floods auf port80

[michi123]

hey leute,

seid heute nacht haben wir ziemlich probleme mit irgendso nem honk!
das syslog hat bereits schon 800mb lol (habs jetzt ma umbenannt und rsyslog neu gestartet).
ich habe auch schon gegooglt und bin dabei auf die iptables funktion iplimit gestossen, die leider unser kernel nicht (oder noch nicht?) unterstützt. kernel neu kompilieren trau ich mir ehrlich gesagt nicht zu (habs noch nie gemacht).
kann mir bitte jemand infos geben, wie ich diese floods abstellen kann?
die ip adresse hab ich bereits über die blacklist der firewall geblockt, aber das hat leider nicht lange geholfen, was mir eigentlich klar war.

Code: Select all

Sep  3 07:13:00 Server kernel: [26441.319058] FW-ACCEPT: IN=eth1 OUT= MAC=xx:xx:xx:xx SRC=xx.xx.xx.xx DST=server_ip LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=30061 DF PROTO=TCP SPT=56982 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 

vielen dank schonmal für eure hilfe!

[daemotron]

Limitierung funktioniert auch mit älteren Kerneln, wenn man es so macht:

http://www.cyberciti.biz/tips/howto-lim ... tacks.html

[michi123]

vielen dank! werds gleich ma ausprobieren...

hab vorhin net.ipv4.tcp_syncookies aktiviert. scheint erstma abhilfe zu schaffen. aber ich schätze sowas kann auch umgangen werden, deshalb werd ichs auf alle fälle per firewall blocken.

kennt jemand DoS-Deflate? ( http://deflate.medialayer.com/ )

[michi123]

hab mir seid gestern die finger wund gegoogelt lol!
bin auf apf (advance policy firewall) gestossen, das benötigt ddos-deflate um ip´s zu bannen.
imo funzt das ganze auch sehr gut, aber die von mir erstellten firewall regeln greifen nun nicht mehr (zb. die w00tw00t.at chain die ja eigentlich auch wichtig ist).
könnte mir bitte jemand sagen wie ich beide simultan zum laufen bekomme? also apf+mein firewall script.

[Joe User]

die w00tw00t.at chain die ja eigentlich auch wichtig ist

Warum sollte die wichtig sein?

[michi123]

weil wenn schon, wir unseren server gerne selber auf sicherheit überprüfen! andauerende anfragen auf phpmyadmin, dem forum acp usw. usw... also alles in allem ziemlich suspekte anfragen, auf files die´s entweder garnet gibt, oder der link nicht existiert. ausserdem hab ich schon ziemlich viel negatives über w00tw00t.at bzw. dessen security scanner gelesen!
also lieber wegsperren das ding :P

kannste mir nun bitte sagen wie ich meine rules dazu bewege, neben/mit apf zu arbeiten?

[Joe User]

Nochmal zum Mitmeisseln: Die Domain w00tw00t.at hat nix mit dem Scanner DFind zu tun!
Desweiteren ist es völlig Wurscht, ob die Anfragen der dummen Scriptkiddies bis zum HTTPd durchkommen oder nicht, da Dein System auch durch das Blocken per IPTables nahezu gleich oder gar stärker belastet wird. Zudem verrät das Blocken dem Scriptkiddie beziehungsweise dessen Tools mehr über Dein System, als das Ergebnis vom DFind-Scan. Aber das wirst Du bei Deiner Recherche ja bereits mehrfach gelesen haben...

Da Du die SYN-Cookies bereits aktiviert hast, bringt Dir APF/IPTables/etc. keinen nennenswerten weiteren Sicherheitsgewinn, im Gegenteil.

Bei echtem DDoS kann Dir nur Dein Anbieter helfen und keine Tools auf Deinem Host.