ein tägliches Auswertungsscript (logwatch) um Tendenzen zu erkennen. Im ernstfall ist auch dies nicht ausreichend.

huschi.

Hmm Täglich bringt ja im eigendlichem Sinne nicht viel, da ja DDoS nicht Tage laufen... zumindest je nach Kontrolle und aufmerksamkeit. Da wäre es doch viel angebrachter Logs Stündlich oder alle 30 Mins verschicken zu lassen oder ?


Cu DeKon

 

[Elegantly]

Werden nur die Regeln nicht gepflegt oder das ganze Programm nicht, sprich keine Update etc.?
Ich habe kein Problem meine eigenen Regeln zu erstellen. Ist es zu empfehlen oder nicht?

Sowohl die Regeln als auch das Programm werden nicht mehr gepflegt. Ob du dich also für oder gegen den Einsatz entscheidest, liegt ganz bei dir. Ich verwende logsurfer auf meinem VSERVER. Ich sehe keine großen Sicherheitsprobleme beim Einsatz des schon etwas älteren logsurfer (es ist ein Daemon, aber kein Server), von daher habe ich auch keine Angst hinsichtlich Exploits. Solange es funktioniert, werde ich es einsetzen.

 

[Huschi]

Da wäre es doch viel angebrachter Logs Stündlich oder alle 30 Mins verschicken zu lassen oder ?

Alternativ kann man einen weiteren Server als zentralen Syslog-Server einrichten. Alle Syslog-Einträge werden per UPD-Packete an den zentralen Syslog geschickt und dort zusätzlich gespeichert. Erzeugt aber einiges an Traffic.

Die Kombination Snort + Logsurfer verschickt z.B. Mails (inkl. Log-Einträgen) genau dann, wenn ein Angriff (oder ähnlich schlimmes) stattfindet. Spart also Traffic. Frist dafür aber Performance + Speicher.

huschi.

 

[DeKon]

hmm also möglichkeiten gibts da anscheind genügend was mich sehr erfreut

werd ich direkt mal ausprobierren sofern ich meine Daten langsam mal bekomme ^^

Aber wie ist es den mit gewissen Dienste die man installiert ? Hab hier schon öfters gelesen das man am besten von phpBB die finger lassen soll... da von dort aus die meisten DDoS Attacken überhaupt möglich waren ?

Wovon sollte man z.B. noch die Finger lassen ?


Cu DeKon

 

[fmschrader]

Wenn Du die Sicherheitshinweise bei der Konfiguration beachtest und
immer alle Updates sofort einspielst, solltest Du mit PHPBB2 keine Probleme
haben.

Ciao

Martin