OVH Forum - Einzelnen Beitrag anzeigen - Ddos ----> Was tun?

Computerbastler · 22.06.10, 00:19

Zitat:

Zitat von eddi96

Ich habe mich rein Interessen halber mal im Manager v3 umgesehen und habe die Firewall-Option ebenfalls nicht gefunden (habe ebenfalls einen Isgenug bzw. kimsufi). Sollte ich Eine benötigen, würde ich ohnehin bei OVH anrufen... Support ist schließlich erste Sahne und nicht vergleichbar mit Strato (*Kotz*).

Des weiteren kann ich Dir, blupp1, den Tipp von Computerbastler ans Herz legen. ModSecurity2 und mod_evasive20 helfen gegen kleinere DoS-Attacken.
Hier ist schön erklärt, wie man bei der Einrichtung vorgeht: http://huschi.net/14_182_de.html

Allerdings möchte ich eine Kleinigkeit von Computerbastler im Beitrag korrigieren:
mod_evasive schützt gut gegen kleinere DoS-Attacken, jedoch nicht gegen große DDos-Attacken.
Das D steht für "Distributed", also verteilt, das heißt, dass solch eine Attacke von mehreren Rechnern gleichzeitig ausgeht.
In richtig krassen Fällen ist eine DDoS-Attacke auf mehrere Tausend Server verteilt, welche alle gleichzeitig in kürzesten Abständen HTTP-Anfragen auf einen Server abfeuern, wobei in solch einem Fall nur eine große Hardware-Firewall hilft... mod_evasive ist leider auch hier machtlos...

Ich hoffe ich konnte helfen.

MfG

Das auch recht hilf reich : http://deflate.medialayer.com/

und SYN flood kanst so eindemmen :

iptables -N synflood
iptables -A synflood -m limit --limit 15/second --limit-burst 80 -j RETURN
iptables -A synflood -j REJECT
iptables -A INPUT -p tcp --syn -j synflood

------------------------------------------------------------------------

Das kann dir auch was nutzen muste aber richtig anpassen !!!!

# Tabelle flushen
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -X
sudo iptables -t nat -X
sudo iptables -t mangle -X

# Default-Policies setzen
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -t nat -P PREROUTING ACCEPT
sudo iptables -t nat -P POSTROUTING ACCEPT
sudo iptables -t nat -P OUTPUT ACCEPT
sudo iptables -t mangle -P PREROUTING ACCEPT
sudo iptables -t mangle -P OUTPUT ACCEPT
sudo iptables -t mangle -P FORWARD ACCEPT
sudo iptables -t mangle -P INPUT ACCEPT
sudo iptables -t mangle -P POSTROUTING ACCEPT

# Loopback-Netzwerk-Kommunikation und LAN zulassen
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

# Setzt die MMS (Maximum Segment Size) auf weniger 40Bytes für SYN,RST SYN Packete
sudo iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

#TCP-SYN-Pakete ohne Status NEW droppen
sudo iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Korrupte Pakete zurückweisen
sudo iptables -A INPUT -m state --state INVALID -j DROP
sudo iptables -A OUTPUT -m state --state INVALID -j DROP

# falsche gesendete pakete
sudo iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP

#Limiting the incoming icmp ping request:
sudo iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 1 -j ACCEPT

# ping
sudo iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
#sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #
sudo iptables -A INPUT -p icmp -j DROP
sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
#sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT #
sudo iptables -A OUTPUT -p icmp -j DROP

#ping of death
sudo iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#connection tracking/passive connection
sudo iptables -A OUTPUT -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#ssh brutefoce schutz
sudo iptables -A INPUT -p tcp --sport $sshport -m state --state NEW -m recent --set --name SSH -j ACCEPT
sudo iptables -A INPUT -p tcp --sport $sshport -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
sudo iptables -A INPUT -p tcp --sport $sshport -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

#synflood
sudo iptables -A INPUT -m state --state NEW -p tcp -m tcp --syn -m recent --name synflood --set
sudo iptables -A INPUT -m state --state NEW -p tcp -m tcp --syn -m recent --name synflood --update --seconds 1 --hitcount 60 -j DROP

# portscanner
sudo iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP: " --log-level 6
sudo iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
sudo iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
sudo iptables -A FORWARD -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT
sudo iptables -A FORWARD -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT
sudo iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
sudo iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
sudo iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
sudo iptables -A INPUT -m recent --name portscan --remove
sudo iptables -A FORWARD -m recent --name portscan --remove

# Schutz vor IP-Spoofing aktivieren
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

#maximal 20 verbindungen in einer minute erlauben
#sudo iptables -A INPUT -j LOG --log-prefix "ACCESS LIMIT: " --log-level 6 -m limit --limit 20/m
#sudo iptables -A INPUT -m limit --limit 20/m -j DROP

# max. 3 neue Verbindungen in 5 Sekunden pro Quelladresse erlauben
sudo iptables -A INPUT -m state --state NEW -m recent --set
sudo iptables -A INPUT -m state --state NEW -m recent --update --seconds 5 --hitcount 3 -j DROP

# Max. 500/Sekunde (5/Jiffie) senden
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit

# Speicherallozierung und -timing für IP-De/-Fragmentierung
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time

# Maximal 3 Antworten auf ein TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1

# TCP-Pakete maximal 15x wiederholen
echo 15 > /proc/sys/net/ipv4/tcp_retries2

# ICMP Dead Error Messages protection.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# TCP-FIN-Timeout zum Schutz vor DoS-Attacken setzen
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

# Required to enable IPv4 forwarding.
echo "1" > /proc/sys/net/ipv4/ip_forward

# This enables dynamic address hacking.
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# This enables SYN flood protection.
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# Ping flood protection
echo 1 > /proc/sys/net/ipv4/icmp_ratelimit

# This enables source validation by reversed path according to RFC1812.
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# This option allows a subnet to be firewalled with a single IP address.
echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp

# This kernel parameter instructs the kernel to ignore all ICMP
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# This option can be used to accept or refuse source routed
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# This option can disable ICMP redirects. ICMP redirects
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Reverse-Path-Filter
echo "2" > /proc/sys/net/ipv4/conf/all/rp_filter

# Proxy-ARP ausschalten
echo "0" > /proc/sys/net/ipv4/conf/all/proxy_arp

# This option accepts only from gateways in the default gateways list.
echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

# This option logs packets from impossible addresses.
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

# BOOTP-Relaying ausschalten
echo 0 > /proc/sys/net/ipv4/conf/all/bootp_relay