DDos - Tipps

Hallo,

bis jetzt hatte ich noch keine großen Problem was ddos angeht, doch jetzt wird es eindeutig zeit mich damit auseinander zu setzensetzen.
Daher wollte ich hier mal Fragen: wie schützt ihr eure Server? Habt ihr Tipps?

Gruß
Tobi

Fotofreak da gebe ich dir recht da ich auch mehere Server habe und ein Privates Hosting betreibe und bekomme mind 1 DDos Angiff im Monat. Soweit ich weis kostet so eine Protection so pro IP über 100 Euro

Jetzt kommt die Frage, was hostest du auf deinem Server? Falls du nur eine Webseite hast kannst du diese via Cloudflare schützen. Ansonsten kannst du deinen Server via Softwarefirewall schützen obwohl dies auch nur begrenzt helfen kann. Für sehr starke DDoS Attacken gibt es bei den meisten Hostern eine Hardwarefirewall die über 100€ monatlich kostet.

Naja eigentlich kenne ich das so das man DDoS Angriffe nicht richtig abwehren kann. Auch nicht als Ottonormalverbraucher und auch nicht als Virtual Machine Server Besitzer...
Einen UDP Flood kannst du z.B. ganz leicht über deinen Root ausführen sobald du die IP Adresse des anderen hast...
Eine gute Firewall kann helfen/muss aber nicht. Deswegen einfach nicht verschlüsselte Daten weitergeben und dann hat sich die Sache.

Außerdem unterscheidet man zwischen DDoS und DoS Steht bei Wikipedia näheres zu

Momentan nur apache2, mysql, ts3 und einen samp Server.

Ich habe gerade gelesen, dass man iptables nutzen soll und eine Firewall installieren soll.
Root Zugang verbieten und Port für ssh ändern habe ich schon gemacht.

Gegen eine wirklich gute dos oder ddos Attacke, welche von einem Bot-Netz her kommt kann man leider nicht viel machen ohne Geld und ohne Zugriff auf die Router.

Es gibt eigene Appliance auch gegen dos, aber unter einem Budget von 20k Euro musst Du dies gar nicht anschauen.

Dein Provider kann aber mehrere Sachen dagegen machen. zum einten wäre das Filtern, wie auch natürlich ACL und Blackhole Routing. Viele Provider gehen damit relativ einfach um und limitieren den UDP Traffic per MAC Adresse auf (X) Mbits.

Die Frage ist natürlich immer wie die Angriffe ablaufen und vor allem was genau abläuft. Dies findest Du zum Beispiel mit Wireshark oder ähnlichem raus.

Die meisten Attacken sind aber "Kiddy hat ein Script gefunden" Attacken. Diese kommen dann in der Regel von einer IP-Adresse, welche man selber blocken kann oder dem Provider mitteilen kann.

Der Einsatz von IPtables (Firewall) ist natürlich ein muss. Aber Vorsicht man kann sich auch sehr schnell selber aussperren

Danke Alex für diese ausführliche Antwort.

Ich denke es wird sich eher um die kiddys handeln..
Wie bekomme ich denn mit, dass jemand einen solchen Angriff ausführt?

Wegen dem aussperren bietet mein Anbieter ein rettungssystem wo der Server in ein anderes Verzeichniss geschoben wird und man alles reparieren kann. Hat mich schon einmal vor einer neu Installation gerettet

In der gesamten samp Server „Szene“ kommt es sehr oft zu solchen kiddys und man hört sehr oft dass ein Server schon wieder wegen ddos offline ist.

Wie Du das Mitkriegst ?
Das erste Indiz ist massiver Traffic anstieg und viele Sessions.(Dies kannst Du mit mehren Tools Monitoren. MRTG, Cacti, Nagios, und so weiter) bis hin zu Paketloss und Server Offline (auch das kann von extern überwacht werden).

Da würde ich Dir dazu raten einmal zu Googlen mit dem Input "DoS" oder "DDOS" und "IPTables". Es gibt hier mehrere Möglichkeiten und Lösungen. Diese sind aber mit Vorsicht zu geniessen und überlegen was Du genau abtippst. Wenn Du das nicht verstehst was Du da machst, dann würde ich das ganze lieber jemandem übergeben, welcher die Ahnung davon hat.

Lg Alex

iftop mit portanzeige dann...einfach beobachten...

iptraf ist auch ganz schön zum Traffic überwachen