Du befindest Dich im Archiv vom ABAKUS Online Marketing Forum. Hier kannst Du Dich für das Forum mit den aktuellen Beiträgen registrieren.

Schutz gegen (D)DOS Attacken?

Ajax, Hijax, Microformats, RDF, Markup, HTML, PHP, CSS, MySQL, htaccess, robots.txt, CGI, Java, Javascript usw.
Neues Thema Antworten

 Bildschutz durch .htaccess

SYN FLOOD DDOS aus Tuerkei - wie Tuerkei komplett sperren?

 
SISTRIX
PostRank 9
PostRank 9
Beiträge: 1255
Registriert: 01.09.2003, 20:57
Wohnort: Bonn

Beitrag von SISTRIX » 08.04.2007, 08:49

Bei DDOS kannst du selber nicht viel machen. Der Traffic kommt ja und ob du den annimmst oder nicht, ist erstmal ziemlich egal - wenn genug Traffic kommt, ist die Leitung erstmal dicht. Da müsste jetzt der Provider reagieren und möglichst früh, als in Richtung der Trafficquelle eingreifen. Schwierig wird es dann, wenn der Traffic über ein Zombienetzwerk von vielen verschiedenen IPs kommt. Kurzum: Pech gehabt :-)

Gruß Johannes
SISTRIX Suchmaschinen Blog
SEO- und SEM-Tools: [url=httpss://tools.sistrix.de/toolbox/?tid=lnk_foren_abk]SISTRIX Toolbox[/url]
Linktausch für PR9 und 10 gesucht!
Nach oben
Anzeige von ABAKUS

von Anzeige von ABAKUS »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Nach oben
Airport1
PostRank 10
PostRank 10
Beiträge: 4489
Registriert: 16.08.2004, 18:50
Wohnort: Backnang / bei Stuttgart

Beitrag von Airport1 » 08.04.2007, 10:15

Der Traffic kommt hauptsaechlich ueber viele IPs aus dem 88.*.*.* und 85.*.*.* Bereich, hauptsaechlich *.ttnet.tr . Spitzenreiter war bislang 1 IP die knapp 1750 Connections aufbaute, die meisten schaffen "nur" bis zu 300 Connections.

Da nicht auszuschliessen ist dass das Schwein hier mitliest, sollte ich aber dann doch nicht zuviel verraten..

Ob Abuse Mails an ttnet.tr ueberhaupt was bringen oder ignoriert werden, frage ich mich gerade..
Linktauschanfragen zwecklos
https://www.bot-trap.de/ Spamschutz fuer Webmaster - zentrale Meldestelle fuer Web Spam
https://www.airport1.de/blog/ Lombagruschd Blog mid Gardadierle
https://www.ranking-hits.de/ Counter & PR Service
Nach oben
SISTRIX
PostRank 9
PostRank 9
Beiträge: 1255
Registriert: 01.09.2003, 20:57
Wohnort: Bonn

Beitrag von SISTRIX » 08.04.2007, 10:21

Was ist denn das Problem? Die Anzahl der aufgebauten Connections oder der Traffic?
SISTRIX Suchmaschinen Blog
SEO- und SEM-Tools: [url=httpss://tools.sistrix.de/toolbox/?tid=lnk_foren_abk]SISTRIX Toolbox[/url]
Linktausch für PR9 und 10 gesucht!
Nach oben
Micha88
PostRank 2
PostRank 2
Beiträge: 35
Registriert: 18.06.2004, 13:25

Beitrag von Micha88 » 08.04.2007, 10:27

Ist es denn überhaupt ein "richtiger" SYN-Flood wo der Stack überquillt weil nicht mehr geantwortet wird oder einfach nur mit genügend Power drauf?
Nach oben
Airport1
PostRank 10
PostRank 10
Beiträge: 4489
Registriert: 16.08.2004, 18:50
Wohnort: Backnang / bei Stuttgart

Beitrag von Airport1 » 08.04.2007, 10:52

Es sind tausende IPs aus der Tuerkei, und jede einzelne (!) versucht im Schnitt bis 300, manche bis zu 1750 Connections mit SYN aufzubauen. Sieht man auch wunderschoen ueber netstat.. immer die gleichen IPs auf deren verschiedenen Ports.. und immer nur SYN, SYN, SYN, ..., SYN
Linktauschanfragen zwecklos
https://www.bot-trap.de/ Spamschutz fuer Webmaster - zentrale Meldestelle fuer Web Spam
https://www.airport1.de/blog/ Lombagruschd Blog mid Gardadierle
https://www.ranking-hits.de/ Counter & PR Service
Nach oben
Boa
PostRank 9
PostRank 9
Beiträge: 1170
Registriert: 11.11.2003, 00:19
Wohnort: Bremen

Beitrag von Boa » 08.04.2007, 10:57

und der Server ist bei Strato?
Hast du eine 2 te IP zur Verfügung?
Nach oben
Micha88
PostRank 2
PostRank 2
Beiträge: 35
Registriert: 18.06.2004, 13:25

Beitrag von Micha88 » 08.04.2007, 11:02

Ich würde iptables mal ausprobieren. IMHO könnte es sein, dass das noch rechtzeitig ansetzt. Denn das Problem ist ja eigentlich nur so viele SYN-Pakete zu verwalten. Wenn du jedoch rechtzeitig türkische SYN-Pakete wegwirfst sollte das klappen.
Nach oben
Airport1
PostRank 10
PostRank 10
Beiträge: 4489
Registriert: 16.08.2004, 18:50
Wohnort: Backnang / bei Stuttgart

Beitrag von Airport1 » 08.04.2007, 11:14

iptables benutz ich seit gestern (tolle syntax, bis man da mal einen schnelleinstieg findet ;)) und "syn cookies". scheint die situation schon enorm entschaerft zu haben. syn backlog wurde auf 1/4 reduziert.

Allerdings frage ich mich ob nicht auch Strato besser bedient waere solche Floods zu erkennen und selber zu verwerfen.. ist ja immerhin ihr Netzwerk, das damit zugemuellt wird..
Linktauschanfragen zwecklos
https://www.bot-trap.de/ Spamschutz fuer Webmaster - zentrale Meldestelle fuer Web Spam
https://www.airport1.de/blog/ Lombagruschd Blog mid Gardadierle
https://www.ranking-hits.de/ Counter & PR Service
Nach oben
Micha88
PostRank 2
PostRank 2
Beiträge: 35
Registriert: 18.06.2004, 13:25

Beitrag von Micha88 » 08.04.2007, 11:21

Genau, wenns nicht nur pure Gewalt ist bringen SYN-Cookies auch was. Verwirfst du jetzt im iptables alle SYN-Pakete aus dem IP-Range? (*g* einmalige Syntax)
Nach oben
Airport1
PostRank 10
PostRank 10
Beiträge: 4489
Registriert: 16.08.2004, 18:50
Wohnort: Backnang / bei Stuttgart

Beitrag von Airport1 » 08.04.2007, 11:27

Genau! DROP DROP DROP DROP DROP...
Unbeteiligte aus der Tuerkei haben dadurch leider das Nachsehen.
Aber derzeit kann man es nicht anders loesen.
Linktauschanfragen zwecklos
https://www.bot-trap.de/ Spamschutz fuer Webmaster - zentrale Meldestelle fuer Web Spam
https://www.airport1.de/blog/ Lombagruschd Blog mid Gardadierle
https://www.ranking-hits.de/ Counter & PR Service
Nach oben
Antworten

Zurück zu „Webprogrammierung, Templatedesign & Microformats“

  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag