Hilfe - Flooding Angriff!

[gruber99]

hallo leute!

bitte um hilfe - seit gestern läuft auf meinem vserver ein flooding angriff (server anfragen mit den unterschiedlichsten IPs aus aller Welt).

was kann man dagegen tun?

leider erfolgt der angriff mit unzähligen verschiedenen IPs - meist aus Russland oder Asien - gibt es auf einem linux vserver eine möglichkeite diese länder auszusperren - sprich IP-Sperre?

nach meinen recherchen sind die IPs ja in 5 Regionen eingeteilt (apnic, arin, lacnic, afrinic und ripe).

nur wie kann ich bestimmte regionen nun aussperren - damit die server-anfragen ins leere laufen oder ignoriert werden?

BITTE um HILFE!

Danke und lg,
hannes

[rico]

hast du google adsense drauf? sofort nachricht an google und die ads dann runternehmen falls sie durch den bot ausgelöst werden. sonst sperrt dich google adsense

[Pompom]

leider erfolgt der angriff mit unzähligen verschiedenen IPs - meist aus Russland oder Asien - gibt es auf einem linux vserver eine möglichkeite diese länder auszusperren - sprich IP-Sperre?

Sicher, entweder über die .htaccess, eine Firewall per Software oder, falls dein Provider hat, eine Hardware-Firewall die entspechenden IP Ranges sperren.

Falls Du die hauptsächlichen Bösewichte sperren möchtest, hier ein kleiner Auszug:


Order Allow,Deny
deny from anonym.to
deny from 58. #China
deny from 59. #China
deny from 60. #China
deny from 61. #China
deny from 110. #China
deny from 111. #China
deny from 112. #China
deny from 113. #China
deny from 114. #China
deny from 115. #China
deny from 116. #China
deny from 117. #China
deny from 118. #China
deny from 119. #China
deny from 120. #China
deny from 121. #China
deny from 122. #China
deny from 123. #China
deny from 124. #China
deny from 125. #China
deny from 126. #China
deny from 169.208. #China
deny from 175. #China
deny from 180. #China
deny from 182. #China
deny from 183. #China
deny from 202. #China
deny from 203. #China
deny from 210. #China
deny from 211. #China
deny from 218. #China
deny from 219. #China
deny from 220. #China
deny from 221. #China
deny from 222. #China
deny from 80.190.192.48
deny from 84.14.116.228
deny from 195.2.114.1
deny from 220.194.47.69
deny from 210.51.10.42
deny from 88.169.192.158
deny from 62.215.3.44
deny from 203.145.131.164
deny from 222.124.197.202
deny from 80.247.135.4
deny from 70.123.90.181
deny from 203.162.27.91
deny from 203.10.110.133
deny from 201.80.166.19
deny from 85.18.242.26
deny from 203.162.27.94
deny from 203.162.27.90
deny from 203.162.27.95
deny from 211.21.191.27
deny from 24.128.79.248
deny from 195.244. #Latvia-Riga-Tmcd-Server-Hosting
deny from 124.115. #CHINANET
deny from 209.163.240.200 #TimeWarnerTC
deny from 200.226.246.22 #Internet-Group-Brasil
deny from 87.106.41.209 #SCHLUND-CUSTOMERS
deny from 88.84.133.139 #1blu-webhosting
deny from 212.43.222.166 #Media-CD-Prod-FR
deny from 62.103.164.201 #OTEnet-GR
deny from 194.182.224.124 #HAMMERUM-FRISKOLE-DK
deny from 131.211.183.51 #Universitaet-Utrecht
deny from 213.161.195.213 #FRONTIER-1
deny from 24.214.228.204 #KNOLOGY-Holdings
deny from 89.207.191. #Ukraine
deny from 82.207.103. #Ukraine
deny from 201.46.252.117 #Brazi-Comite-Gestor
deny from 86.124.229.216 #FIBERLINK
deny from 193.138.206.207 #KDIS-Network-NL
deny from 212.227.96.133 #speak-friend.com
deny from 62.193.229.54 #wpc1507.host7x24.com
deny from 88.226.199.38 #TurkTelecom**
deny from 87.106.50.8 #s15219491.onlinehome-server.info
deny from 24.116.238. #United States Idaho Falls Cable One
deny from 205.243.124.100 #United States Winona Hiawatha Broadband Comm
deny from 87.242.116. #Russian Federation 2x4.ru Internet Services - Web Hosting Solutions Vps Dedicated Servers
deny from 87.242.117. #Russian Federation 2x4.ru Internet Services - Web Hosting Solutions Vps Dedicated Servers
deny from 81.177.26. #Russian Federation Moscow Erix Colocation And Dedicated Service
deny from 81.177.27. #Russian Federation Moscow Erix Colocation And Dedicated Service
deny from 125.30. #Japan Tokyo Iij Internet
deny from 87.239.57. #Poland Kolornet Marcin Bochenek
deny from 61.240. #China Beijing China United Telecommunications Corporation
deny from 61.241. #China Beijing China United Telecommunications Corporation
deny from 61.242. #China Beijing China United Telecommunications Corporation
deny from 61.243. #China Beijing China United Telecommunications Corporation
deny from 190.129. #Bolivia Cochabamba Entel S.a. - Entelnet
deny from 90.156.169. #Russian Federation Maxhosting Ltd
deny from 195.76.242.227 #Spain Barcelona Sati Grupo Textil S.a
deny from 41.206.160. #South Africa Neotel
deny from 212.72.30. #South Africa Neotel
deny from 83.222.22. #Russian Federation Moscow Masterhost-hst
deny from 83.222.23. #Russian Federation Moscow Masterhost-hst
deny from 85.115.112. #Latvia Riga Mits Lv Sia
deny from 85.115.113. #Latvia Riga Mits Lv Sia
deny from 85.115.114. #Latvia Riga Mits Lv Sia
deny from 85.115.115. #Latvia Riga Mits Lv Sia
deny from 85.115.116. #Latvia Riga Mits Lv Sia
deny from 85.115.117. #Latvia Riga Mits Lv Sia
deny from 85.115.118. #Latvia Riga Mits Lv Sia
deny from 85.115.119. #Latvia Riga Mits Lv Sia
deny from 59.88. #India Hyderabad Nib (national Internet Backbone)
deny from 59.99. #India Hyderabad Nib (national Internet Backbone)
deny from 82.207.1. #Ukraine Kiev Ukrtelnet
deny from 82.207.11. #Ukraine Kiev Ukrtelnet
deny from 67.183.126.224 #United States Auburn Comcast Cable Communications Inc
deny from 61.61. #Taiwan Taipei Kgex.com
deny from 75.125.86. #GaestebuchSpammer
deny from 92.227.41.32 #Scanner
deny from 91.121.106.178 # Gästebuchspammer Hoster OVH
deny from 60.28.30. #China Beijing Shunchi Co. Ltd GästebuchSpammer
deny from 83.14.7. #Poland Krakow Customer-idsl Gästebuchspammer
deny from 200.51.41. #Argentina Advance Telecomunicaciones S.a Gästebuchspammer
deny from 195.229.242 #United Arab Emirates Dubai Emirates Internet Gästebuchspammer
deny from 85.204.137. #Romania Bucharest Sc Real Trust Srl Gästebuchspammer
deny from 85.204.136. #Romania Bucharest Sc Real Trust Srl Gästebuchspammer
deny from 200.181. #Brazil Comite Gestor Da Internet No Brasil Gästebuchspammer
deny from 78.131.144.26 #Poland Rafaelfhu Gästebuchspammer aber eventuell dynamisch
deny from 218.67. #China Tianjin Cncgroup Tianjin Province Network Gästebuchspammer
deny from 218.68. #China Tianjin Cncgroup Tianjin Province Network Gästebuchspammer
deny from 218.69. #China Tianjin Cncgroup Tianjin Province Network Gästebuchspammer
deny from 59.108. #China Beijing Beijing Capital Telecom Technology Co. Ltd Gästebuchspammer
deny from 200.195. #Brazil Comite Gestor Da Internet No Brasil Gaestebuchspammer
deny from 83.35.91. #floooooooder
deny from 213.167.101. #pornolize.comAllow from all

[gruber99]

hallo nochmals,

aber wenn die htaccess aufgerufen wird ist die verbindung bereits erfolgt und ich sperr die ip nur von der seite aus nicht aber vom server - oder versteh ich da etwas falsch ...

lg, hannes
Mit Zitat antworten

[Pompom]

Richtig. Wenn Du die Schweinebacken vor dem Server blocken möchtest, geht der Weg über eine Hardware-Firewall.

Sollte deine HP aber z.B. mit Datenbanken usw. arbeiten, und nicht nur kleine statische HTML-Seiten ausliefern, ist es immer noch besser, per .htaccess zu sperren, als gar nicht.

[MeNoZony]

hallo leute!

bitte um hilfe - seit gestern läuft auf meinem vserver ein flooding angriff (server anfragen mit den unterschiedlichsten IPs aus aller Welt).

was kann man dagegen tun?

1. Last analysieren. Gute Server halten eine Menge aus, billige weniger. Bei guten Servern kann man demnach einiges einschlagen lassen, bevor es wirklich störend wird.
2. Ab einer bestimmten Last automatisch eingehenden Traffic analysieren, ergo: Logs auslesen (z.B. /var/log/messages bei den allseits beliebten sinnfreien DNS-Anfragen ua.)
3. Bei Überschreitung einer bestimmten Anzahl von Zugriffen pro festgelegtem Zeitraum von der gleichen IP ->diese IP scriptgesteuert via iptables blockieren (Voraussetzung: es ist Dein Server)
Beispiel:
iptables -A INPUT -s DIE-IP -j DROP
iptables -A OUTPUT -s DIE-IP -j DROP
service iptables save
Danach ist von dieser IP Ruhe. Ab einem bestimmten Nerv-Faktor von mehreren IPs aus dem gleichen Block-> gesamten Block händisch dichtmachen und den Provider informieren.
Ein entsprechendes Script erzeugt nahe null Last und kann über cron alle 5 oder 10 Minuten aufgerufen werden.
Klappt bei amateurhaften Angriffen zu 100%, bei professionellen (bezahlten) DDos-Attacken muß Dein Hosting Provider tätig werden. Das wird er meistens von selbst, weil in diesen Fällen seine eigene Infrastruktur mit in die Knie geht.
Woher man so etwas bekommt: schreiben lassen.
HTH

[gruber99]

hallo MeNoZony!

danke für deine antwort.

leider bin ich kein linux spezi und kenn mich mit shells oder awk wenig bis gar nicht aus.

hast du da eine vorlage wie so ein shell-script aussehen könnte dass die verdächtigen IPs ausliest und anhand iptables sperrt?

danke!!!!!

lg, hannes

[o2]

Je nachdem, welcher Art die Flooding-Anfragen sind, kann fail2ban hier gute Dienste leisten.

[MeNoZony]

hallo MeNoZony!

danke für deine antwort.

leider bin ich kein linux spezi und kenn mich mit shells oder awk wenig bis gar nicht aus.

hast du da eine vorlage wie so ein shell-script aussehen könnte dass die verdächtigen IPs ausliest und anhand iptables sperrt?

danke!!!!!

lg, hannes

Mit mal-eben-so dürfte Dir nicht geholfen sein, weil solche Clowns immer mal wieder vorbeischauen und das Problem auf Dauer gelöst sein sollte: was man hat, das hat man.
Du brauchst jemanden, der sich das Problem anschaut (wenn es wirklich für den Server ein Problem darstellt), ein Script verfasst, das dann auf Deine Maschine anpasst und durchtestet.
So was dürfte zwischen 300 und 500 Euronen kosten bei moderaten Mannstunden-Preisen. Von der Stange geht das kaum weil Linux-Maschinen unterschiedliche Strukturen haben.
Am besten mal in Freelancer-Börsen suchen- den Marktplatz hier kann man ja mittlerweile aus bekannten Gründen in die Tonne kloppen...

[seonewbie]

Da sollte sich eigentlich dein Provider oder der Betreiber des Rechenzentrum
drum kümmern und den Mist gleich im Router filtern!

Wenn nicht dann CSF und Synd installieren:

https://www.anti-hack.net/viewtopic.php?f=9&t=34

Gruß

Micha