| 1 |
Hallo. |
| 2 |
|
| 3 |
Mekonikum schrieb am 29.08.2004 um 12:18 Uhr: |
| 4 |
|
| 5 |
> Habt ihr zufällig einen guten Tip zu einem HowTo für mich, wo erklärt |
| 6 |
> wird wie man am besten einen Server mit iptables so sicher wie möglich |
| 7 |
> vor DDoS machen kann? |
| 8 |
|
| 9 |
Naja ... wenn das so einfach waere, dann gaebe es keine Probleme |
| 10 |
mit DDoS-Angriffen mehr. Eine brauchbare Loesung scheint zu sein, |
| 11 |
einfach mehr Power zu haben, als der Angreifer. Mircosoft hat z. B. |
| 12 |
die Moeglichkeit auf Server-Cluster von Akamai zurueckzugreifen[1]. |
| 13 |
|
| 14 |
Der einfache privat-Serverbetreiber kann sich sowas natuerlich nicht |
| 15 |
leisten und auch drei, vier Server zu betreiben wird je nach Angriff |
| 16 |
auch nichts bringen. |
| 17 |
|
| 18 |
Dein Ziel kann es hoechstens sein, moeglichst viel Traffic zu sparen. |
| 19 |
Z. B. kannst Du erstmal Dinge wie Webseite, Mailserver, etc. auslagern, |
| 20 |
dass das Hauptsystem (Game-Server?) sich ganz auf seine Hauptaufgabe |
| 21 |
beschraenken kann. |
| 22 |
|
| 23 |
Als naechstes kann man dann schauen, warum ein DoS ueberhaupt |
| 24 |
funktioniert. Wenn Du nur Port X auf dem System brauchst und der |
| 25 |
DoS auch andere Ports benutzt, dann kannst Du dort in iptables |
| 26 |
konfigurieren, dass Anfragen per DROP fallengelassen, statt |
| 27 |
mit REJECT beantwortet werden. |
| 28 |
|
| 29 |
Das bringt Dir natuerlich nichts, wenn der Angriff direkt auf |
| 30 |
den "wichtigen" Port des Servers geht. |
| 31 |
|
| 32 |
Dafuer gibt es dann aber Tools, die dynamische iptables-Regeln |
| 33 |
erzeugen, wenn ein bestimmter Host zu viel Last/Traffic erzeugt |
| 34 |
und diesen Host fuer weitere Anfrage einfach DROPt. Nach einiger |
| 35 |
Zeit sollten die "4000 Bots" von Deinem System dann ignoriert |
| 36 |
werden - Traffic und Rechenzeit verbrauchen sie allerdings |
| 37 |
weiterhin, weil Pakete von denen auch erstmal angenommen werden. |
| 38 |
(es kommt also wieder nur auf die Zahl der Angreifer an ...) |
| 39 |
|
| 40 |
|
| 41 |
> Eine Hardware-Firewall oder gar ein vorgeschalteter DoS-Schutz-Kasten |
| 42 |
> ist undenkbar, viel zu teuer. |
| 43 |
|
| 44 |
a) Du bist bei Strato und da kannst Du sowas sowieso nicht einbauen. |
| 45 |
b) Du hast einen Server zuhause, dann solltest Du Dir schnellstens |
| 46 |
was irgendwo in einem Rechenzentrum mieten. |
| 47 |
|
| 48 |
|
| 49 |
> Und es ist schon traurig mit ansehen zu müßen wie ein kleines verzogenes |
| 50 |
> Kind mal 4000 Bot's aus dem Ärmel schüttelt und nach und nach die Server |
| 51 |
> zum splitten bringt. :-/ |
| 52 |
|
| 53 |
Naja, diese "Bots" laufen auch irgendwo und da waere es mal Zeit das |
| 54 |
dem jeweiligen Provider mitzuteilen. Gegen solche Angriffe kann man |
| 55 |
sich nicht nur verteidigen, sondern man hat auch Rechtsmittel um |
| 56 |
zurueckzuschlagen. (Ja, leider ist das heutzutage noch ziemlich |
| 57 |
utopisch) |
| 58 |
|
| 59 |
|
| 60 |
Chris |
| 61 |
|
| 62 |
[1] http://www.heise.de/newsticker/meldung/44281 |
| 63 |
|
| 64 |
-- |
| 65 |
Pedaeration, n.: |
| 66 |
The perfect body heat achieved by having one leg under the |
| 67 |
sheet and one hanging off the edge of the bed. |
| 68 |
-- Rich Hall, "Sniglets" |
Archives