Hallo Ihr lieben,

leider werden meine Server immer wieder Opfer sogenannter DDOS Angriffe bei denen mir z.B 7000Pakte/sec gesendet werden.Ich weiss,dass es keinen Schutz dagegen gibt.Aber kann man denn rein garnichts machen um diesen "Wesen" einen Strich von Seiten meines Servers durch die Rechnung zu machen?

OS: Linux
FW: ja Firewall installiert

Vielleicht habt Ihr ja ein paar Tipps

Guten Morgen,

zuerst möchte ich fragen: Kannst du die IP Adresse feststellen von dem die DDOS-Atacke gesendet wird ? Wenn ja ist es nur eine IP-Adresse oder mehrere ?
In diesem Fall kannst du die IP-Adressen über host-Dateien ( Sperrlisten oder genannt Blacklist ) ignorieren oder umleiten; sogar gegen die Angriffs-IP.
ABER die IP-Adresse könnte auch gefälscht oder benutzt werden - nennt man IP-Spoofing.

Daher Vorsicht und schau erst nach welche IP-Adresse du feststellen kannst. Über die IP-Adresse kannst du den ISP oder die Range-IP ( IP-Breich ) feststellen.
z.B.: bei Who-Is.de die IP-Adresse ins Keyfield kopieren und Suchen klicken.
So kann man schon mal eingrenzen oder ausschließen.

Schau erst mal nach was du nun findest.

MfG Hitman

iptables konfigurieren. Schau mal hier: http://www.vanillatf2.org/2011/01/fighting-dos-attacks/

Passt vielleicht nicht ganz auf das Problem, ghört aber auch zum Thema: http://www.google.ch/search?sourceid=ch ... q=fail2ban

Hi,

dies war unser erster Versuch der Lage Herr zu werden: http://www.vanillatf2.org/2011/01/fighting-dos-attacks/

Die Methode funktioniert auch für die entsprechenden Pakete. Leider gibt es noch viel mehr mögliche Pakete. Ich habe meine derzeitige Konfiguration hier gepostet:

http://www.overclock.net/linux-unix/912 ... ing-2.html

Ob es hilft werden die nächsten Tage zeigen. Bei unseren Tests mit dem Exploit konnten wir alle Angriffe abwehren.

Vielen Dank für eure Hilfe,werde das alles mal testen und dann Feedback geben.

Schau dir das mal an: http://sourceserver.info/wiki/daf

Grüsse,

Christian

DAF funktioniert nicht.

Hier gibt es meine FW-Regeln in einem schönen Script verpackt (Kommentar beachten!) -> http://www.ulrich-block.de/?p=854

Daf funktioniert in seiner neuesten Version immer noch. Ich hatte das kurz vor dem letzten Orangebox Update auf einem Server ohne IPtables erfolgreich eingesetzt.
Welche Attacke der Angreifer genau gefahren hat, kann ich nicht genau sagen, nur, dass DAF nach der Installation Packete im 6-Stelligen Bereich von einem DSL Anschluss abgefangen hat und der Server nicht mehr laggte.

DAF hat bei mir auch angezeigt, dass es Pakete geblockt hat. Allerdings ohne Wirkung (weiterhin Freezes / Lags). Wie in deinem Blog geschrieben, ist ein DOS Angriff über UDP Spoofing von deutschen DSL Anschlüssen nicht möglich, da dies von TCom etc. unterbunden wird. Pakete mit falschem Absender werden einfach nicht ins Internet geroutet. Es wohl noch weitere Angriffsmöglichkeiten, bei welchen DAF eventuell hilft. Bei A2S-Spam allerdings nicht.