Erpressung mit DDoS SYN Flood - 1&1 Server, iptables

[Anonymous]

Hallo zusammen,

Erstmal um was es genau geht: ich arbeite bei einem Onlineshop und wir werden aktuell erpresst das unsere Server per SYN DDoS attackiert werden (über den Live Support unserer webseite). Der Angreifer kommt aus Slovenian, was die Verfolgung sehr schwierig und vor allem langsam macht, so das es aktuell darum geht die Server oben zu halten. Der Angreifer benutzt gefälschte IP adressen und floodet auf dem SSH und HTTP port, sowie auf ein paar anderen die aber von keinen Diensten belegt sind.

Auf unseren US Server hatten wir nun schon mehrfach Angriffe - der Server hat optimierte TCP einstellungen (auch SYN cookies), hält dem Angriff aber trotzdem nicht lange stand. Unser Provider hat dann die angegriffene IP auf nen CISCO guard geschalten, der die ungültigen Pakete vom Server fernhält. Funktioniert auch wunderbar, da kommt nur ein Bruchteil des Floods an und wir haben damit keine Probleme.

Allerdings wurden auch Angriffe auf unseren Server in Deutschland angekündigt, und der steht bei 1&1 - und ich zweifel mal daran das die trotz 'Platinum' support so schnell und kompetent reagieren wie unser US Provider. Der Server ist relativ gross dimensioniert (der grösste bei 1&1), hat SYN cookies aktiviert und eine vernünftige Einstellungen bei den Retries und den Timeouts.

Trotzdem wird das wahrscheinlich nicht ausreichen gegen das Flooding - und ich habe nun überlegt ob man bei einem akuten Angriff per iptables ersteinmal alle SYN Pakete verwerfen kann, und bei den korrekten Clients und richtigen Zugriffen auf den zweiten SYN Versuch wartet, und dann erst diesen annimmt. Ich bin leider kein Iptables Fachmann, und habe im Zusammenhang mit SYN Flooding nur Regeln gesehen die allgemein die maximalen SYN Pakete limitieren - und das sieht ehrlich gesagt nicht sehr erfolgversprechend aus.

Also nochmal was ich genau meine:
Alle SYN Pakete verwerfen, IPs merken, beim zweiten SYN Versuch die Verbindung aufbauen. Der Client wird dann aber wahrscheinlich erstmal in den Timeout reinlaufen, aber naja - immer noch besser als gar nix.

Was meint Ihr dazu? Funktioniert sowas? Wie müssen die Regeln lauten und hat schon jemand Erfahrung ob 1&1 bei DDoS Unterstützung anbietet?

Besten Dank & Viele Grüsse,
Marco

[freddy36]

Du kannst dein Glück mit den tcp_syncookies, tcp_synack_retries, tcp_max_syn_backlog, tcp_max_tw_buckets und zur not auch tcp_abort_on_overflow versuchen.
das iptables iplimit modul wird dir vermutlich nicht weiterhelfen.

Also nochmal was ich genau meine:
Alle SYN Pakete verwerfen, IPs merken, beim zweiten SYN Versuch die Verbindung aufbauen. Der Client wird dann aber wahrscheinlich erstmal in den Timeout reinlaufen, aber naja - immer noch besser als gar nix.

Sowas müsstest du mit dem recent Modul hinbekommen.

Wenns aber einfach zuviel ist kommst du nicht um Hardware davor herum.
Einfach mal 1&1 bitten das sie TCP Intercept (so heißt es bei Cisco), aktivieren :)

[nyxus]

Wenns aber einfach zuviel ist kommst du nicht um Hardware davor herum.
Einfach mal 1&1 bitten das sie TCP Intercept (so heißt es bei Cisco), aktivieren :)

Das werden sie kaum machen da sie im schlimmsten Fall eine Beeinträchtigung ihres Equipments riskieren. Vermutlich ist man mit so einem Problem bei einem "Billig-Hoster" nicht wirklich gut aufgehoben.

[Joe User]

Die bei 1und1 den Kundenservern vorgelagerten Firewalls sind AFAIR (bin dort schon ein paar Jahre kein Kunde mehr) hardwarebasiert (Cisco), auch wenn sich über Kundenmenü lediglich IPTables-Rules definieren lassen. Insofern könnte 1und1 durchaus unterstützend eingreifen, wird dies aber vermutlich nicht kostenfrei machen. Inwiefern durch einen solchen Eingriff andere Kunden hinter der betroffenen Firewall beeinträchtigt würden, sollte Nyxus und/oder unsere anderen Cisco-Admins einschätzen können.

Fragen (direkt zur Technik durchstellen lassen) kostet, ausser Telefongebühren, ja nichts...

[Anonymous]

Danke erstmal für die bisherigen Antworten - der Server war leider schon bei 1&1 bevor ich bei der Firma angestellt war, richtig 'billig' ist es eigentlich auch nicht, immerhin zahlen wir mit mehreren IPs über 300€ monatlich. Da ist unser US server bei softlayer einiges günstiger. Meinem 'Platinum' Supporter hab ich bereits vor ein paar Tagen angeschrieben, keinerlei Rückmeldung. Wenn ich das mit dem Support bei softlayer vergleiche, bei dem ich innerhalb von 10 Minuten eine fachlich kompetente Rückmeldung und einen IP Protect kriege is das schonmal grausig.

Serveranbieter wechseln wäre natürlich was - aber da wir sehr viel für SEO ausgeben gilt es einen IP Wechsel zu vermeiden. Das man bei iptables sowas evtl mit dem recent Modul hinkriegt hab ich mir schon gedacht, nur ist das wirklich effektiv? Wenn man die Pakete einfach droppt wirds wohl beim Client zuerst nen Timeout geben, ein neuanfragen wäre da besser - aber da ist ja die selbe Problematik dahinter, die nicht existenten IPs kann man ja schlecht fragen ob sie nochmal nen Request senden können....bzw kann man schon, nur auf die Antwort wartet man ja wieder ;)

Ich versuchs mal noch weiter beim 1&1 Support, ansonsten müssen wir halt doch umziehn.