Linux VPS gegen DDoS sichern

[energy16.biz]

Kleines Botnet <100 Bots
Litespeed o. Nginx Webserver installieren

Mittleres Botnet: 100 - 50.000 Bots
Sysctl Tuning
Iptables Regeln
Nginx Webserver mit so wenig Modulen wie möglich kompilieren.

Großes Botnet
Hardware Firewall
Litespeed o. Nginx Webserver


Wenn du tatsächlich genauere Daten brauchst melde dich.

Gruß energy16

[Loco]

Kleines Botnet <100 Bots
Litespeed o. Nginx Webserver installieren

Mittleres Botnet: 100 - 50.000 Bots
Sysctl Tuning
Iptables Regeln
Nginx Webserver mit so wenig Modulen wie möglich kompilieren.

Großes Botnet
Hardware Firewall
Litespeed o. Nginx Webserver


Wenn du tatsächlich genauere Daten brauchst melde dich.

Gruß energy16

Der Beitrag ist Quatsch!

Kleines Botnet <100 Bots
Litespeed o. Nginx Webserver installieren

1. bringen ihm beide genannten Webserver nicht viel, wenn er nicht weiß wie er diese konfigurieren muss.
2. was wenn diese <100 Bots nun per SYN Flood angreifen? Dann bringt ihm sein Litespeed o. Nginx auch nichts.

Mittleres Botnet: 100 - 50.000 Bots
Sysctl Tuning
Iptables Regeln
Nginx Webserver mit so wenig Modulen wie möglich kompilieren.

Sysctl Tuning
<- er sucht nach einem VPS Paket, das bringt ihm schon mal gar nichts.

Nginx Webserver mit so wenig Modulen wie möglich kompilieren.
<- aus welchem Grund sollte er das machen? Litespeed ist wesentlich effektiver bei DDoS & leichter zu konfigurieren. Zumal "nginx mit so wenig Modulen wie möglich" noch lange nicht gegen DDoS schützt.


Es hängt in erster Linie nicht von der angreifenden Menge Bots, sondern der Art des Angriffs ab. Zumal Litespeed wesentlich besser mit DDoS umgehen kann als nginx (zumindest mit den öffentlichen Modulen).

[hersch24]

IP-Tables Configuration ändern - Da VPS anbieter of die IP-Table funktionen einschränken musst du mal kucken was du überhaupt alles machen kannst
-------------------------------------
SYN-Cookies aktivieren - Da VPS anbieter oft die proc module ändern kann es da auch zu problemen kommen ! probiere das mal:

#! /bin/sh
# Copyright (c) hersch24
# All rights reserved.
# Author: hersch24,
# <hersch24@freenet.de>
#
# /etc/init.d/syncookies
# start/stop syncookies
# (DDoS-Protection)

NAME=SynCookies
DESC="DDoS-Protection"
LFILE=/var/log/syn.log

case "$1" in
start)
echo -e "Starting $DESC: $NAME\n"
echo -e "setting proc module: "
( echo 1 > /proc/sys/net/ipv4/tcp_syncookies ) >>$LFILE 2>&1
if [ $? = "0" ]; then
echo -e "\E[32;40mWORKING !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
fi
echo -e "setting sysctl.conf: "
( sed "s/.*net.ipv4.tcp_syncookies.*/net.ipv4.tcp_syncookies=1/g" /etc/sysctl.conf > /etc/sysctl.bak ) >>$LFILE 2>&1
if [ $? = "0" ]; then
mv /etc/sysctl.bak /etc/sysctl.conf
echo -e "\E[32;40mWORKING !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
echo -e "\E[34;40mshow syn.log and try to fix\E[0m"
fi
;;
stop)
echo -e "Stopping $DESC: $NAME\n"
echo -e "setting proc module: "
( echo 0 > /proc/sys/net/ipv4/tcp_syncookies ) >>$LFILE 2>&1
if [ $? = "0" ]; then
echo -e "\E[32;40mSTOPPED !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
fi
echo -e "setting sysctl.conf: "
( sed "s/.*net.ipv4.tcp_syncookies.*/net.ipv4.tcp_syncookies=0/g" /etc/sysctl.conf > /etc/sysctl.bak ) >>$LFILE 2>&1
if [ $? = "0" ]; then
mv /etc/sysctl.bak /etc/sysctl.conf
echo -e "\E[32;40mSTOPPING !\E[0m"
exit 0
else
echo -e "\E[31;40mERROR !\E[0m"
echo -e "\E[34;40mshow syn.log and try to fix\E[0m"
fi
;;
*)
echo $NAME $DESC
echo "Usage: /etc/init.d/syncookies (start|stop)"
exit 1
;;
esac

exit 0

-------------------------------------
Webserver ist ganz klar Cherokee !
http://www.cherokee-project.com/
-------------------------------------
Mit der Angelegenheit sollte man sich doch schon besser beschäftigen (vorallem IP-Tables) ! da sind vorgefertigte Scripts auch nicht die beste wahl.