DDoS Attacks (Ubuntu Server)

[JT1]

Guten Abend,

seit kurzem besitze ich einen Server, auf dem mehrere Teile einer Gaming-Community laufen, sprich Webserver, TeamSpeak, IRC Server, Gaming Server, ... leider wird dieser Server hin und wieder Ziel von kleineren DDoS Attacken.

Es ist ja möglich den Server zu 'null-routen', sprich keinen Traffic mehr ein- und ausgehen zu lassen, wie geht das genau unter Ubuntu Server? Im Control Panel meines Providers habe ich leider nicht die Möglichkeit den Server zu null-routen, wie dass ja sonst meistens der Fall ist. Wenn ich den Server direkt über die Konsole null-route, bricht doch auch die Verbindung von PuTTy zum Server ab, oder? Ergo ich könnte die null-route nicht mehr aufheben?!


Hoffe ihr könnt mir helfen!
LG,
JP1

 

[sacklaus1]

hallo,

natürlich kannst du einzelne ip's per route-eintrag filtern. siehe hier. man sollte aber eben vorsichtig sein, dass man sich nicht selbst aussperrt durch den eintrag einer falschen ip, ganzer subnetze etc.
solange die attacken von einer einzigen IP kommen, kann man das durchaus per routing-eintrag machen. persönlich empfehle ich aber eher den einsatz von denyhosts oder fail2ban, da diese dynamisch ip's sperren können.

VG

 

[Thermi]

Du könntest mit iptables einfach jeglichen Traffic auf den entsprechenden Ports droppen.

 

[JT1]

Würde es evt. helfen die maximale Größe der eingehenden Pakete weiter runter zu schrauben?

 

[Thermi]

nein, denn dann haut dein Rechner für jedes zu große Paket eine Fehlermeldung verschicken, glaube ich.

 

[sacklaus1]

nicht genutzte ports sollte man grundsätzlich durch die firewall sperren
fail2ban setzt iptables-rules aufgrund von einträgen in den logfiles. etwas aufwändiger, aber noch besser steuerbar wäre der einsatz von snort, da hier der netzwerkverkehr mitgesnifft wird und man nicht auf anwendungs-logs angewiesen ist.
änderungen an den ethernet-einstellungen würde auch alle gewollten connections betreffen - hier sollte man wissen was man macht.

 

[mensch183]

seit kurzem besitze ich einen Server, auf dem mehrere Teile einer Gaming-Community laufen, sprich Webserver, TeamSpeak, IRC Server, Gaming Server, ... leider wird dieser Server hin und wieder Ziel von kleineren DDoS Attacken.
...
Hoffe ihr könnt mir helfen!

Mir scheint du hast gar kein Problem. Sonst würdest du die "Attacken" wahrscheinlich näher beschreiben und quantifizieren. "hin und wieder Ziel von kleineren DDoS Attacken" ist Rumgeschwurbel. Welcher deiner Dienste (Dienst = Service = das S in DDoS) wird denn attackiert und lahmgelegt?

Nicht in Aktionismus verfallen, ohne erstmal zu klären, was überhaupt los ist. Oder ob überhaupt was los ist.

 

[Blutschlumpf]

Kommt halt drauf an was da ankommt.
Wenn du mit ddos sowas wie floodings (also Unmengen sinnloser Pakete) meinst, dann hast du vermutlich schon verloren wenn der Server dabei einbricht.
Ansonsten ist imho iptables irgendwelchen Routing-bastel-Aktionen vorzuziehen.
Wenn du per iptables in der INPUT-Chain blockst, passiert das Paket nur den Kernel, wenn du ne Nullroute auf die Absenderadresse setzt, wird erst die Antwort geblockt nachdem der TCP-Stack durchlaufen und das verarbeitende Programm involviert wurde. Ersteres ist ein vielfaches performanter.

Wenn der Angriff wirklich auf die Services geht, bitte Info was genau gemacht wird.
Wenn jemand alle 2 Sekunden ne Seite aufruft, die ne hohe Last durch SQL macht, behebt man das anders als ne Atacke durch Tausende Verbindungen auf den Apache.