Maßnahmen gegen anhaltende DDos flutung

[Azaxs]

Hi, mein Webserver (Apache) wird desöfteren ge-DDost. Ich habe die apache mod evasive geladen und fail2ban ist auch installiert. Zusätzlich habe ich noch eine Security Appliance und brauche daher eigentlich kein iptables für mein Jessie. Nun der DDos scheint nicht wirklich was zu bewirken aber die verbindungsflutung nervt halt.
Ich könnte eine Drop regel für jede IP bzw. Netzbereich setzen aber das ist mühsam und es Attackieren immer wieder andere verschiedene IPs.
Wie stelle ich die evasive mod optimal ein? und hat vll. jemand sonst noch irgendwelche tipps was ich mit meinem Jessie an Security auffahren könnt?

[heisenberg]

Mit mod_evasive habe ich jetzt noch nix gemacht.

Du könntest allerdings auch iptables-regeln mit Target LOG auf die DDOS-Zielports einrichten und
das dann via fail2ban bei Überlast blocken(/var/log/kern.log).

[wanne]

Ich nutze iptables und hashlimit als unviersalmöglichkeit gegen DOS.

Also irgend wie sowas:

Code: Alles auswählen

-A INPUT -p tcp --dport 22 -m tcp --syn -m hashlimit --hashlimit-above 10/min --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-name sshblock -j REJECT

Wenn du komplizierte Seiten hast, musst du ggf. den Burst etwas hochstellen und ggf. ist sowas wie das etwas besser, weil DDOS gerne mal viele Clienten aus dem gleichen Netz hast:

Code: Alles auswählen

--hashlimit-srcmask 24

Wenn die DOS ohne neue Verbindungen laufen musst du ggf. auf Pakete statt nur auf syns gehen.

[peppie]

Hi, mein Webserver (Apache) wird desöfteren ge-DDost. Ich habe die apache mod evasive geladen und fail2ban ist auch installiert. Zusätzlich habe ich noch eine Security Appliance und brauche daher eigentlich kein iptables für mein Jessie. Nun der DDos scheint nicht wirklich was zu bewirken aber die verbindungsflutung nervt halt.
Ich könnte eine Drop regel für jede IP bzw. Netzbereich setzen aber das ist mühsam und es Attackieren immer wieder andere verschiedene IPs.
Wie stelle ich die evasive mod optimal ein? und hat vll. jemand sonst noch irgendwelche tipps was ich mit meinem Jessie an Security auffahren könnt?

Offenbar hast du Fail2ban nicht richtig konfiguriert. Konfiguriere es so, dass Fail2ban die IPs auf Lebenszeit sperrt.

[heisenberg]

...fail2ban ist auch installiert...

Die Installation von fail2ban alleine bewirkt gar nix. Man muss sich da individuell selbst die Regeln erarbeiten und vor allem auch testen!

Konfiguriere es so, dass Fail2ban die IPs auf Lebenszeit sperrt.

Es gibt auch immer wieder Menschen, die sich Server und Netze mieten, kurz durch die Gegen DOSsen und dann aufgrund dessen sofort gesperrt/gekündigt werden oder selbst gekündigt werden und dann weiter ziehen. Wenn man da alles sofort auf Lebenszeit sperrt, da kannst Du ja auch gleich den Stecker ziehen.

[tomi89]

Ich würde einen Reverse-Proxy auf einem Vserver einrichten, dann kann sich der Vserveranbieter damit herumschlagen.

Die haben bessere Leitungen, Router und Anwälte.


An Sonsten kann man das ganze etwas abfedern durch möglichst viel Arbeitsspeicher und eine optimierte /etc/sysctl.conf Datei:

Code: Alles auswählen

net.ipv4.tcp_syncookies=1
net.ipv4.tcp_abort_on_overflow=1
net.ipv4.tcp_fin_timeout=30
net.ipv4.tcp_keepalive_time=1800
net.ipv4.tcp_window_scaling=0
net.ipv4.tcp_sack=0
net.ipv4.tcp_fack=0
net.ipv4.tcp_dsack=0
net.ipv4.tcp_retries1=3
net.ipv4.tcp_retries2=15
net.ipv4.tcp_syn_retries=3
net.ipv4.tcp_synack_retries=3
net.ipv6.icmp.ratelimit=500
net.ipv4.icmp_ratelimit=500
net.ipv4.tcp_max_syn_backlog=8192
net.ipv4.netfilter.ip_conntrack_max=65536
net.ipv4.tcp_fastopen=3

[Faber38]

in der /etc/fail2ban/jail.conf

bantime = 86400 # 1Tag bannen
findtime = 86400 # innerhalb eines Tages
maxretry = 3 # 3 Fehlversuche


Nun wird jeder 4te Fehlversuch nit einer 24Std Bannung quittiert
da die bots ja ebenso Ihre ip alle 24std ändern...
werden die voraussichtlich am nächsten Tag mit neuer Ip versuchen..und wieder gebannt werden