Hallo Leute,
ich frage mich gerade wie ich IPs am besten blocke.
Da ich größere Blocklisten aus dem Inet nutze (Bots, Spy etc.) möchte ich nicht über Iptables gehen um keine Verzögerungen zu bekommen. Ausserdem denke ich das der Kernel z.B. unter voller Dos/DDos-Last von nem Botnet durch solche Spielereien nur anfälliger und instabiler wird.
Ich habe tcpwrappers installiert und könnte für abgehende Verbindungen alles über die /etc/hosts an Localhost schicken. Aber sollte man da IPs eintragen? Bisher habe ich da immer nur Domains gesehen, auch mit google finde ich da nix mit IPs. Aussserdem wird die wohl nicht 100%ig immer und von allen Apps genutzt. Gibt es da eine Alternative? Mit Bordmitteln?
Dann währe da noch mit tcpwrappers die /etc/hosts.allow und hosts.deny. Aber nur für ankommende Verbindungen?
Gibt es noch weitere Mittel an Board?
[gelöst] IPs am besten blocken?
-
debianator
- Beiträge: 92
- Registriert: 24.11.2011 16:30:00
[gelöst] IPs am besten blocken?
Zuletzt geändert von debianator am 11.01.2012 01:24:47, insgesamt 1-mal geändert.
Re: IPs am besten blocken?
Wie die /etc/hosts aufgebaut zu sein hat, steht in der Manpage von hosts(5).
IPs kannst du mit der Zeile "# ifconfig eth0 down" sehr effizient blocken (das ist ein WITZ!). Stattdessen solltest du dir Gedanken darüber machen, wie dein Netz aussieht und mögliche Angriffszenarien aussehen könnten.
Ein einzelner vServer ist mit einem DDoS ohnehin überfordert, egal, ob er per Fail2ban Angreifer ausfiltert (dann ist er nur damit beschäftigt) oder sie durchlässt (dann geht der Serverdienst in die Knie). An der Stabilität des Kernels sollte das nix ändern, er hat bloß viel zu tun. Wirklich Sinn macht so ein Setup nur mit einer dedizierten Firewall vor den Maschinen… und dort wäre iptables genau die richtige Stelle.
Meine Erfahrung hier im Forum, was "solche Spielereien" betrifft: Sie stören hauptsächlich den legitimen Verkehr, werden nach Gießkannenmanier eingesetzt und nicht dokumentiert. Damit hat man viel mehr Probleme als einer Standardkonfiguration. Bzw. man hat wirklich Probleme, wenn man regelmäßig geDDoSt wird.
Gruß Cae
IPs kannst du mit der Zeile "# ifconfig eth0 down" sehr effizient blocken (das ist ein WITZ!). Stattdessen solltest du dir Gedanken darüber machen, wie dein Netz aussieht und mögliche Angriffszenarien aussehen könnten.
Ein einzelner vServer ist mit einem DDoS ohnehin überfordert, egal, ob er per Fail2ban Angreifer ausfiltert (dann ist er nur damit beschäftigt) oder sie durchlässt (dann geht der Serverdienst in die Knie). An der Stabilität des Kernels sollte das nix ändern, er hat bloß viel zu tun. Wirklich Sinn macht so ein Setup nur mit einer dedizierten Firewall vor den Maschinen… und dort wäre iptables genau die richtige Stelle.
Meine Erfahrung hier im Forum, was "solche Spielereien" betrifft: Sie stören hauptsächlich den legitimen Verkehr, werden nach Gießkannenmanier eingesetzt und nicht dokumentiert. Damit hat man viel mehr Probleme als einer Standardkonfiguration. Bzw. man hat wirklich Probleme, wenn man regelmäßig geDDoSt wird.
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: IPs am besten blocken?
dich mit blacklists gegen DDos attacken zu schuetzen ist relativ sinnlos.Ausserdem denke ich das der Kernel z.B. unter voller Dos/DDos-Last von nem Botnet durch solche Spielereien nur anfälliger und instabiler wird.
du kannst mit iptables "counter" setzen und so ganz generell verhindern dass die gleiche IP mit hunderten von anfragen durchkommt. iptables ist _auf jeden fall_ schneller als andere loesungen.
gegen eine gezielte DDOS attacke aus einem grossem botnetz hast du mit einem normalen server ( ohne failover etc ) ohnehin kaum eine chance ( also du kannst den server vieleicht aufrecht erhalten, aber deine services sind down ). nicht ohne grund sind selbst seiten von banken letztes jahr unter den angriffen von anonymous zusammengebrochen.
Re: IPs am besten blocken?
Weiß jemand, wie es um die Performanz von /etc/hosts.deny steht?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: IPs am besten blocken?
ach ja, wenn du wirklich mit _vielen_ IPs in iptables arbeitest waere das hier noch interessant:
http://ipset.netfilter.org/
http://ipset.netfilter.org/
-
debianator
- Beiträge: 92
- Registriert: 24.11.2011 16:30:00
Re: IPs am besten blocken?
Nagut dann doch besser mit Iptables und das ganze schön in einer Textdatei dokumentiert.
In Ipset werd ich mich auch mal einarbeiten.
Vielen Dank für die Hilfe.
In Ipset werd ich mich auch mal einarbeiten.
Vielen Dank für die Hilfe.
Re: [gelöst] IPs am besten blocken?
Die Frage wäre ja auch noch welcher Port betroffen ist. Webserver mit Port 80 wäre schon ganz ärgerlich und wohl wirklich nur durch Filter zu lösen. Wenn es aber z.B. um SSH oder andere Dienste geht könntest du vielleicht einfach nur den zugehörigen Port ändern. Dann wäre schnell Ruhe.