PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Linux VPS gegen DDoS sichern



DrSheld0n
30.10.2011, 16:08
Guten Tag Com,

ich möchte mich darüber informieren, was man gegen DDoS auf einem Linux VPS machen kann und bis wie viel PPS man einen absichern kann.

MFG

Ogen
30.10.2011, 16:10
Gegen DDos kannst du die IPTables richtig einstellen.
Sonst gibts noch Hardware, aber die Kosten gehen richtig hoch hinaus.

DrSheld0n
30.10.2011, 16:17
Gibt es irgendwo eine Anleitung/Scripts für IPTables?
Gibt es noch möglichkeiten gegen SYN-DDoS zu sichern? Meine mal irgendwo was über SYN-Cookies gelesen zu haben

H4x0r007
30.10.2011, 16:18
Gegen stärkeren DDoS kann man sich nur mit Hardware-Firewalls und SYN-Proxys schützen.
Bei schwächerem DDoS genügt es, die angreifenden IPs per iptables zu blocken, bzw. iptables-Regeln zu erstellen, die alle IPs bannen, die innerhalb eines bestimmten Zeitintervalls zu viele Pakete senden: Schau dir hierzu mal das iptables-Modul recent an.

N4dja
30.10.2011, 16:23
Asmo von Back2Hack hatte mal meinen LinuxVPS abgesichert. Er bietet für Einrichten und Absichern von Linux Servern einen Service auf B2H an. Hier einmal paar Infos was er genau anbietet. Kanns ihn ja auf B2H kontaktieren.



- Einrichten von Linux Umgebungen / Server Diensten.
- Installation / Optimierung vom Webserver / Datenbanken Server
- Installation / Absicherung von IRC / Jabber / Java Chat's
- Installation / Absicherung von eMail / ftp / File - Servern
- Installation / Absicherung /Optimierung von PHP +
- Installation / Absicherung von CMS Systemen (bsp Wordpress u.Co!)
- Installation / Absicherung von administrativen Webpanels (SysCP / Webmin / IspCP / Plesk etc )
- Installation / Absicherung von Game Servern + TeamSpeack 2/3
- Einrichtung eines Packet Filters + DDoS Protections soweit es möglich ist!
- Loard Balancing
- VPN / Socks Installation
- u.v.m auf Anfrage

Referenzen:
- Codesoft (ehm. Hoster / Mod) - Offline
- bl4cktressort (ehm. Hoster / TechAdmin) - NP Board Offline
- Alpha-AccZ (Tech.Admin / Hoster ) - Offline
- User Aufträge hier im Board

~Acsiii

DrSheld0n
30.10.2011, 16:25
Danke für die Tips :) Wie bereits weiter oben erwähnt, gibt es irgendwo Anleitungen oder ähnlichesß

Wie sieht es mit der Webserver Version aus? Apache, lightspeed usw.

Iaa_1
30.10.2011, 16:27
Am besten nimmst du Nginx, anstatt Apache. Das frisst am wenigsten Ressourcen und ist top! :)

CurRy
30.10.2011, 16:29
Hey,
kann Asmo auch nur empfehlen, allerdings hat er sehr oft wenig Zeit.

DrSheld0n
30.10.2011, 16:39
Bin leider noch nicht auf B2H freigeschlatet. Vielleicht kann mal jemand dort einen zuständigen Teamlern anschreiben oder mir die ICQ von Asmo übermitteln.

Danke :) <3 Das Board gefällt mir bisher sehr sehr gut. Keine dummen/frechen Antworten, wie auf anderen Boards :)

J0hn.X3r
30.10.2011, 16:39
Wie sieht es mit der Webserver Version aus? Apache, lightspeed usw.

"lightspeed" gibt es gar nicht, wenn du Litespeed meinst, dann ist dir hoffentlich klar, dass dort dann Lizenzgebuehren dazu kommen - nebenbei kommt Litespeed auch mit DDoS Attacken vergleichsweise gut zu recht.

Wuerde dir normal auch zu nginx (oder lighttpd) raten, weil Apache zwar stabil ist, aber einiges an Ressourcen frisst, vorallem bei einer DDoS Attacke geht der RAM bis ins unermaessliche (vorallem wenn es "falsch" konfiguriert wurde).

Ansonsten wurde das wichtigste gesagt, von irgendwelchen Anti-DDoS Gateways halte ich nicht viel, allgemein sind solche Scripts nicht zu empfehlen.

uni.x
30.10.2011, 16:42
DrSheld0n (http://free-hack.com/member.php?u=75595),

Für die Absicherung kann ich dir folgendes empfehlen:


SSH Port: umändern.
ListenAddress: umändern.
ListenPort: umändern.
PermitRootLogin: auf no setzen.
PermitEmptyPasswords: auf no setzen.
Protocoll Version: 1 Deaktivieren und 2 setzen.
Und noch die User Gruppen + Rechte richtig einstellen.


Für die Absicherung gegen DDoS:


Hardware Firewall zulegen (evntl. sogar bei deinem Anbieter)
Angepasstes DDoS Script für die zulässigen Connections auf deinen Server.
Script, welches die Tables noch genauer anpasst.

Ogen
30.10.2011, 16:48
Am besten nimmst du Nginx, anstatt Apache. Das frisst am wenigsten Ressourcen und ist top! :)

Apache und Nginx als Reverse Proxy, dann ist es top!

loewenherz
30.10.2011, 16:49
Gibt es irgendwo eine Anleitung/Scripts für IPTables?
Gibt es noch möglichkeiten gegen SYN-DDoS zu sichern? Meine mal irgendwo was über SYN-Cookies gelesen zu haben

Ja gibt es wie Sand am mehr, hilft aber, wie meine Vorredner schon sagten, nur wenn der DDoS die Leitung nicht bis Oben hin vollpump - weil voll ist voll. Das Forum ist zwar klein und hat gefühlte 2 Benutzer aber da findest du schon mal den Einstieg in die Materie IPTables (http://www.anti-hack.net/viewforum.php?f=9)

Bei den allermeisten professionellen Virtualisierungslösungen kann man nicht eben mal so am Kernel rumspiele(shared Kernel) und somit i.d.R. auch keine Syn-Cookies aktivieren.
Das kannst du ganze einfach mal ausprobieren indem du versuchst die Syn-Cookies mal temporär zu aktiviere


echo 1 > /proc/sys/net/ipv4/tcp_syncookiesHier noch ein paar deflate Scripts
http://www.Anti-Hack.net/scripts/synd
http://www.anti-hack.net/scripts/synblock/

Loco
30.10.2011, 16:50
Am besten du gehst mal auf anti-hack.net - dort findest du eigentlich alles was du wissen musst.
Frag beim Hoster einfach mal nach ob SYN-Cookies auf den VPS Nodes aktiv sind, bei Epiohost ist dies der Fall.


Apache und Nginx als Reverse Proxy, dann ist es top!
<- was würde ihm das bringen? Dies ist nur sinnvoll, sofern er apache Module nutzen möchte z.B mod_security.

nginx ist bei DDoS nur sinnvoll, sofern man es dementsprechend konfiguriert.
Solltest du dich für nginx entscheiden, wird dir dieses Modul schon mal weiterhelfen:
http://wiki.nginx.org/HttpLimitReqModule

N4dja
30.10.2011, 16:51
Vielleicht hilft die Firewall namens DDoS Deflate für Linux VPS.

http://www.inetbase.com/scripts/ddos/install.sh

Müsstest du dann über die wget herunterladen und installieren....

~Acsiii

Loco
30.10.2011, 17:47
Vielleicht hilft die Firewall namens DDoS Deflate für Linux VPS.

http://www.inetbase.com/scripts/ddos/install.sh

Müsstest du dann über die wget herunterladen und installieren....

~Acsiii

Das ist keine Firewall.


(D)DoS Deflate is a lightweight bash shell script designed to assist in the process of blocking a denial of service attack. It utilizes the command below to create a list of IP addresses connected to the server, along with their total number of connections. It is one of the simplest and easiest to install solutions at the software level.

Hier findest du noch eine genaue Installationsanleitung:
http://deflate.medialayer.com/

DrSheld0n
31.10.2011, 07:51
Vielen Dank für die vielen Antworten. Falls jemand noch was hilfreiches weiß, soll er es hier posten :)

4C1D
31.10.2011, 08:15
Schaumal hier vorbei: www.root-sicher.de da findest du auch was ;)

energy16.biz
31.10.2011, 10:28
Kleines Botnet <100 Bots
Litespeed o. Nginx Webserver installieren

Mittleres Botnet: 100 - 50.000 Bots
Sysctl Tuning
Iptables Regeln
Nginx Webserver mit so wenig Modulen wie möglich kompilieren.

Großes Botnet
Hardware Firewall
Litespeed o. Nginx Webserver


Wenn du tatsächlich genauere Daten brauchst melde dich.

Gruß energy16

Loco
31.10.2011, 10:53
Kleines Botnet <100 Bots
Litespeed o. Nginx Webserver installieren

Mittleres Botnet: 100 - 50.000 Bots
Sysctl Tuning
Iptables Regeln
Nginx Webserver mit so wenig Modulen wie möglich kompilieren.

Großes Botnet
Hardware Firewall
Litespeed o. Nginx Webserver


Wenn du tatsächlich genauere Daten brauchst melde dich.

Gruß energy16

Der Beitrag ist Quatsch!


Kleines Botnet <100 Bots
Litespeed o. Nginx Webserver installieren1. bringen ihm beide genannten Webserver nicht viel, wenn er nicht weiß wie er diese konfigurieren muss.
2. was wenn diese <100 Bots nun per SYN Flood angreifen? Dann bringt ihm sein Litespeed o. Nginx auch nichts.


Mittleres Botnet: 100 - 50.000 Bots
Sysctl Tuning
Iptables Regeln
Nginx Webserver mit so wenig Modulen wie möglich kompilieren.Sysctl Tuning
<- er sucht nach einem VPS Paket, das bringt ihm schon mal gar nichts.

Nginx Webserver mit so wenig Modulen wie möglich kompilieren.
<- aus welchem Grund sollte er das machen? Litespeed ist wesentlich effektiver bei DDoS & leichter zu konfigurieren. Zumal "nginx mit so wenig Modulen wie möglich" noch lange nicht gegen DDoS schützt.


Es hängt in erster Linie nicht von der angreifenden Menge Bots, sondern der Art des Angriffs ab. Zumal Litespeed wesentlich besser mit DDoS umgehen kann als nginx (zumindest mit den öffentlichen Modulen).

hersch24
31.10.2011, 12:18
IP-Tables Configuration ändern - Da VPS anbieter of die IP-Table funktionen einschränken musst du mal kucken was du überhaupt alles machen kannst
-------------------------------------
SYN-Cookies aktivieren - Da VPS anbieter oft die proc module ändern kann es da auch zu problemen kommen ! probiere das mal:

#! /bin/sh
# Copyright (c) hersch24
# All rights reserved.
# Author: hersch24,
# <hersch24@freenet.de>
#
# /etc/init.d/syncookies
# start/stop syncookies
# (DDoS-Protection)

NAME=SynCookies
DESC="DDoS-Protection"
LFILE=/var/log/syn.log

case "$1" in
start)
echo -e "Starting $DESC: $NAME\n"
echo -e "setting proc module: "
( echo 1 > /proc/sys/net/ipv4/tcp_syncookies ) >>$LFILE 2>&1
if [ $? = "0" ]; then
echo -e "\E[32;40mWORKING !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
fi
echo -e "setting sysctl.conf: "
( sed "s/.*net.ipv4.tcp_syncookies.*/net.ipv4.tcp_syncookies=1/g" /etc/sysctl.conf > /etc/sysctl.bak ) >>$LFILE 2>&1
if [ $? = "0" ]; then
mv /etc/sysctl.bak /etc/sysctl.conf
echo -e "\E[32;40mWORKING !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
echo -e "\E[34;40mshow syn.log and try to fix\E[0m"
fi
;;
stop)
echo -e "Stopping $DESC: $NAME\n"
echo -e "setting proc module: "
( echo 0 > /proc/sys/net/ipv4/tcp_syncookies ) >>$LFILE 2>&1
if [ $? = "0" ]; then
echo -e "\E[32;40mSTOPPED !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
fi
echo -e "setting sysctl.conf: "
( sed "s/.*net.ipv4.tcp_syncookies.*/net.ipv4.tcp_syncookies=0/g" /etc/sysctl.conf > /etc/sysctl.bak ) >>$LFILE 2>&1
if [ $? = "0" ]; then
mv /etc/sysctl.bak /etc/sysctl.conf
echo -e "\E[32;40mSTOPPING !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
echo -e "\E[34;40mshow syn.log and try to fix\E[0m"
fi
;;
*)
echo $NAME $DESC
echo "Usage: /etc/init.d/syncookies (start|stop)"
exit 1
;;
esac

exit 0
-------------------------------------
Webserver ist ganz klar Cherokee !
http://www.cherokee-project.com/
-------------------------------------
Mit der Angelegenheit sollte man sich doch schon besser beschäftigen (vorallem IP-Tables) ! da sind vorgefertigte Scripts auch nicht die beste wahl.

energy16.biz
31.10.2011, 17:27
Webserver ist ganz klar Cherokee !
http://www.cherokee-project.com/

Cherokee ist ein toller Webserver, steht dieser jedoch unter DDoS ist ganz schnell Schicht im Schacht. Nginx, Litespeed oder Zeus sind hier die bessere Wahl.


1. bringen ihm beide genannten Webserver nicht viel, wenn er nicht weiß wie er diese konfigurieren muss.

Dafür gibt es ein umfangreiches Wiki, man muss es nur lesen - gleiches empfehle ich dir übrigens auch.


2. was wenn diese <100 Bots nun per SYN Flood angreifen? Dann bringt ihm sein Litespeed o. Nginx auch nichts.

Sysctl Hardening + iptables Rules und der Kuchen ist gegessen.


<- er sucht nach einem VPS Paket, das bringt ihm schon mal gar nichts.

Der Hoster kann die Einstellungen übernehmen / setzen.


<- aus welchem Grund sollte er das machen? Litespeed ist wesentlich effektiver bei DDoS & leichter zu konfigurieren. Zumal "nginx mit so wenig Modulen wie möglich" noch lange nicht gegen DDoS schützt.

Das ist Schwachsinn. Bei einem großen Angriff geht es darum Ressourcen zu sparen. Kompiliert man nginx selbst kann man haufenweise unnötige Module entfernen und spart viel Ram u. CPU.


Es hängt in erster Linie nicht von der angreifenden Menge Bots, sondern der Art des Angriffs ab. Zumal Litespeed wesentlich besser mit DDoS umgehen kann als nginx (zumindest mit den öffentlichen Modulen).


Offensichtlich kennst du nur zwei Angriffsformen und hast nur wenig praktische Erfahrung. Es geht nicht darum einen Webserver mit Modulen zuzuballern. Litespeed geht auf jeden Fall vor nginx in die Knie.

Bitte informiere dich in Zukunft genauer.

Danke

Gruß energy16

Loco
31.10.2011, 18:19
Dafür gibt es ein umfangreiches Wiki, man muss es nur lesen - gleiches empfehle ich dir übrigens auch.Es gibt für fast alles umfangreiche Anleitungen, die Frage ist nur ob der betroffene die Zeit und das technische Verständnis besitzt, diese dann auch umzusetzten.


Sysctl Hardening + iptables Rules und der Kuchen ist gegessen.bei einem VPS ist nicht viel mit sysctl Tuning und IpTables Rules müssen auch erst mal geschrieben werden. Sich irgendwelche Regeln zusammen zu kopieren hilft nur bedingt mein Guter.


Der Hoster kann die Einstellungen übernehmen / setzen.Haha, du bist Ja süß <3
Er soll also zu seinem Hoster gehen und dieser übernimmt dann die sysctl Settings auf seinen VPS Nodes ohne diese zu hinterfragen?
SYN-Cookies & co. sind eh meist schon aktiviert, alles andere übernehmen die Hoster auch nicht willkürlich.


Das ist Schwachsinn. Bei einem großen Angriff geht es darum Ressourcen zu sparen. Kompiliert man nginx selbst kann man haufenweise unnötige Module entfernen und spart viel Ram u. CPU.was ist Schwachsinn?
Denkst du, vom Ressourcen Sparen wird ein Angriff geblockt?
Natürlich ist es sinnvoll alle nicht benötigten Module zu deaktivieren, aber das ist auch nur die halbe Miete.


Offensichtlich kennst du nur zwei Angriffsformen und hast nur wenig praktische Erfahrung. Es geht nicht darum einen Webserver mit Modulen zuzuballern. Litespeed geht auf jeden Fall vor nginx in die Knie.woher nimmst du deine kindliche Arroganz?
Du willst also allen ernstes behaupten, dass es auf die Menge der angreifenden Bots und nicht auf den Typ des Angriffs ankommt?
Ich habe nie behauptet das es Sinn macht den Webserver mit Modulen "zuzuballern", wann habe ich dies gesagt?


Litespeed geht auf jeden Fall vor nginx in die Knie.Das schließ du woraus?
Nenne uns bitte deine Quelle. Oder sprichst du aus praktischer Erfahrung?
Aus welchem Grund setzten fast alle Unternehmen im Bereich anti-DDoS auf Litespeed, obwohl man horrende Gebühren für die Lizenzen zahlen muss?

Ogen
31.10.2011, 22:29
HAProxy scheint auch noch interessant zu sein, jedoch habe ich persönlich keine Erfahrung damit.
http://affectioncode.wordpress.com/2008/06/11/comparing-nginx-and-haproxy-for-web-applications/
Vergleich von Nginx und HAProxy.
Da hat HAProxy durchschnittlich besser abgeschnitten als Nginx.

Fraud4Life
31.10.2011, 22:48
HAProxy scheint auch noch interessant zu sein, jedoch habe ich persönlich keine Erfahrung damit.
http://affectioncode.wordpress.com/2008/06/11/comparing-nginx-and-haproxy-for-web-applications/
Vergleich von Nginx und HAProxy.
Da hat HAProxy durchschnittlich besser abgeschnitten als Nginx.
HAProxy ist ein Load Balancer. Damit kann der OP nichts anfangen, da er nur einen Host/VPS hat hat.

energy16.biz
01.11.2011, 21:00
Es gibt für fast alles umfangreiche Anleitungen, die Frage ist nur ob der betroffene die Zeit und das technische Verständnis besitzt, diese dann auch umzusetzten.

bei einem VPS ist nicht viel mit sysctl Tuning und IpTables Rules müssen auch erst mal geschrieben werden. Sich irgendwelche Regeln zusammen zu kopieren hilft nur bedingt mein Guter.


Wenn ich weder technisches Verständnis noch Zeit habe dann muss ich eben jemanden beauftragen der sich damit auskennt. Nur aus diesem Grund habe ich Kunden.



Haha, du bist Ja süß <3
Er soll also zu seinem Hoster gehen und dieser übernimmt dann die sysctl Settings auf seinen VPS Nodes ohne diese zu hinterfragen?
SYN-Cookies & co. sind eh meist schon aktiviert, alles andere übernehmen die Hoster auch nicht willkürlich.

Zum Glück hoste ich bei einem Hoster, der auch weiß wofür die einzelnen Sysctl Settings stehen. Ansonsten muss ich eben zu einem professionelleren Hoster wechseln.



was ist Schwachsinn?
Denkst du, vom Ressourcen Sparen wird ein Angriff geblockt?
Natürlich ist es sinnvoll alle nicht benötigten Module zu deaktivieren, aber das ist auch nur die halbe Miete.

Bei ca. 70k Bots blockt dein Node überhaupt nichts mehr wenn er nichtmal die Verbindungen handlen kann. Also muss man so leicht wie möglich bauen. Ein richtig konfigurierter Server braucht bis zu einer gewissen Anzahl an Bots nichtmal ein Script, welches IP-Adressen filtert!



woher nimmst du deine kindliche Arroganz?
Du willst also allen ernstes behaupten, dass es auf die Menge der angreifenden Bots und nicht auf den Typ des Angriffs ankommt?
Ich habe nie behauptet das es Sinn macht den Webserver mit Modulen "zuzuballern", wann habe ich dies gesagt?

Dieser Abschnitt ist es nicht wert beantwortet zu werden.



Das schließ du woraus?
Nenne uns bitte deine Quelle. Oder sprichst du aus praktischer Erfahrung?
Aus welchem Grund setzten fast alle Unternehmen im Bereich anti-DDoS auf Litespeed, obwohl man horrende Gebühren für die Lizenzen zahlen muss?

Ich spreche ausschließlich aus praktischer Erfahrung. Diese Unternehmen (Blacklotus) sparen eine Menge Geld indem sie fertige Lösungen (Litespeed) einkaufen. Ernstzunehmende Firmen (z.B. Dragonara o. Cloudflare) setzen ausschließlich auf nginx (angepasst).

Wir brauchen hier auch nicht weiter diskutieren, DDoS Mitigation ist seit Jahren mein Gebiet. Dies ist meine letzte Stellungnahme zu deinen Beiträgen.

Gruß energy16

Asmo
13.12.2011, 07:19
Bin auch hier auf FH noch Verträten ;)

s0 l0nG
Asmo

PS: Biete diesen Service immernoch an.

DevilScripter
29.07.2012, 03:59
Asmo von Back2Hack hatte mal meinen LinuxVPS abgesichert. Er bietet für Einrichten und Absichern von Linux Servern einen Service auf B2H an. Hier einmal paar Infos was er genau anbietet. Kanns ihn ja auf B2H kontaktieren.

Könnte jemand für mich Kontakt zu ihn aufbauen oder eine uin zukommen lassen ?
Danke.

cby
29.07.2012, 16:16
Er hat hier ein Profil. Also kannst du ihn direkt selbst kontaktieren.
Zu dem würde ich von seinem Dienst abraten.

SFX
29.07.2012, 16:37
Zu dem würde ich von seinem Dienst abraten.

hm? kannst du da mehr zu sagen?
Weil man sich sowas selbst einrichten sollte oder aus anderen Gründen?

cby
29.07.2012, 17:18
Also ich bin so oder so stets der Meinung das man sich selbst weiterhelfen sollte.
Und wirklich erst wenn man nicht mehr weiter kommt und auch bei google nichts mehr findet sollte man andere Personen um Hilfe bitten.

Aber hierbei handelt es sich um andere Gründen. Leider ist b2h im Moment nicht zu erreichen, sonst hätte ich gerne mal etwas gepostet.

https://back2hack.cc/showthread.php?tid=2897

wazadi
29.07.2012, 17:39
ich empfehle euch litespeed für ddos absicherung...
premium wenn ihr alle cpu core usen wollt :)
gibt nichts besseres als litespeed