Guten Abend!
Ich besitze einen Root-Server der mit FreeBSD läuft. (Intel celeron 1,7 Ghz, 1024Mb Ram)
Auf diesem Server betreibe ich ein Forum mit ~ 10.000 Usern, seit kurzem rauben mir jedoch massive DDos Angriffe den Schlaf, der Server besitzt eine Firewall (APF und noch ein paar andere Scripte die schon dabei waren). Aber diese helfen sogut wie garnichts. Jede IP die floodet baut etwa 100 ~ 1500 Verbindungen gleichzeitig auf, und bis die IPTables die IP´s gebannt haben dauert dies eine ewigkeit und es sind schon wieder dutzende neue IP`s vorhanden. Ich weiß echt nicht mehr weiter...
Wenn jemand ein Tipp hat oder weiß wie ich mit den DDOS Attacken umgehen muss so bitte ich doch mir dies Mitzuteilen, ich bin mit den Nerven am Ende...
P.S. Der Server steht in den USA.
Das Forum ist entweder nicht erreichbar oder komplett down. Putty stockt auch. Der Apache stürzt dadurch auch ab.
Mit freundlichen Grüßen.
Massive DDoS Attacken, ich weiß echt nicht mehr weiter.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Massive DDoS Attacken, ich weiß echt nicht mehr weiter.
Wenn wirklich alle Stricke reissen und Dir finanzieller Schaden entsteht: FBI informieren, insbesondere wenn Du angreifende US-IPs nachweisen kannst.madman101 wrote:P.S. Der Server steht in den USA.
-
Anonymous
Re: Massive DDoS Attacken, ich weiß echt nicht mehr weiter.
IP´s kommen von Überall, die Attacken sind durch ein Botnet koordiniert, ich konnte schon einen dieser Server ausfindig machen und habe den auch "entschärft".
Bei den jetzigen kann ich nix tun... Deshalb poste ich hier :(
Bei den jetzigen kann ich nix tun... Deshalb poste ich hier :(
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: Massive DDoS Attacken, ich weiß echt nicht mehr weiter.
Bleibt nicht viel zu tun ausser anzurufen und dich mit dem Provider auseinanderzusetzen bzw. dem Hoster. Einige Hoster würden dann den Verkehr am Router direkt zu Blocken, aber das bringt bei einem Botnetz null,null und nichts weil da meist Einwahlrechner mit Dynamischen IP`s stehen, was du ja schon selbst gemerkt hast. Ein Blackhole aufbauen ist auch sehr sinnlos weil du da gleich den Switch Port abschalten kannst.
Du kannst versuchen mittels mod_evasive das ganze in den Griff zu bekommen, was den Angreifer aber nicht abhält noch mehr Rechner am Angriff zu beteiligen oder einfach auch noch andere Dienste anzugreifen wie deinen MTA oder den SSHd.
Dritte möglichkeit wäre via iptables versuchen ein Verbindungslimit zu setzen:
Sofern du das iptables Modul iplimit verwendest dürfte das den Angriff etwas ausbremsen, aber die Leitung glüht nach wie vor, und da kann man selbst nichts machen, das muss der Hoster am Router regeln. Und da kommt wieder die Frage: Macht der Hoster das den überhaupt und wenn ja, bringt es etwas bei Dyn. IP´s.
Hat der Hoster entsprechende Firewalls laufen, könnte er Theoretisch auch den DDoS am Router mit einem Verbindungslimit von der selben IP belegen und wenn eine IP mehr als 10 Verbindungen pro sek. aufmachen möchte, dann wird die IP komplett gesperrt. Ob der Hoster das macht oder kann ist natürlich eine Preisfrage, bei einem Bot Angriff von mehrere Tausend IP´s ist an manuelles Regeln nicht zu denken und schon gar nicht das dein Server sich effektiv selbst wehren kann.
Ich vergleich das immer so:
10.000 Holigans prügeln Zeitgleich auf dich ein weil du Schalke 04 Fan bist und auf einem Auswärtsspiel in der Allianz Arena. Wie kannst du dich gegen 10.000 Holigans schützen? Gar nicht, in dem Fall brauchst du eine höhere Macht, nennen wir Sie mal root ähm Gott, der mit einem Blitz die 10.000 Holigans nach /dev/hell befördert. In diesem Fall ist Gott dein Hoster, und je nachdem wie gläubig du bist (gemessen in $/Month) lässt er sich harab um dir zu helfen oder macht gar nix weil du nicht gläubig genug bist.
Die Religiöse Antwort auf einen DDoS :D
Wenn hast du eigentlich geärgert um ein DDoS als Antwort zu bekommen? Gab es vielleicht mal nen Konkurrenzportal das jetzt dicht gemacht wurde oder sowas? Aus Spaß macht das wohl keiner.
Du kannst versuchen mittels mod_evasive das ganze in den Griff zu bekommen, was den Angreifer aber nicht abhält noch mehr Rechner am Angriff zu beteiligen oder einfach auch noch andere Dienste anzugreifen wie deinen MTA oder den SSHd.
Dritte möglichkeit wäre via iptables versuchen ein Verbindungslimit zu setzen:
Code: Select all
iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 10 -j DROP
Hat der Hoster entsprechende Firewalls laufen, könnte er Theoretisch auch den DDoS am Router mit einem Verbindungslimit von der selben IP belegen und wenn eine IP mehr als 10 Verbindungen pro sek. aufmachen möchte, dann wird die IP komplett gesperrt. Ob der Hoster das macht oder kann ist natürlich eine Preisfrage, bei einem Bot Angriff von mehrere Tausend IP´s ist an manuelles Regeln nicht zu denken und schon gar nicht das dein Server sich effektiv selbst wehren kann.
Ich vergleich das immer so:
10.000 Holigans prügeln Zeitgleich auf dich ein weil du Schalke 04 Fan bist und auf einem Auswärtsspiel in der Allianz Arena. Wie kannst du dich gegen 10.000 Holigans schützen? Gar nicht, in dem Fall brauchst du eine höhere Macht, nennen wir Sie mal root ähm Gott, der mit einem Blitz die 10.000 Holigans nach /dev/hell befördert. In diesem Fall ist Gott dein Hoster, und je nachdem wie gläubig du bist (gemessen in $/Month) lässt er sich harab um dir zu helfen oder macht gar nix weil du nicht gläubig genug bist.
Die Religiöse Antwort auf einen DDoS :D
Wenn hast du eigentlich geärgert um ein DDoS als Antwort zu bekommen? Gab es vielleicht mal nen Konkurrenzportal das jetzt dicht gemacht wurde oder sowas? Aus Spaß macht das wohl keiner.