DDoS-Deflate v0.6

[globestern]

hi..

ich habe folgendes script gefunden: DDoS-Deflate version 0.6

von: http://deflate.medialayer.com/

das script macht eigentlich nichts anderes, als die ips zu blocken, welche mehr als die angegebene anzahl verbindung haben... nach der angegeben zeit löscht es diese ip wieder von den iptables...

nun habe ich das problem, dass ich die anzahl verbindungen irgendwie nicht festlegen kann:

"Usage: ddos.sh [OPTIONS] [N]
N : number of tcp/udp connections (default 150)
OPTIONS:
-h | --help: Show this help screen
-c | --cron: Create cron job to run this script regularly (default 1 mins)
-k | --kill: Block the offending ip making more than N connections"

ich verwende das script dann so:

./ddos.sh -k 1000
oder
ddos.sh -k 1000

beides bringt mir folgenden output:

2 84.57.156.74
2 84.185.30.147
2 84.163.235.128
2 83.181.114.141
2 83.129.20.195
2 80.139.71.143
2 66.249.66.180
2 201.32.158.32
1 servers)
1 Address
1 91.127.118.142

(ich habe die liste etwas gekürzt...)

das kann ja nicht sein, dass ca. 100 hosts über 1000 verbindungen haben... das ist nämlich die anzahl users die gerade on sind ;-)

hat jemand eine idee was falsch laufen könnte?

mfg

[danu]

Der Output scheint mir logisch, solange dabei nicht geblockt wird. Simuliere doch mal eine Dos Attacke.

Seit einem Jahr habe ich mod_evasive drauf. Erfüllt den gleichen Zweck.

[globestern]

die ips die da aber ausgegeben werden, werden in die iptables geschrieben und werden gedropt ;-)

edit: hehe da lag ich wohl falsch *g* sind tatsächlich nur die verbindungen...

wie könnt ich denn eine ddos attacke simulieren? stacheldraht? hab ja kein botnet 8O :P

[Joe User]

ddos.sh-Config anpassen und beispielsweise ab (ApacheBenchmark) von einem zweiten Server drauf loslassen, sollte reichen...

[danu]

Ist zwar nur ein Testscript welches bei mod_evasive dabei war und eine dosierbare Flood vom Stapel lässt. for(0..10000) legt die Anzahl der Requests fest, bei PeerAdde=> die IP eigeben, die attakiert werden soll. mod_evasive ist ein Apachemodul und greift nicht auf die Iptable.

Code: Select all

#!/usr/bin/perl

# test.pl: small script to test mod_dosevasive's effectiveness

use IO::Socket;
use strict;

for(0..10000) {
  my($response);
  my($SOCKET) = new IO::Socket::INET( Proto   => "tcp",
                                      PeerAddr=> "xxx.xxx.xxx.xxx:80");
  if (! defined $SOCKET) { die $!; }
  print $SOCKET "GET /?$_ HTTP/1.0nn";
  $response = <$SOCKET>;
  print $response;
  close($SOCKET);
}

[daemotron]

Aus leidvoller Erfahrung würde ich Dir aber dringend anraten, Deine "Tests" vorher mit Deinem Provider abzustimmen... Der könnte sowas sonst in den falschen Hals kriegen und denken, Du willst seine Router plätten oder einen seiner Kunden belästigen :roll: (schließlich weiß er ja nicht, wer der "Angreifer" tatsächlich ist...)

[globestern]

ok gleich mal testen.. danke

[danu]

Aus leidvoller Erfahrung würde ich Dir aber dringend anraten, Deine "Tests" vorher mit Deinem Provider abzustimmen

Ooops ... habe nicht daran gedacht. Hatte ja auch nicht excessiv getestet.

[EdRoxter]

mod_evasive will aber gefühlvoll konfiguriert werden.

Tut er nicht außerdem nur was gegen HTTP-Request-Floods?

[globestern]

ich denke, dass alle 3 möglichkeiten relativ gut sind...

(also mod_security, apf mit antidos etc, mod_evasive)

... gegen kleinere dos attacken... bei grossen attacken (also ddos - mit botnetzen, root-servern etc.) hilft auch ein super konfigurierter server ncihts - da wird der komplette switch zugeflooded und dann kann nur noch der provider helfen.

[woopser]

Hi,

ist das Tool zu empfehlen oder eher nicht ?

Danke für Eure Antworten.