Was tun gegen DDOS?

[Tojama]

Hallo,
meine Seite unterliegt seit mehr als 24 Stunden einem DDOS Angriff.

Meine Frage:
Gibt es IRGENDEINE möglichkeit dies zu Verhindern z.B.: durch eine Speziele Firewall o.ä.?
Hab bereits 2 kleine apckete für Apache2 Installiert und zwar wäre das einmal "apache2 mod-evasive" und das andere "mod-security".

Hat leider beides nichts gebracht.

Würde mich auf ein wenig Hilfe sehr Freuen.

Mit freundlichen Grüßen.

Edit: Ich benutze Linux/Debian.

 

[fragger1991]

Hallo,

wenn es eine Syn Flood Attacke ist, dann nutz das Script hier: http://www.anti-hack.net/viewtopic.php?f=9&t=69&drgn=1

Hat mir auch super geholfen!

 

[Tojama]

Hallo,
ja es Handelt sich um eine Syn-Flood.
Vielen Dank für den Link, werde es mir genauer ansehn.

Edit: Leider weiss ich nicht genau wie ich damit genau IPs Sperren kann...

 

[fragger1991]

Die synblock.conf Editieren und Anpassen, vorallem aber dann MAX_REQ=30, BAN=1, BAN_TIME=900 setzen, somit wird eine IP-Adresse, welche 30 Verbindungen hat für 900 Sekunden gebannt.

Pfade müssten in den .conf Dateien vielleicht noch angepasst werden.

Danach einfach als Screen starten:

screen -AmdS synblock /pfad/zu/synblock/synblock.sh -m

Danach einfach in der Console via screen -r synblock aufrufen und zu schauen

 

[Tojama]

Es klappt einfach nicht...
Ich kriege 2 Besch... IPs nicht Gesperrt/Geblockt.

 

[fragger1991]

iptables hast du drauf?

Mit "iptables -nvL" siehst du die Gesperrten Adressen, schau doch mal ob die nicht vielleicht schon drin stehen

Ansonsten mal mit "netstat | grep 80" prüfen ob das wirklich Syn Floods sind. Ich schätze mal es ist ein Angriff auf Port 80 oder?

 

[Ben.]

Bevor Du versuchst mit irgendwelchen Skripten gegen eine DDoS-Attacke anzugehen solltest Du feststellen in welcher Grössenordnung sich diese bewegt.

Wenn sie zu gross ist, hilft Dir auch kein Skript, das IPs sperrt. Dann kannst Du Dir die Mühe sparen. Blinder Aktionismus führt nicht immer zum Ziel.

 

[Tojama]

Also...
Ich denke es sind Syn-Floods bzw. ein Freund sagt dazu "Zombies".
Habe jetzt SEHR VIELE IPs geblockt, scheint jedoch so als kommen sie von irgendwelchen PCs.. bin mir nicht 100% sicher.
Jede 24 Std wechselt Automatisch die IP, es genügt also nicht die feste IPs zu Sperren...

46 IPs wurden jetzt Gesperrt und das ganze beginnt nun von Neuem.

Beispiel der IPs:
94.20.76.16
94.20.92.129
usw...

Hab jetzt eine Liste mit den IPs gemacht die ich bissher gefunden habe, es sind einige und die selben...

Ein Freund bestätigte mir das der Port 80 Angegriffen wird.
Die DDOS Attacke dauert nun schon über 24 Stunden und der Provider sagt das Sie nichts tun können, auch keine IP wechseln können bis die Angriffe aufhören.

Was kann ich jetzt machen? Das kann TAGELANG so weiter gehn.

 

[Ben.]

Das Problem hatte ich vor ein paar Wochen bei OVH auch.

Bist du auch bei OVH?

 

[fragger1991]

Gegen die Attacke hat mir Synblock geholfen. Hat sämtliche IP-Adressen via iptables geblockt für 900 Sekunden und das Problem war gegessen.

Ich habe dir oben mal 2 Befehle geschickt mit welche du einfach Prüfen kannst ob es wirklich Syn Flood ist und Port 80 Angegriffen wird. Ansonsten hilft vlt. noch den gesamten Netzverkehr via netstat zu prüfen.

Bzgl. Synblock, musst halt das Monitoring starten, bestenfalls halt als Screen damit es dauerhaft läuft.

 

[virtual2]

Nunja, nutze einfach je nach Bedarf keinen Apache, dann hat sich das Problem (bei einem kleinem DDoS Angriff).

Ich persönlich setze für eine große Community den Hiawatha Webserver ein, welcher die Verbindung nach einer zu großen Anfrage in einer bestimmten Zeit nicht mehr annimmt.

Bei einem großem empfiehlt sich IPTables in Verbindung mit mod_evasive zu benutzen.

Bei Syn Flood Attacken sind Syn Cookies sehr hilfreich

Grüße,

Joseph

Btw: Bei dynamischen IPs ist es am leichtesten gleich ganze Blöcke zu sperren, je nach Art des Angriffes.

 

[b_A3341]

Btw: Bei dynamischen IPs ist es am leichtesten gleich ganze Blöcke zu sperren, je nach Art des Angriffes.

Genau dabei handelt es sich ja bei einem DDoS - "distributed denial of service"

Also für DDoS gibt es verschiedene Lösungen.

Eine Lösung wäre zum Beispiel RioRey Firewalls, die speziallisiert sind auf sowas,
allerdings kostet da die kleine Firewall schon 13k.

Eine andere Möglichkeit wäre die Länder der IPs zu sperren, denn meistens
kommen die Angriffe aus einem Land, wie zum Beispiel China, Russland oder
so. Hierfür habe ich mir selbst mal ein Skript geschrieben, welches sich von
Ripe die aktuelle Verteilung von Adressbereichen zieht und iptables mit den
IPs füllt. Bei Interesse an dem Skript (OpenSource) kannst du dich gerne
an mich wenden. Also lieber ein paar Länder ganz sperren als überhaupt
nicht mehr erreichbar zu sein.

Die letzte mir bekannte Alternative ist -> den Angriff absitzen und hoffen,
dass er bald aufhört.

Viele Grüße
Jonny

 

[Ben.]

Genau dabei handelt es sich ja bei einem DDoS - "distributed denial of service"

Viele Grüße
Jonny

"Distributed" heisst nicht, dass dynamische IPs verwendet werden.

 

[The Busfreak]

Eine andere Möglichkeit wäre die Länder der IPs zu sperren, denn meistens
kommen die Angriffe aus einem Land, wie zum Beispiel China, Russland oder
so. Hierfür habe ich mir selbst mal ein Skript geschrieben, welches sich von
Ripe die aktuelle Verteilung von Adressbereichen zieht und iptables mit den
IPs füllt.

Produziert es nicht auch ziemlichen Overhead wenn man hunderte/tausende IPs mit Iptables aussperrt?

 

[Terrorkarotte]

Afaik muss jedes Paket alle Regeln durchlaufen. Bei vielen Ländern sind es sehr viele Regeln.
Als Folge dessen steigt die Zeit, mit der geantwortet wird natürlich an.

Ich habe das mal testweise bei einem Server mit Gameservern gemacht und Länder, die weiter weg sind geblacklisted.

Das Ergebnis war, dass der Ping im Spiel fast aufs Doppelte angestiegen ist.

 

[b_A3341]

Produziert es nicht auch ziemlichen Overhead wenn man hunderte/tausende IPs mit Iptables aussperrt?

Wenn man einem DDoS unterliegt, dann ist der Server oder sogar die
Serverfarm in den meisten Fällen nicht mehr erreichbar. Also wäre es doch
besser, zumindest wieder erreichbar zu sein, auch wenn die CPU dann
mehr beansprucht wird.

Je nach Webauftritt werden dann sogar einige Kunden ausgesperrt, aber
das ist dann auch noch besser als ein Totalausfall.

Edit:

Ich hatte sogar mal den Fall, dass ich bei einem Kunden die INPUT Policy
auf DROP gesetzt hatte und nur IPs aus Deutschland, Schweiz und Österreich
erlaubt hatte -> der Kunde hatte seinen Kundenkreis nur in den drei Ländern.

Die Liste hatte damals ca. 3000 Einträge, aber der Server war wieder erreichbar,
was dem Kunden lieber war als der Totalausfall.

 

[Ben.]

Und inwiefern hat das jetzt mit meiner Aussage zu tun oder warum zitierst du mich jetzt zusammenhanglos?

 

[b_A3341]

"Distributed" heisst nicht, dass dynamische IPs verwendet werden.

Was virtual2 wohl mit "dynamischen IPs" meinte ist, das sich
die IP des Angreifers ändert. Genau das steckt hinter einer DDoS. Der Angreifer
greift von verschiedenen Systemen an, die können gewungenermaßen nicht alle
die gleiche IP haben.

 

[Ben.]

Nein, heisst es nicht.

"Distributed" heisst nicht, dass sich die IP-Adresse des Angreifers ändert. "Distributed" heisst, dass es nicht eine IP-Adresse ist die angreift, sondern eine Vielzahl. Die IP-Adresse eine Angreifers muss sich dabei aber nicht ändern.

 

[b_A3341]

Ich schrieb doch "Der Angreifer greift von verschiedenen Systemen an, die können gezwungenermaßen nicht alle die gleiche IP haben."

Warum deckt sich das deiner Meinung nach nicht mit "distributed"?