ddos attacke auf geschlossene ports

[comby]

hallo,

wir haben seit einigen tagen ein problem mit unseren rootserver.

Wir haben per iptables alle ports blockiert (incoming), bis auf einige wie z.B. 80, 25 oder 110.

Seit einigen tagen wird unser server angegriffen, allerdings auf einen port der nichtmal offen ist, und zudem auch per iptables per DROP gefiltert wird..

Die angriffe haben wir durch iptraf zugeordnet, es werden auf ports wie 1024 oder 53 (nameserver laeuft definitiv NICHT) angegriffen, obwohl die ports geschlossen sind. Es werden einfach sehr viele datenpakete geschickt, und die bytes auch angenommen..

Es sieht so aus als wenn der server die pakete trotzdem annimmt, und sich somit überlädt.. wie kann das sein? Gibt es eine möglichkeit dies zu unterbinden oder anti ddos scripte dafür? Ich weiss nicht ob es ein syn flood oder ähnliches ist, da die ports ja geschlossen sind..

vielen dank für jeden tip

[comby]

iptables abschalten? Was soll das bringen? dann lässt er doch noch mehr durch? Ich kann mit iptables zumindest die pakete auf port 53 "aufhalten", aber TCP/1024 und TCP/3072 kommen durch, obwohl die nicht offen sind, selbst netstat -nt zeigt keine verbindungen an

hier, es gibt keine massive anzahl an verbindungen, trotzdem empfängt er die ganze zeit daten

Code: Select all

R145183:~/fwall# netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
      1 Address
      1 servers)
      2 83.101.11.57
      5 192.168.1.133

[comby]

ich habe jetzt sogar alles auf DROP gesetzt ( -> internet )

Code: Select all

iptables -A INPUT -p tcp -j DROP -i eth0
iptables -A FORWARD -p tcp -j DROP -i eth0

trotzdem kommen noch mehr daten

[comby]

Hier ein screen von iptraf, NACHDEM ich alles auf drop gesetzt habe, die bytes steigen und steigen

http://pics.foruni.de/save/p_1184505018.JPG

[Roger Wilco]

Läuft irgendein Dienst auf deinem Server, der an Port 53/tcp (also Nameserver), 1024 oder 3072 gebunden ist? Nein? Also, was bringt dir dann ein Paketfilter?
Solange die Pakete deine Kiste erreichen bringt dir das alles gar nichts. Einzig sinnvoll wäre, die Pakete vor dem Server abzuweisen. Das kann ggf. dein Provider machen.

[comby]

iptables abschalten? Was soll das bringen? dann lässt er doch noch mehr durch?

Nein. Nicht ganz.
IPTables schaltet sich in die Kommunikation zwischen.
Wenn auf den anderen, gelockten Ports keine Dienste laufen, passiert nicht viel mehr als es mit IPTables ohnehin tut.
Also der Traffik kommt so oder so auf Deinem host an.
In einem solchen Fall kannst Du Dich nun an den Provider wenden, dass er z.B. dir eine neue IP gibt und / oder Deinen host vom Netzt nimmt. selbst wenn er ausgeschaltet wäre, der Traffik kommt bei Dir "an". Zumindest wird er abgerechnet.

Der Tip mit dem abschalten des IPConfig bezog sich nur auf eine perfromance steigernde massnahme, wenn Dein Server derart unter last steht.

Prüf doch mal mit lsof, welche Verbindungen derzeit bestehen.
Dann lässt sich eher heraus finden, ob wirklich eine Verbidnung Zustande kommt.
Oder die Pakete nur auf Deiner firewall aufschlagen.

Gruss Matthias

Der server hat nichtmal einen load von 1.x.. das ist ein dual xeon mit 4 gig ram, der hat damit keine probleme..

ich habe jetzt wirklich alles abgschalten, bis auf den ssh daemonen.. lsof zeigt mir nur einen listener (den ssh).. der server selbst lagt überhaupt nicht (ich bin über das lokale rz netz auf dem rechner), aber die verbindung vom eth controler zum internet ist voll..

was gibt es da noch für möglichkeiten, dass ich die pakete direkt abweise oder wissen kann woher der angriff eigentlich kommt? die pakete einfach mal durchlassen und dann filtern?

[Roger Wilco]

was gibt es da noch für möglichkeiten, dass ich die pakete direkt abweise oder wissen kann woher der angriff eigentlich kommt?

Frag deinen Provider.

die pakete einfach mal durchlassen und dann filtern?

Das nun gerade nicht.

[Joe User]

Etwas Spät, aber egal:
http://www.rootforum.org/forum/viewtopic.php?t=31352 insbesondere die Antworten von CC und rootmaster sollten alles Relevante abdecken.

EDIT: Und das Standardwerk darf natürlich nicht vergessen werden: http://www.iks-jena.de/mitarb/lutz/usen ... .html#Deny

[comby]

wohin verschwinden die pakete dann? ich bekomm nichtmal IP's von den absendern, oder taucht was unter netstat auf..

[comby]

bei der 100mbit leitung müssten dann ja ziemlich viele daten geschickt werden um die leitung voll zu bekommen.. und wenn die pakete dann auch direkt verworfen werden?

Wieso kommen über port 53 dann keine daten an? siehe iptraf..

http://pics.foruni.de/save/p_1184506356.JPG

bytesFrom sehr viel weniger als die pakete..

[comby]

bei der 100mbit leitung müssten dann ja ziemlich viele daten geschickt werden um die leitung voll zu bekommen.. und wenn die pakete dann auch direkt verworfen werden?

Wieso kommen über port 53 dann keine daten an? siehe iptraf..

http://pics.foruni.de/save/p_1184506356.JPG

bytesFrom sehr viel weniger als die pakete..

Ja, ist nicht das Problem. 100m Bit lassen sich mit ein paar Tricks und ein - zwei Maschinen gut ausfüllen. Sind Pakete und meistens gefakte Pakete.

Das kann nun viele Gründe haben. Entweder es wird auf den Port defintiv nichts geschickt. Oder Dein System ist schon geknackt und daher ist die analyse nicht mehr aussagekräftig.

Gruss Matthias

Kann ich mir kaum vorstellen. Dann würde ja jeder Server ohne aufwendige Hardware Firewall spielend leicht in die Knie gezwungen sein..

Gibt es da keine andere möglichkeit als eine hardware firewall? IP wechseln würde ja nichts bewirken, der angreifer verfolgt das mit sicherheit

[dtdesign]

Investiere ein paar Euro in eine Hardwarefirewall oder wechsel zu einem Provider, der diese anbietet. Unser Rootserver ist von =2 und wird durch eine Hardware-Firewall dahin gehend entlastet, dass alle Anfragen bis auf bestimmte Ports einfach von dieser Firewall geblockt werden. Was dann auf die erlaubten Ports kommt wird auf den Server weitergereicht, von dem Rest bekommt der nichts mit und deine Anbindung wird dadurch nicht vollgemüllt.

PS: Wenn es keinen wirklich guten Grund für iptables gibt, deaktivier es (und nach dem was du geschrieben hast, gibt es keinen Grund!).

Gruß
dtdesign

[rootsvr]

Es sind hoffentlich nicht die antworten auf eigene abgeschickte DNS Abfragen (die imho auch auf UDP 53 eintreffen?)

Das wäre natürlich extrem peinlich, sollten aber ja mit einer permit established abgefangen werden, oder?

[sledge0303]

Es sind hoffentlich nicht die antworten auf eigene abgeschickte DNS Abfragen (die imho auch auf UDP 53 eintreffen?)

Das wäre natürlich extrem peinlich, sollten aber ja mit einer permit established abgefangen werden, oder?

Kann ich mir nicht vorstellen wenn man sich die Trafficauswertung ansieht, wäre aber eine Möglichkeit.

[dtdesign]

Es sind hoffentlich nicht die antworten auf eigene abgeschickte DNS Abfragen (die imho auch auf UDP 53 eintreffen?)

Das wäre natürlich extrem peinlich, sollten aber ja mit einer permit established abgefangen werden, oder?

Hier greift das Prinzip des Löcher-in-Firewall-bohren. Unser Rootserver bei =2 hat als Default-Policy "deny" und erlaubt Port 53 (TCP und UDP) nicht, aber wenn eine Anfrage von drinnen kommt, erlaubt jede gängige Firewall eine Antwort vor dem zuvor angesprochenen Server. Insofern sind deine Bedenken imho unbegründet.

Gruß
dtdesign

[blattlaus]

iptables abschalten? Was soll das bringen? dann lässt er doch noch mehr durch?

Nein. Nicht ganz.
IPTables schaltet sich in die Kommunikation zwischen.
Wenn auf den anderen, gelockten Ports keine Dienste laufen, passiert nicht viel mehr als es mit IPTables ohnehin tut.

Da ist schon ein Unterschied. Wenn er iptables abschalten würde, würden die Pakete nicht mehr gedroppt, sondern der Netzwerkstack würde bei anfragen auf diesem Port mit einem TCP-Reset antworten, man würde also nochmal zusätzlichen, ausgehenden Traffic generieren.
Wobei man natürlich eigentlich die zusätzliche Last gegen den zusätzlichen Traffic abwägen muss. In der Realität ist der Unterschied vermutlich völlig egal...