[Linux] VServer gegen (d)DoS absichern

  • Hallo,




    Ich habe einen Linux-VServer und würde ihn gerne gegen (d)DoS Angriffe
    absichern (wenn möglich kostenlos) da ich bisher an 2 angriffen opfer
    wurde.




    Gibt es einen kostenlosen weg dies zu machen?




    Danke im voraus.




    LG Jan

  • Du kannst zwar die IP Adressen mit einer Softwarefirewall blocken aber sobald die Pakete am Netzwerkadapter ankommen ist es eh zuspät. Um eine richtige Hardwarefirewall oder eine entsprechend dicke Anbindung kommst du nicht rum um dich effektiv zu schützen. Aber das kostet beides Geld. Es gibt Anbieter die Firewallnutzung für 50€/Monat anbieten.


    Mich würde auch interessieren was für eine Art Angriff das war.

    "I tell computers to do things. Sometimes they listen."


    Chris Kragt | kragt itservices | Informatikkaufmann

    Web: www.kragt.io | Mail: hi [at] kragt.io

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von Tacqila ()

  • Gegen DoS Angriffen kann man sich Softwareseitig schützen in dem man Request Limits setzt und IP's sperrt, da bei DoS Angriffen versucht wird die Serversoftware zu überlasten.


    Bei DDoS Angriffen wirds schwieriger, weil dort versucht wird die Netzwerkanbindung zu überlasten. Wenn da das Paket schon an deiner NIC ankommt ists schon zu spät. Da gibts halt die möglichkeit wie Chris schon genannt hat der Hardwarefirewall oder eine Anbindung z.b. über Level3 oder Link11 was du aber nicht beeinflussen kannst, weils voll auf Seiten des Rechenzentrums liegt. Es gibt auch Rechenzentren die gut gegen DDoS Angriffe abgesichert sind, da sind die Serverstellplätze aber dann etwas teurer.

  • Bei nem richtigen DDoS haste noch nichtmals ne chance auf den Server drauf zu kommen wenn du nicht gerade vor Ort bist und direkten physischen Zugang zum System hast. Und wenn du den Gateway geändert hast kommste ehe nicht mehr drauf.


    Die teuersten Varianten sind auf Netzwerkebene die Angriffe zu erkennen und dann im gesamten eigenen Netz zu verteilen um sie abzuschwächen. Damit das aber nicht direkt alle Server lahm legt braucht man nen recht goßes Netz. Das macht z.B. OVH.


    Die billigste Variante ist bei bis zu 3-5 Angreifern die IP's direkt beim Carrier eingehend zu sperren, bei >5 IP's die IP des angegriffenen Servers beim Carrier zu Nullrouten. Bei letzterem ist der Server für die Zeit natürlich komplett nicht mehr erreichbar verhindert aber teure Traffic Kosten.



  • fail2ban hat u.a. auch nen Modul um DOS Angriffe auf SSH (und glaube ich auch Apache2) Servern zu erkennen. sonst kann man auch noch solche Sachen machen:


    Code
    1. iptables -A INPUT -p tcp --syn -m limit --limit 1 /s --limit-burst 8 -j DROP


    Mit dieser IPTables Regel limitiert man die Verindungen einer einzigen IP auf 8 und es darf max. 1 Verbindung pro Sekunde aufgebaut werden.