Gegen Dos/Syn Flood schützen?

#1 Guten Abend,

ich werde seit heute dermaßend geflooded von jemanden.

Das stört dermaßend mein Unternehmen, und die homepage ladet sehr sehr langsam.

Ich habe apache auf meinen Windows Root-Server installiert.

die http.exe hat eine Cpu auslastung zwischen 20-80 %!

Ich habe mal denn Port 80 geschlossen und dann war sie 0 %.

Da benutz jemand anscheinend einen syn flood der immer zu floodet.

Hat jemand ne lösung dazu? Habe mal gehört kann Syn cookies aktivieren.

#2 Mit Cookies hat das nichts zu tun. Du könntest erstmal mit der Firewall die angreifenden IP-Adresse sperren. Leider kenne ich mich mit DDoS-Angriffen nicht gut genug aus, um da wertvolle Tipps zu geben. Wobei es mir für ein Linux-System deutlich leichter fallen würde als für einen Windows-Server... warum betreibt man auch einen Webserver auf nem Windows-System?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 etwas älter aber das beshcäftigt sich genau damit udn den gegenmaßnahmen. Ich hoffe das verlinken ist erlaubt.

http://www.networkcomputing.de/netzwerk/sicherheit/artikel-1276.html
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden

#4 Ich hab da mla nochwas gefunden:

Bei wenigen Angreifern ist diese Methode sehr zuverlässig, bei vielen sehr mühsam.

Als erstes sollte man seine Log-Files auswerten um die Angreifer-IPs ausfindig zu machen.

Die Angreifer-IPs erkennt man daran, dass sie mehrere Requests, in der Sekunde, auf die Domain starten. Nicht selten über zehn Requests in der Sekunde auf die eine und die selbe Seite.

Hat man die IPs entdeckt, dann sollte man diese mittels .htaccess aussperren. .htaccess deswegen, weil das Editieren recht schnell geht und das Sperren wirkungsvoll ist.

In die .htaccess sollten dann folgende Zeilen eingetragen werden:

order allow,deny
deny from xxx.xxx.xxx.xxx
deny from xxx.xxx.xxx.xxx
allow from all

Das "xxx.xxx.xxx.xxx" steht hierbei für die IPs, die geblockt werden sollen. Die Liste kann endlos fortgeführt werden.

An dieser Stelle sieht man auch schon den Nachteil. Bei einem großen Angriff müssen die vielen IPs rausgesucht und eingetragen werden, was sehr aufwendig ist.

Hinweis:
Um nicht aus Versehen einen Google-Bot auszuschließen empfiehlt es sich die IPs vorher zu prüfen, wo sie herkommen.

Das geht unter Windows recht einfach. Man startet die Eingabeaufforderung und gibt folgende Zeile in die Konsole ein:
tracert xxx.xxx.xxx.xxx

tracert versucht dann eine Rückverfolgung der IP durchzuführen. Die erste Zeile reicht meistens schon aus um zu sehen, woher die IP kommt. Der Google-Bot sollte nicht übersehen werden können, da die IP entsprechend aufgelöst wird.

Diese "Abwehr-Maßnahme" dient lediglich der Abwehr in einer Not-Situation. Sie ist kein Heilmittel, aber kann unter Umständen den Betrieb am Laufen halten.

Nachdem die Attacke überstanden ist, sollten die IPs wieder ausgetragen werden, da die Wahrscheinlichkeit besteht, auch wenn sie gering ist, dass ein normaler User eine dieser IPs zugewiesen bekommt und dieser sollte nicht grundlos geblockt werden.

Grundsätzlich gilt, Vorsorge ist der beste Schutz. Wer also mit Angriffen rechnet, sollte Vorsorgemaßnahmen treffen, die am besten mit dem Provider abgesprochen werden sollten.

Quelle
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden

#5

Zitat

N1con postete
Die Angreifer-IPs erkennt man daran, dass sie mehrere Requests, in der Sekunde, auf die Domain starten. Nicht selten über zehn Requests in der Sekunde auf die eine und die selbe Seite.

Es gibt offensichtlich auch Software die diese IPs automatisch für eine gewisse Zeit sperren kann.

Ich bin Mitglied in Foren, die ständig geddost werden und wo nur eine automatische Abwehr ein einigermaßen zufriedenstellendes Ergebnis liefern kann. Nun nutze ich VDSL, eine schnelle Verbindung, und schwups wurde ich als Ddoser erkannt und gesperrt.
Meine Lösung: ein Browser nur für diese Foren, mit Netlimiter die Verbindungsgeschwindigkeit reduziert, und nun klappt es auch mit diesen Foren.
__________
darknight, die wo anders Heike ist.

#6 Ah... ich hab jetzt auch das mit den Cookies kapiert... also, um eine SYN-Flood-Attacke abzuwehren, kann man auf dem Server die Methode SYN-Cookies aktivieren, was jedoch nur unter Linux geht, weil Windows das nicht implementiert hat.

Die Lösung mit der htaccess bringt vermutlich gar nichts, mein technisches Verständnis sagt mir, dass es sich um zwei verschiedene Ebenen handelt (aber ich kann mich auch täuschen) - zumindest, wenn es sich um einen SYN-Flood handelt und nicht um ein DDoS.

Letztlich ist nur der Einsatz einer intelligente Firewall das beste, was man machen kann. Allerdings ist dazu auch wieder ein Linux-System notwendig - zumindest, wenn man nach einer kostengünstigen Firewall sucht. IPTables (schon im Kernel enthalten) sollte übrigens komplett ausreichen, wenn man noch das eine oder andere Zusatztool implementiert.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 A) Benutze kein Windows als Server
B) Benutze kein Apache (wenn möglich).

Sollte schon dermaßen Abhilfe schaffen,
du dem gibt es ja äußerst intelligente Paketfilter wie die PF von BSD.
Dies sollte erstmal ausreichen als maßnahmen bevor man zu einer sehr teuren HW Firewall greift (kommt natürlich auch auf die größe des Unernehmens an).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode