Server gegen DDOS sichern?

[stone.dr]

Über die Boardsuche keinen brauchbaren Thread gefunden.

DDOS ist eine üble Sache, wenn das Botnetz entsprechend groß ist und die eigenen Resourcen begrenzt, wird es schwer den Server zusichern.

Meine Frage - welche Lokalen scripte sind empfehlenswert kleinere Attacken abzufangen.
Hat jemand Erfahrung mit diesem script -> klick ?

Bitmuncher sagte mal im irc was von einem externen IDS, oder so Ähnlich - was ist das, wie integriere ich das in einen Vserver und was kostet mich der Spass?

 

[bitmuncher]

Fragmentation-Angriffe, die ja gern bei DoS-Angriffen genutzt werden, lassen sich wunderbar mit Snort und dem frag2-Präprozessor unterbinden und mit weiteren Filtern kann man auch DDoS-Angriffe recht effektiv verhindern. Geht es speziell darum einen Apache zu sichern, empfehle ich mod_evasive und zumeist sind ja die Webserver von den DDoS betroffen.

Der Konfigurationsaufwand für mod_evasive ist minimal, sofern dein Apache DSO-Unterstützung hat bzw. du überhaupt einen Apache einsetzt. Der Aufwand für Snort ist allerdings relativ hoch, bis die Konfiguration wirklich effektiv arbeitet. Snort lohnt sich eher für grosse Umgebungen also ganze Netzwerke (z.B., wenn du mehrere Server hast).

Ansonsten erfährst du zum Thema auch einiges im Linux Advanced Routing & Traffic Control HOWTO. Dort sind dann Techniken via iptables u.ä. erläutert, die auf einem VServer sicher mehr Sinn machen als ein fettes IDS wie Snort. mod_evasive macht aber beim Apache so gut wie immer Sinn.

 

[stone.dr]

Ich liebe Linux

Heute ein paar Stunden mit dem Versuch der Installation von mod_evasive aufgewendet - leider erfolglos.

Meine Bemühungen:

1. Laden von mod_evasive und entpacken in /usr/local/src/mod_evasive

Zeile 45 mit vi editiert und dann versucht mit:

/usr/sbin/apxs2 -cia mod_evasive20.c

mod_evasive zu compilieren.

Fehlermeldung - mir fehlt wohl der Apache-Devel
Also Lade ich mir den - will in installieren - Fehlermeldung.
Mein Apache ist wohl veraltet - er benötigt die Version ......
Das rpm geladen und versucht zu installieren - Fehlermeldung.

Mein Server Suse 10.1 (Linux 2.6.9-023stab046.2-smp)
php 5.1.2-29.25.3

Fehlermeldung


Irgend wie komme ich nicht mehr weiter X(

 

[bitmuncher]

myimg will mir dein Bild nicht anzeigen. Fehlermeldungen per Copy&Paste übernehmen ist sicherlich besser.

 

[sw33tlull4by]

Nagel mich nicht drauf fest aber:

wie es aussieht ist deine Severversion zu alt.
installier dir mal die aktuelle Apache version, bzw die anderen Patches davor auch.

 

[stone.dr]

http://nopaste.com/p/a85yjoJ0y

 

[bitmuncher]

Definitiv ist das Paket nicht kompatibel zum installierten Apache.

 

[Chromatin]

DDOS ist eine üble Sache, wenn das Botnetz entsprechend groß ist und die eigenen Resourcen begrenzt, wird es schwer den Server zusichern.

In solchen Faellen helfen dir auch keine Iptables, IDS oder Apache Module.

mod_evasive ist sehr gut um kleine "unscharfe" Angriffe zu erschweren und automatismen
vor der Tuer zu lassen.
Erfahrungsgemaess zieht bei einem gut durchdachten DDOS Angriff, wenn
der Angreifer die entsprechenden Ressourcen hat, das Ziel immer den kuerzeren.

 

[bitmuncher]

Limits in der /etc/security/limits.conf für den Webserver-User setzen, kann oftmals auch schon das schlimmste für's System verhindern. Der Webserver mag dann zwar etwas überlastet sein, aber das System selbst nicht.

 

[stone.dr]

Die Angriffe haben jetzt wohl aufeghört - möchte mod_evasive aber dennoch installieren.
Kleines Problem - ich bin einfach zu doof (möchte an dieser Stelle noch einmal ironischerweise anmerken, dass ich hier den Rang special member habe).

Da das von mir hochgeladene Paket wohl nicht das richtige war, würde ich gerne wissen wie ich ermitteln kann, welches Paket für meinen Vserver das richtige ist.

Als überzeugter Klickibunti tu ich mir mit solchen Angaben wie:

"Du musst den Kernel auf Level2 extrahieren und den config.bla mit der gcc auf Level 9 patchen - vergiss aber nicht, den Xorgconf in der vcc vorher zu disambelieren, damit dir der ccw den korrekten crontab auswirft - den Du dann, sofern Du ein gepatchtes Apache Level2 Handle integriert hast unter /etc/init.bla integrierst - bei einem nicht gepatchen Apache Level2 Handle musst Du diesen natürlich zu erst patchen, das würden den Rahmen hier aber sprengen, weil das Forum hier nur 180 GB Daten aufnehmen kann"

etwas schwer.

Scheiße ich bin echt überfordet

Zum Thema /etc/security/limits.conf werde ich noch ein wenig google - hab eine Debian Anleitung gefunden (bei Debian ist die Datei auch schön Dokumentiert - bei Suse leider nicht).

Bin weiterhin Dankbar für jede Hilfe.

 

[bitmuncher]

Zur Installation (grober Ablauf):

- Source von http://www.zdziarski.com/projects/mod_evasive/ downloaden und entpacken
- Apache-Devel-Paket installieren
- die Datei mod_evasive20.c aus den Sources bearbeiten und ggf. das '#define MAILER ...' anpassen (wird für die Alerts benötigt; einfach mal sicherstellen, dass der eingetragene Mailer, Default ist /bin/mail, auch im System existiert)
- in den Source-Ordner wechseln und mittels '/usr/bin/apxs2 -i -c mod_evasive20.c' kompilieren und installieren
- in der Apache-Konfiguration die Zeile

LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so

einfügen (ggf. den Pfad anpassen)
- in die Apache-Konfiguration die Konfiguration für mod_evasive einfügen, Bsp:

<IfModule mod_evasive20.c>
    DOSHashTableSize 3097
    DOSPageCount 2
    DOSSiteCount 50
    DOSPageInterval 1
    DOSSiteInterval 1
    DOSBlockingPeriod 10
    DOSEmailNotify you@example.com
</IfModule>

Zur limits.conf: Die funktioniert auf allen Linux-Systemen gleich. Kannst also auch problemlos eine Anleitung von Debian nutzen.

 

[stone.dr]

- Apache-Devel-Paket installieren

Genau das ist das Problem, ich denke wenn ich den Apache Devel in das System bekommen würde, könnte ich auch mod_evasive installieren.

Es sind zig Kontextabhänginge Erweiterungen zu installieren und Apache ist upzudaten.

Mir wird langsam klar, warum die Leute lieber Debian als zu Suse verwenden.

Naja - irgend wann ist man mal an einem Punkt, wo man sich eingestehen muss, das man selber nicht mehr weiter kommt und sich einen Profi zu Rate ziehen.

Einen Linux Profi - weil für so einen Linuxprofi sollte das doch eine Kleinigkeit sein, mal eben Linux paar Sachen installieren (Ihr merkt schon meine Abneigung gegen das OS).

Das Resuktat - mein kompletter Server wurde gekillt und auch Stundenlange Versuche, den Server doch wieder zum laufen zu bringen scheiterten.
Das Resultat - Einspielung eines 2 Wochen alten Updates (Plesk sei Dank).

Naja ich lasse das ganze jetzt - Danke aber dennoch für die angebotene Hilfe.

 

[bitmuncher]

Um einen Profi scheint es sich da ja nicht wirklich gehandelt zu haben. Kannte der die Eigenheiten von Plesk überhaupt? Daran "verschlucken" sich ja die meisten "Ich-wär-so-gern-Profis".

Suche dir doch einfach ein zu deiner Apache-Version passendes Devel-Paket. Auf irgendeinem Mirror sollte sich doch da was finden lassen. Dieses dann per 'rpm -i <paketdatei>' installieren und das sollte es schon gewesen sein. Man sollte sich bei SuSE halt nicht immer nur auf YaST verlassen.