| 1 |
On 29.08.2004 12:18, Mekonikum wrote: |
| 2 |
> Hallo! |
| 3 |
> |
| 4 |
> Habt ihr zufällig einen guten Tip zu einem HowTo für mich, wo erklärt |
| 5 |
> wird wie man am besten einen Server mit iptables so sicher wie möglich |
| 6 |
> vor DDoS machen kann? |
| 7 |
> Alle guides die ich so finde sind meistens für Home-PC's, und nicht für |
| 8 |
> Server, und gehen nicht auf das DoS Thema ein. |
| 9 |
> |
| 10 |
> Klar, ab einem bestimmten Level ist nichts mehr zu machen, aber ein |
| 11 |
> wenig muss man doch tun können. |
| 12 |
> |
| 13 |
> Eine Hardware-Firewall oder gar ein vorgeschalteter DoS-Schutz-Kasten |
| 14 |
> ist undenkbar, viel zu teuer. |
| 15 |
> |
| 16 |
> Und es ist schon traurig mit ansehen zu müßen wie ein kleines verzogenes |
| 17 |
> Kind mal 4000 Bot's aus dem Ärmel schüttelt und nach und nach die Server |
| 18 |
> zum splitten bringt. :-/ |
| 19 |
> |
| 20 |
> |
| 21 |
> Thx. |
| 22 |
> |
| 23 |
> |
| 24 |
Hi, |
| 25 |
|
| 26 |
ich denke du kannst nichts wirklich effektives machen. Sobald die Pakete |
| 27 |
der (D)DoS-Attacke an deinem Server ankommen, ist die Sache schon |
| 28 |
gelaufen. Selbst wenn du z. B. eine iptables-Regel einrichtest, die die |
| 29 |
besagten Pakete verwirft (DROP), muss deine Kiste die Pakete dennoch |
| 30 |
verarbeiten. Die einzige wirkungsvolle Möglichkeit ist, die Pakete |
| 31 |
direkt am Switch zu verwerfen, noch bevor Sie an deinen Server gelangen, |
| 32 |
aber das hast du ja schon ausgeschlossen. |
| 33 |
|
| 34 |
Jochen |
| 35 |
|
| 36 |
|
| 37 |
-- |
| 38 |
gentoo-user-de@g.o mailing list |
Archives