[HaBo]

Chakky · 30.07.10, 21:00

Hallo,

ein guter freund von mir betreibt eine Community mit ca 600 aktiven User.

Seit den letzten Tagen werden aber verstärkt DDoS angriffe auf die Seite gefahren.
Die Angriffe laufen entweder nach den Schema ab, dass Anfragen gestellt werden, die der Apache zwar bearbeiten kann aber der MySQL dahinter zu tun hat (überlange suchanfragen, auflistenung von Membernlisten u.ä) und somit den ganzen Server in die Knie zwingt

oder:

Das einfach 3500 unique Anfragen innerhalb kurzer zeit 60 bis 90 Sekunden anfragen eintrudeln und den Apache somit in die Knie zwingt und keinerlei andere Request beantwortet werden können, dabei kommen HTTP Get anfragen zum einsatz.

Wie kann man sich dagegen am besten wehren?

es ist ein root server mit linux

Thx für antworten

rami · 30.07.10, 21:18

Solange der Apache noch damit klarkommt, aber PHP/MySQL nicht: Meiner Erfahrung nach kann man das DDoS oft durch simples blocken aller Clients ohne User-Agent leicht überstehen.

Wenn der Apache nicht mehr mitspielt, sehe ich, wenn das DDoS wirklich von verschiedensten Angreifern kommt, keine Chance (sollten die Requests nur von wenigen IPs kommen, könnte man sie mit iptables blocken).

HaBo Ads

**bitmuncher** · 30.07.10, 21:19

Es gibt genug Möglichkeiten sich gegen DDoS zu schützen. Wenn möglich den SSL-Port schliessen, da über SSL ein Server leicht überlastet werden kann, wobei das beim Apache 2.2. auch nicht mehr so einfach ist. Dann im Webserver mod_evasive aktivieren. Damit lassen sich die Anzahl der Anfragen, die ein Client stellen kann, begrenzen. Stellt ein Client zuviele bekommt er nur noch einen 301er ausgeliefert, womit eine Menge Last weggenommen wird. Und natürlich kann auch eine Policy-Firewall wie APF weiter helfen. Unter http://www.topwebhosts.org/tools/apf...os-rootkit.php gibt's Infos dazu. Hilft das nicht, kann DDoS-Deflate zumeist etwas ausrichten: http://deflate.medialayer.com/ Und er soll mal einen Blick in die Logs werfen. Oftmals kommen die Clients ohne Browser-ID bei DDoS-Angriffen. Sollte das der Fall sein, kann er einfach eine entsprechende Rewrite-Regel in den Webserver setzen, die die Clients auf eine leere Seite umleitet.

Chakky · 31.07.10, 13:01

danke für die infos.

also die anfragen werden mit unterschiedlichsten und gängstens browser varianten gemacht (safari,ff 3.5,ie 7) also die blocken würde nix bringen.

wir werden mal die 2 links durchkauen

beavisbee · 31.07.10, 20:41

Die User-Agents werden dann wohl per Zufallsprinzip aus einem Pool von verbreiteten Browser-Kennungen genommen...
und von wievielen unterschiedlichen IPs kommen die Angriffe? Kommt jede Anfrage von 'ner anderen IP oder alle von der gleichen?

Chakky · 31.07.10, 20:50

jede anfrage von einer anderen ip

sieht nach einen größeren botnetz aus....

Keci · 01.08.10, 05:47

Ich würde an der Stelle dann einen Cronjob erstellen der sämtliche IPs überprüft ob sie auf bestimmte Ports anspringen.. Damit sind Bots gemeint, die sich als Proxy tarnen, diese würden dann direkt in die Blacklist landen.

Am effektivsten ist wohl die Methode, die schon bitmuncher beschrieben hat.

Zitat

MfG
Keci

Chakky · 08.08.10, 18:47

so wir hatten die links mal durchgenommen und die sachen installiert, es ist etwas besser gewurden in der zeit der angriffe.

seit paar tagen ist aber zum glück wieder ruhe!

thx für die infos

socks5 · 10.08.10, 13:51

Hallo, gegen DDoS kann man sich nicht 100% schützen aber es gibt einige tricks/tools zb. CSF, APF HardwareFirewall nginx reserve proxy alles tools hardware whatever in google gibts darüber tutorials.
hoffe konnte einigen und dir helfen

mfg socks5

Empfehlung

30.07.10, 21:00	#1 (permalink)
Chakky Senior Member Registriert seit: 28.10.03 Likes: 95	DDoS abwehren bei 3500 Anfragen pro Sekunde Hallo, ein guter freund von mir betreibt eine Community mit ca 600 aktiven User. Seit den letzten Tagen werden aber verstärkt DDoS angriffe auf die Seite gefahren. Die Angriffe laufen entweder nach den Schema ab, dass Anfragen gestellt werden, die der Apache zwar bearbeiten kann aber der MySQL dahinter zu tun hat (überlange suchanfragen, auflistenung von Membernlisten u.ä) und somit den ganzen Server in die Knie zwingt oder: Das einfach 3500 unique Anfragen innerhalb kurzer zeit 60 bis 90 Sekunden anfragen eintrudeln und den Apache somit in die Knie zwingt und keinerlei andere Request beantwortet werden können, dabei kommen HTTP Get anfragen zum einsatz. Wie kann man sich dagegen am besten wehren? es ist ein root server mit linux Thx für antworten __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

30.07.10, 21:18	#2 (permalink)
rami Registriert seit: 09.02.08 Likes: 0	Solange der Apache noch damit klarkommt, aber PHP/MySQL nicht: Meiner Erfahrung nach kann man das DDoS oft durch simples blocken aller Clients ohne User-Agent leicht überstehen. Wenn der Apache nicht mehr mitspielt, sehe ich, wenn das DDoS wirklich von verschiedensten Angreifern kommt, keine Chance (sollten die Requests nur von wenigen IPs kommen, könnte man sie mit iptables blocken). __________________ Portolio ~ geek's factory ~ Online-HackMes

30.07.10, 21:19	#3 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Es gibt genug Möglichkeiten sich gegen DDoS zu schützen. Wenn möglich den SSL-Port schliessen, da über SSL ein Server leicht überlastet werden kann, wobei das beim Apache 2.2. auch nicht mehr so einfach ist. Dann im Webserver mod_evasive aktivieren. Damit lassen sich die Anzahl der Anfragen, die ein Client stellen kann, begrenzen. Stellt ein Client zuviele bekommt er nur noch einen 301er ausgeliefert, womit eine Menge Last weggenommen wird. Und natürlich kann auch eine Policy-Firewall wie APF weiter helfen. Unter http://www.topwebhosts.org/tools/apf...os-rootkit.php gibt's Infos dazu. Hilft das nicht, kann DDoS-Deflate zumeist etwas ausrichten: http://deflate.medialayer.com/ Und er soll mal einen Blick in die Logs werfen. Oftmals kommen die Clients ohne Browser-ID bei DDoS-Angriffen. Sollte das der Fall sein, kann er einfach eine entsprechende Rewrite-Regel in den Webserver setzen, die die Clients auf eine leere Seite umleitet. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

31.07.10, 13:01	#4 (permalink)
Chakky Senior Member Themenstarter Registriert seit: 28.10.03 Likes: 95	danke für die infos. also die anfragen werden mit unterschiedlichsten und gängstens browser varianten gemacht (safari,ff 3.5,ie 7) also die blocken würde nix bringen. wir werden mal die 2 links durchkauen __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

31.07.10, 20:50	#6 (permalink)
Chakky Senior Member Themenstarter Registriert seit: 28.10.03 Likes: 95	jede anfrage von einer anderen ip sieht nach einen größeren botnetz aus.... __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

31.07.10, 20:41	#5 (permalink)
beavisbee Member of Honour Registriert seit: 22.02.07 Likes: 75	Die User-Agents werden dann wohl per Zufallsprinzip aus einem Pool von verbreiteten Browser-Kennungen genommen... und von wievielen unterschiedlichen IPs kommen die Angriffe? Kommt jede Anfrage von 'ner anderen IP oder alle von der gleichen?

08.08.10, 18:47	#8 (permalink)
Chakky Senior Member Themenstarter Registriert seit: 28.10.03 Likes: 95	so wir hatten die links mal durchgenommen und die sachen installiert, es ist etwas besser gewurden in der zeit der angriffe. seit paar tagen ist aber zum glück wieder ruhe! thx für die infos __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

10.08.10, 13:51	#9 (permalink)
socks5 Registriert seit: 10.08.10 Likes: 0	Hallo, gegen DDoS kann man sich nicht 100% schützen aber es gibt einige tricks/tools zb. CSF, APF HardwareFirewall nginx reserve proxy alles tools hardware whatever in google gibts darüber tutorials. hoffe konnte einigen und dir helfen mfg socks5

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln


HaBo Ads HaBOT

[HaBo]

DDoS abwehren bei 3500 Anfragen pro Sekunde