Twitter Timeline
- RT @slith76: No, really. Use Zsh. - IFHO http://t.co/rfm2Ywc48 months ago
- Neu im Blog: Datenbankstrukturen visualisieren http://t.co/T8XYZA1j9 months ago
- Neu im Blog: Multiuser-GIT-Repos mit Gitolite (Debian Squeeze) http://t.co/IA6rjTvA11 months ago
- Oha, Windows8 hat sowas wie TimeMachine eingebaut. Gute Sache. http://t.co/R7R0B1kX11 months ago
- Neu im Blog: Synergy - Cleveres Software KVM http://t.co/UwggNh7R11 months ago
- Neu im Blog: Git f?r Beginner - Teil 1 http://t.co/5eLmEHaM11 months ago
- Neu im Blog: multitail - Ein Auge auf den Logs http://t.co/9KRfRWPm11 months ago
- Neu im Blog: Das Problem mit der Schaltsekunde http://t.co/mxUgpm9J11 months ago
- Falls ihr komische Lastprobleme auf Linux-Systemen habt (v.A. Debian), ist evtl. die Schaltsekunde schuld: http://t.co/2kkmMlk611 months ago
- Neu im Blog: Composer - Einfaches Dependency Management f?r PHP http://t.co/VjxK30yJ11 months ago
- Das Blog wurde eben auf die aktuelle Version von S9Y aktualisiert (http://t.co/B3rd1s19). Bei Problemen/Fehlern bitte melden :)11 months ago
- Neu im Blog: owncloud - die eigene Wolke! http://t.co/iack8ocO11 months ago
- Auch eine Idee: Hello World in MS Paint geschrieben - http://t.co/E2bJdD9g11 months ago
- Chrome 20 ver?ffentlicht ... gro?er Versionssprung, aber au?er Bugfixes kaum ?nderungen. http://t.co/39v5j2s511 months ago
- Neu im Blog: Pakete vom Update aussschlie?en (Debian/Ubuntu) http://t.co/rwEZunFw11 months ago
- Neu im Blog: Eine Domain komplett via RewriteRule weiterleiten http://t.co/duwIMIUF11 months ago
- Ich freue mich auf diese Neuerung in MySql 5.6 - http://t.co/11qykcvi1 year ago
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 year ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 year ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz1 year ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon1 year ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO01 year ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G1 year ago
- Neu im Blog: US-Proxy f?r YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp1 year ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI1 year ago
Montag, 7. November 2011
Schutz bei (D)DOS Angriffen mit Iptables
Es soll ja vorkommen, dass ein Server von extern z.B. mit sehr vielen HTTP-Anfragen lahmgelegt werden soll. In so einem Fall ist guter Rat teuer, um Schaden vom Server und der darauf laufenden Websites bzw. Applikationen abzuwenden. Oft hilft einem auch der ISP dabei, verlassen kann man sich darauf freilich nicht. So wurde kürzlich bei einem Fall der Kunde zwar sogar von Hetzner über die DDOS-Attacke informiert Gegenmaßnahmen wurden aber nicht getroffen. Im schlimmsten Fall droht sogar die Sperrung der IP seitens Hetzner, was natürlich zum Teil auch nachvollziehbar ist.
Serverseitig kann man aber auch etwas tun, z.B. das kleine Shell-Script (D)DoS Deflate laufen lassen. Dieses kleine Script prüft ganz einfach per netstat, welche IP eine in der Config definierte Anzahl von Verbindungen überschreitet und sperrt diese wirksam direkt via iptables (diese Variante bevorzuge ich, es wird einfach DROP auf alle Pakete von der Quell-IP angewendet) oder via apf (Advanced Policy Firewall). Das Script hilft natürlich nur, wenn der Server noch erreichbar ist und arbeitet, d.h. wenn die Attacke nicht die die komplette Bandbreite verbraucht oder zu extrem ist.
Zur "Installation", die im Wesentlichen aus ein paar Downloads via wget und der Einrichtung eines Cronjobs funktioniert, holt man sich einfach wie auf der Website angegeben das Script install.sh von einem Server. Alternativ habe ich das Ganze hier nochmals als Mirror hinterlegt: ddos.tar (20 KByte). Den Tarball einfach z.B. nach /usr/local/ entpacken und es kann losgehen.
In der ddos.conf kann man via NO_OF_CONNECTIONS angeben, ab wievielen Verbindungen eine IP gesperrt wird. Das muss man einfach testen bzw. es kommt sehr darauf an, was auf dem Server normalerweise los ist. Bei zu niedrigen Werten läuft man natürlich Gefahr, auch "normale" User zu sperren. Mit BAN_PERIOD legt man dann fest, wie lange die IP gesperrt werden soll. Die eigene IP kann man übrigens mit einem Eintrag (neue Zeile) in der Datei ignore.ip.list whitelisten, 127.0.0.1 ist default auf der Whitelist
Jetzt kann man direkt ./ddos.sh ausführen und sieht auch direkt den Output den im Script ausgeführten netstat, das konkret so aussieht:
Erfolge kann man dann ganz einfach z.B. via iptables -L -nv sehen. Diese recht rudimentäre Lösung kann bei kleineren Angriffen durchaus nützlich sein und hat sich schon mehrfach im Einsatz bewährt. Hilfreich sind übrigens auch weitere IP-Adressen und kurze TTL im DNS, um schnell reagieren zu können.
Sollte der Angriff nur auf einzelne Dienste wie z.B. Apache durchgeführt werden, lohnt auch ein Blick auf Fail2Ban.
Serverseitig kann man aber auch etwas tun, z.B. das kleine Shell-Script (D)DoS Deflate laufen lassen. Dieses kleine Script prüft ganz einfach per netstat, welche IP eine in der Config definierte Anzahl von Verbindungen überschreitet und sperrt diese wirksam direkt via iptables (diese Variante bevorzuge ich, es wird einfach DROP auf alle Pakete von der Quell-IP angewendet) oder via apf (Advanced Policy Firewall). Das Script hilft natürlich nur, wenn der Server noch erreichbar ist und arbeitet, d.h. wenn die Attacke nicht die die komplette Bandbreite verbraucht oder zu extrem ist.
Zur "Installation", die im Wesentlichen aus ein paar Downloads via wget und der Einrichtung eines Cronjobs funktioniert, holt man sich einfach wie auf der Website angegeben das Script install.sh von einem Server. Alternativ habe ich das Ganze hier nochmals als Mirror hinterlegt: ddos.tar (20 KByte). Den Tarball einfach z.B. nach /usr/local/ entpacken und es kann losgehen.
In der ddos.conf kann man via NO_OF_CONNECTIONS angeben, ab wievielen Verbindungen eine IP gesperrt wird. Das muss man einfach testen bzw. es kommt sehr darauf an, was auf dem Server normalerweise los ist. Bei zu niedrigen Werten läuft man natürlich Gefahr, auch "normale" User zu sperren. Mit BAN_PERIOD legt man dann fest, wie lange die IP gesperrt werden soll. Die eigene IP kann man übrigens mit einem Eintrag (neue Zeile) in der Datei ignore.ip.list whitelisten, 127.0.0.1 ist default auf der Whitelist
Jetzt kann man direkt ./ddos.sh ausführen und sieht auch direkt den Output den im Script ausgeführten netstat, das konkret so aussieht:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nAlle IPs mit einer Connection-Anzahl > NO_OF_CONNECTIONS werden nun also für BAN_PERIOD Sekunden gesperrt. Ein Cronjob, der am besten im Abstand läuft, wie auch BAN_PERIOD gesetzt ist, rundet die Config ab.
Erfolge kann man dann ganz einfach z.B. via iptables -L -nv sehen. Diese recht rudimentäre Lösung kann bei kleineren Angriffen durchaus nützlich sein und hat sich schon mehrfach im Einsatz bewährt. Hilfreich sind übrigens auch weitere IP-Adressen und kurze TTL im DNS, um schnell reagieren zu können.
Sollte der Angriff nur auf einzelne Dienste wie z.B. Apache durchgeführt werden, lohnt auch ein Blick auf Fail2Ban.
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
powered by
Suche
Kommentare
09.04.13 13:37
Leider verstecken sich diese Lösungen sehr g [...]
11.08.12 09:13
Ich habe mir über eBay Silikonkappen bestell [...]
09.07.12 16:02
Es spricht nichts gegen screen/tmux und tail [...]
07.07.12 15:35
Was spricht denn gegen Screen/tmux und das n [...]
25.06.12 22:07
VPN Service von einem Provider z.b. aus Engl [...]
13.06.12 12:38
Es hilft, einen anderen Browser zu nutzen (z [...]
