DDoS maßnahmen

[Bonkers]

Sinnfreie, unlogische Aussage. Zwischen Verwendung IP-Spoofing und den Quell-IPs (aus Botnet ja oder nein) besteht kein Zusammenhang.

Doch.
Ab Windows XP SP2 kannst du keine RAW-Sockets mehr verwenden:

Three years after the Windows XP release, Microsoft silently limited Winsock's raw socket support in a non-removable hotfix and offered no further support or workarounds for applications that used them.

(Abgesehen von der installation bestimmter Netzwerktreiber, ist hier nicht relevant).
Ein mit einem Bot infizierter Rechner wird seine Absender-IP also wahrscheinlich nicht spoofen. Eine Gruppe Angreifer die z.B. ein alternatives OS verwenden könnten das aber sehr wohl.

<- Filter nach "Game" und "UDP".

ich betreibe mehrere Server im Internet auf denen TCP Anwendungen laufen

Für TCP-Anwendungen braucht er kein UDP, zudem er per UDP geflooded wird.

[Sanonym]

Ich kann dir das programm Peer Guardian 2 empfehlen, da konnten wir perfekt die IPs range bannen.
Uns hat es damals sehr geholfen bei unserem Gameserver als es DDoS Attacken gab.

MfG Sanonym

[Barbers]

Ich hatte schon nen ähnlichen angriff und die lösung kann ich dir gerne weitergeben.
1. UDP filtern, falls nicht gebraucht
2. herrausfinden in welchen ranges die bots liegen um ihre herkunft zu bestimmen
3. ranges bannen

4. die bot herkunft mit der herkunft der kunden vergleichen. zielt ihr nur auf deutsche ab könnt ihr ja das ganze ausland droppen
4.1 um den traffic zu verringern gibt es noch nen geodns mod für bind und andere nameserver, damit kann man asien, amerika usw. direkt auf localhost zurückleiten und man hat ganz ruhe vor denen

man sollte zu 4. noch sagen das es eher ne experimentelle emthode ist, aber enorm wirkungsvoll wenn es geht.

[ReiDC0Re]

150k pps, ich denke nicht das ihr da 11k€ ausgeben müsst.

Aber da das Budget vorhanden ist, besorgt euch gute FilterServer für 800€ aufwärts.

Hoffe ihr bekommt das ganze in den Griff, denn ich kann mir vorstellen. Das der Entstehende Schaden durch den DDoS, auch nicht gerade niedrig sein wird.

[Anon_n00j]

Hallo,

ich betreibe mehrere Server im Internet auf denen TCP Anwendungen laufen. Wir besitzen eine Firewall ( http://www.juniper.net/as/en/product...series/srx210/ ).

Nun, wir werden seit mehreren Tagen in der Nacht von irgendwelchen Hackern angegriffen. Diese senden ca. 150k packete/s, daduch das die Firewall den massiven attacken nicht standhalten kann schaltet sie das Netzwerk komplett ab.

Jetzt hat unser hoster ein Angebot gemacht uns die Firewall SRX 650 http://www.juniper.net/as/en/product...series/srx650/ einzubauen.

Nun wäre meine frage, wäre es sinnvoill das Angebot anzunehmen? Bekommst man evtl. für den Selben Preis (11k €uro) bessere Firewalls?

Der "Hacker" verlangt 1500€ um aufzuhören. Allerdings kann es keine lösung zu sein ihm das zu bezahlen, denn dann kommt der nächste und will auch Geld haben.

Vielen dank,
Grüße,
bluesoul

Bezahl da blos nix.. ich hatte schon in einem anderen Thread gepostet das du zb eine Sperrliste anlegen kannst da du sicher auf die host datein zugriff hast.. da du aber auch eine gute firewall hast solltest du eig gut geschützt sein! Vielleicht magst du dir das mal anschauen http://www.juniper.net/de/de/trainin.../junos_fd.html

Ansonsten hast du schonmal (D)Dos Deflate versucht?

http://deflate.medialayer.com/
(D)DoS Deflate is a lightweight bash shell script designed to assist in the process of blocking a denial of service attack. It utilizes the command below to create a list of IP addresses connected to the server, along with their total number of connections. It is one of the simplest and easiest to install solutions at the software level.
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n IP addresses with over a pre-configured number of connections are automatically blocked in the server's firewall, which can be direct iptables or Advanced Policy Firewall (APF). (We highly recommend that you use APF on your server in general, but deflate will work without it.)
Notable Features

• It is possible to whitelist IP addresses, via /usr/local/ddos/ignore.ip.list.
• Simple configuration file: /usr/local/ddos/ddos.conf
• IP addresses are automatically unblocked after a preconfigured time limit (default: 600 seconds)
• The script can run at a chosen frequency via the configuration file (default: 1 minute)
• You can receive email alerts when IP addresses are blocked.

Installation

wget http://www.inetbase.com/scripts/ddos/install.sh chmod 0700 install.sh ./install.sh Uninstallation

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos chmod 0700 uninstall.ddos ./uninstall.ddos

sonst kannst du auch gern mich per pm fragen, bin netzwerk admin .. sind zwar nur 3 mal 50 pcs auf na astaro FW aber hey ;>

[echoslider]

windows server und schutz... hm oO...
xD... also es gibt da ne ziemlich gute firewall. die man irgendwie mit iptables vergleichen kann. ist aber ziemlich kompliziert einzustellen und ich weiß nicht mehr ob die das jetzt.direkt nach der installation alles dicht macht. müssteste so nochmal zu hause testen und server virtualisieren oä. aber die fw sollte vor ziemlich vielen angriffen schützen.

name: filseclap

oder halt auf linux wechseln. mit iptables gibts da viel mehr möglichkeiten.

[Vampi]

Der Thread ist zwar schon etwas älter aber noch nicht alt genug

@echoslider

Du meinst vermutlich die Windows Firewall selber... man kann damit auch ganz gute Dinge betreiben wenn man sich ein wenig auskennt. Mit "netsh" kann man auch auf der Windowskonsole IPs sperren. Man bräuchte nur ein Script das die DDoS IPs ausfiltert und dann automatisch sperrt. Bei Windows ist es gefühlt nicht so einfach wie bei Linux aber dennoch möglich. Sinnvoller isses trotzdem wenn man einen transparenten Linux-Proxy dazwischenstellt, dann ist man etwas flexibler.

DDoS ist generell nicht sooo schwer abzuwehren solange es nicht massemäßig die maximale Netzwerkgeschwindigkeit überschreitet.