1 |
Hallo. |
2 |
|
3 |
Mekonikum schrieb am 29.08.2004 um 12:18 Uhr: |
4 |
|
5 |
> Habt ihr zufällig einen guten Tip zu einem HowTo für mich, wo erklärt |
6 |
> wird wie man am besten einen Server mit iptables so sicher wie möglich |
7 |
> vor DDoS machen kann? |
8 |
|
9 |
Naja ... wenn das so einfach waere, dann gaebe es keine Probleme |
10 |
mit DDoS-Angriffen mehr. Eine brauchbare Loesung scheint zu sein, |
11 |
einfach mehr Power zu haben, als der Angreifer. Mircosoft hat z. B. |
12 |
die Moeglichkeit auf Server-Cluster von Akamai zurueckzugreifen[1]. |
13 |
|
14 |
Der einfache privat-Serverbetreiber kann sich sowas natuerlich nicht |
15 |
leisten und auch drei, vier Server zu betreiben wird je nach Angriff |
16 |
auch nichts bringen. |
17 |
|
18 |
Dein Ziel kann es hoechstens sein, moeglichst viel Traffic zu sparen. |
19 |
Z. B. kannst Du erstmal Dinge wie Webseite, Mailserver, etc. auslagern, |
20 |
dass das Hauptsystem (Game-Server?) sich ganz auf seine Hauptaufgabe |
21 |
beschraenken kann. |
22 |
|
23 |
Als naechstes kann man dann schauen, warum ein DoS ueberhaupt |
24 |
funktioniert. Wenn Du nur Port X auf dem System brauchst und der |
25 |
DoS auch andere Ports benutzt, dann kannst Du dort in iptables |
26 |
konfigurieren, dass Anfragen per DROP fallengelassen, statt |
27 |
mit REJECT beantwortet werden. |
28 |
|
29 |
Das bringt Dir natuerlich nichts, wenn der Angriff direkt auf |
30 |
den "wichtigen" Port des Servers geht. |
31 |
|
32 |
Dafuer gibt es dann aber Tools, die dynamische iptables-Regeln |
33 |
erzeugen, wenn ein bestimmter Host zu viel Last/Traffic erzeugt |
34 |
und diesen Host fuer weitere Anfrage einfach DROPt. Nach einiger |
35 |
Zeit sollten die "4000 Bots" von Deinem System dann ignoriert |
36 |
werden - Traffic und Rechenzeit verbrauchen sie allerdings |
37 |
weiterhin, weil Pakete von denen auch erstmal angenommen werden. |
38 |
(es kommt also wieder nur auf die Zahl der Angreifer an ...) |
39 |
|
40 |
|
41 |
> Eine Hardware-Firewall oder gar ein vorgeschalteter DoS-Schutz-Kasten |
42 |
> ist undenkbar, viel zu teuer. |
43 |
|
44 |
a) Du bist bei Strato und da kannst Du sowas sowieso nicht einbauen. |
45 |
b) Du hast einen Server zuhause, dann solltest Du Dir schnellstens |
46 |
was irgendwo in einem Rechenzentrum mieten. |
47 |
|
48 |
|
49 |
> Und es ist schon traurig mit ansehen zu müßen wie ein kleines verzogenes |
50 |
> Kind mal 4000 Bot's aus dem Ärmel schüttelt und nach und nach die Server |
51 |
> zum splitten bringt. :-/ |
52 |
|
53 |
Naja, diese "Bots" laufen auch irgendwo und da waere es mal Zeit das |
54 |
dem jeweiligen Provider mitzuteilen. Gegen solche Angriffe kann man |
55 |
sich nicht nur verteidigen, sondern man hat auch Rechtsmittel um |
56 |
zurueckzuschlagen. (Ja, leider ist das heutzutage noch ziemlich |
57 |
utopisch) |
58 |
|
59 |
|
60 |
Chris |
61 |
|
62 |
[1] http://www.heise.de/newsticker/meldung/44281 |
63 |
|
64 |
-- |
65 |
Pedaeration, n.: |
66 |
The perfect body heat achieved by having one leg under the |
67 |
sheet and one hanging off the edge of the bed. |
68 |
-- Rich Hall, "Sniglets" |