Schutz gegen (D)DOS Attacken?

Beitrag von **Airport1** » 07.04.2007, 10:24

Ein Server wurde wegen DDOS Attacken mit einer Halbsperre belegt. Das erfaehrt man aber erst nach ca. 2 Tagen vom Support - naja, tolle Informationspolitik

Hat jemand eine Idee was man generell zukuenftig dagegen tun koennte?

Eingesetzt wird ein Debian.

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **LinkPop** » 07.04.2007, 11:57

Was meinst Du mit Halbsperre?

https://www.computerwelt.at/detailArtic ... =4&a=84752
https://www.greengatelabs.at/

Beitrag von **Airport1** » 07.04.2007, 13:04

Halbsperre bedeutet Zugriff auf den Server NUR noch ueber serielle Konsole. Netzwerkkarte wird komplett abgeschaltet/deaktiviert.

Beitrag von **LinkPop** » 07.04.2007, 13:13

Also wenn der Hoster von sich aus sperrt, hast Du eigentlich keine Chance. Da nützt Dir auch kein DDOS-Schutz ... es sei denn, Du sprichst das mit denen ab. Bleibt die Frage, ob der Hoster Lust hat die ganzen Anfragen über seine Leitungen an Deinen Server weiterzureichen. Das werden die nicht mitmachen, denke ich.

Beitrag von **oldInternetUser** » 07.04.2007, 13:14

Ich würde zu einem anderen Provider gehen.

Ein Provider hat zwar das Recht, einen Server zu sperren (klar - zum Selbstschutz) - aber ein unverzügliches Informieren betrachte ich da als Pflicht.

Kamen die DDOS auf deinen Server oder von deinem Server?

Beitrag von **Airport1** » 07.04.2007, 13:27

Die kamen auf den Server, evtl. wieder so ne Neid-Attacke..
Man kann halt nicht in Frieden leben, wenn es dem Nachbarn nicht gefaellt..
Wuehle mich grad durch das immens riesige access.log - dann gibts auf den Latz!

Beitrag von **oldInternetUser** » 07.04.2007, 13:32

Ich hab mal bei Hosteurope eine DDOS-Attacke überlebt. Die ging zwar nicht gegen mich, sondern gegen das gesamte HE-Netzwerk, aber das wurde von HE auf den Switches dazwischen schließlich geblockt.

Für mich gab es da Geld zurück, da ich ein entsprechendes SLA habe.

PS: Ohne daß ich das angefordert hätte - das kam einfach einige Tage später per Mail bzw. per Post.

Sprich: Bei DDOS hängt alles vom Hoster ab - das ist für mich einer der Gründe, lieber mehr zu zahlen.

Das Wort zum Sonntag: Wenn allerdings die Wirkung der Halbsperre die ist, daß dein Avatar nicht funktioniert, dann bete ich, daß die Halbsperre bestehen bleibt.

Beitrag von **Airport1** » 07.04.2007, 14:02

Zumindest fiel er wohl auf. Auch wenn er auf Dauer nervt.
Gib zu Du hast diesen Avatar schmerzlichst vermisst

Schon mal versucht ein paar GB grosses access.log zu durchwuehlen, in das zudem gerade noch geschrieben wird? Ist ziemlich uebel handlebar..

Jetzt mach ich schon mit "tail" und "grep" rum.. "joe" will nicht..

Wer "vi" ruft, wird erschossen

Beitrag von **Hasenhuf** » 07.04.2007, 14:28

Wo ist der dreiköpfige user der vi sagt?

Beitrag von **Airport1** » 07.04.2007, 17:26

Server wird leider schon wieder geDDOSed, mit lauter SYN Packets, aus der Tuerkei. NervKiddies!

Beitrag von **Airport1** » 07.04.2007, 17:30

Weiss jemand wie ich die TUERKEI radikal und komplett aussperren kann, so dass der Webserver am besten erst gar nicht auch nur den Versuch annimmt eine Verbindung aufzubauen? Habe Schnauze voll von dieser Scheisse!

Beitrag von **Hasenhuf** » 07.04.2007, 17:36

Das Anliegen habe ich schon mal gelesen. Weiß nicht ob's hilft: https://www.abakus-internet-marketing.d ... aussperren

Beitrag von **oldInternetUser** » 07.04.2007, 18:13

Sowas ist entweder Aufgabe des Hosters oder Aufgabe einer eigenständigen Hardware-Firewall vor dem Server.

Dieser Link von @Woopser im anderen Thread scheint auf der Softwareebene anzusetzen - da ist der Server ja schon damit beschäftigt, das ist zu spät.

Ein DDOS ist die Nagelprobe für jeden Hoster bzw. Diensteanbieter im Web. Die einen zahlen Geld für eine ordentlich abgesicherte Architektur - die anderen zahlen Lehrgeld.

Wenn die das auch an einem normalen Werktag ohne große Mühen hinkriegen und es drauf anlegen, dann ist dein Projekt tot - falsche Grundarchitektur in Relation zu den Gefahren von Angriffen.

Beitrag von **Airport1** » 07.04.2007, 18:20

Dachte ich mir schon dass das mit "deny from" zu spaet ansetzt.
Ist der Einsatz von iptables auch "zu spaet"?

Beitrag von **oldInternetUser** » 07.04.2007, 18:36

Airport1 hat geschrieben:Dachte ich mir schon dass das mit "deny from" zu spaet ansetzt.
Ist der Einsatz von iptables auch "zu spaet"?

Hab mich nie mit den Details beschäftigt. Aber die iptables sind m.W. nach auch auf dem Server - also auch zu spät.

Theoretisch denkbare Alternative: Einen Server als Firewall direkt davor hängen, so daß alle Anfragen von diesem gefiltert werden. Eine brauchbare Hardware-Firewall wirst Du bei Strato wohl nicht kriegen.

Es gibt ja Firmen, die verwenden bsp. alte Rechner in dieser Form (mit entsprechendem Linux) als Firewall.