DDoS

[AMDFX]

Hey,

2 Server von mir stehen sehr oft unter DDoS Attacken, vorläufig aus Kroatien und Bulgarien.
Da es im Ausland ist, sehe ich rechtlich eher wenig Chance, dass da irgendwas passiert. Zumal ich erst recht wenig von der Gesetzeslage in Osteuropa halte.. da macht doch eh jeder was er will

Nur was würdet ihr empfehlen? Ich meine Teilweise kommt da 300Mbit/s an Input rein o.o ...
DDoS vllt. zurück? Es geht nun schon seit Wochen so und irgendwann nervt es einfach extrem!

 

[gamecard]

Kannst du die nicht Blocken ?
SSL-Port schließen ?
mod_evasive aktivieren

http://www.topwebhosts.org/tools/apf-bfd-ddos-rootkit.php

Oder Kroatien und Bulgarien Ausschließen .
Du hast jede menge Möglichkeiten.

 

[lodex]

Falls die Server unter Linux laufen und es einen bestimmten Dienst betrifft (wie z.B. SSH oder SMTP), gibt es ein nettes Paket namens fail2ban. Mit dem lassen sich Regeln definieren, mit denen z.B. nach x fehlgeschlagenen Authentifizierungsversuchen die betreffende IP Adresse für x Minuten geblockt wird.

Vielleicht ist das was für diesen Fall.

 

[dup]

2 Server von mir stehen sehr oft unter DDoS Attacken, vorläufig aus Kroatien und Bulgarien.

Es geht nun schon seit Wochen so und irgendwann nervt es einfach extrem!

Was bietest du denn an, dass deine Server seit mehreren Wochen angegriffen werden?

 

[Daaron]

Hast du osteuropäische Kunden? Wenn nicht, dann sperr den ganzen Raum kollektiv über iptables aus....

 

[mensch183]

Was _genau_ kommt denn an und wie reagieren deine Rechner darauf?

Üblicherweise ist man nicht Ziel eines DDoS-Angriffs sondern lediglich Helfer. Ein guter Helfer zeichnet sich dadurch aus, den reinkommenden Traffic mit _noch_ _mehr_ Traffic zu beantworten. Kannst du ausschließen, dass dies bei dir der Fall ist? Anderenfalls wärst du nicht interessant genug, um wochenlang Traffic zu bekommen.

Deine "Absender" in Kroatien und Bulgarien sind bestimmt nicht die tatsächlichen Absender.

 

[AMDFX]

Dort laufen einige Sachen, geht bei TS los, Gameserver, websites...

Die IP's bannen geht zwar und die Anwendungen wären dann nicht betroffen aber trotzdem liegt dann ja noch der Traffic auf der Leitung an und das ärgert mich einfach... ist halt unnötig.

 

[dup]

Wenn der Traffic immer von denselben "Absendern" kommt, warum bittest du nicht deinen Provider die Adressen zu blocken? Wobei das dann eher ein DoS, als ein DDoS wäre.

 

[chrigu]

ich würde auch beim provider eine angriffs-meldung absetzen....

bist du sicher, dass auf deinen server keine malware installiert wurde (ohne dein wissen)?
eigene server sind da sehr angreifbar, wenn man kleinigkeiten ausser acht lässt. besonders game- oder ts-homeserver werden gerne als "verteiler" missbraucht.