Supportnet / Forum / Internet Browser
dos attacken schutz
Frage
hallo zusammen kann mir jemand sagen wie ich dos attacken auf meinen server abfangen oder blocken kann da ich zich user verliere wenn ich andauernd attackiert werde.
habe plesk und debian
mfg bolle
Antwort 1 von Supermax
Um welche Art von DOS-Attacken handelt es sich denn?
Wenn es sich um Angriffe gegen den Webserver (Massen-Downloads von immer derselben IP) handelt, hilft z.B. das DOSEvasive-Modul für den Apache-Webserver (Apache 1.3 und 2.0)
http://www.zdziarski.com/projects/mod_evasive/
Wenn es sich um Angriffe gegen den Webserver (Massen-Downloads von immer derselben IP) handelt, hilft z.B. das DOSEvasive-Modul für den Apache-Webserver (Apache 1.3 und 2.0)
http://www.zdziarski.com/projects/mod_evasive/
Antwort 2 von Flintstone
Hallo bolle,
DoS-Attacke ist ein ziemlich weit gefasster Begriff, welcher auf zig Möglichkeiten angewendet wird, einen Server lahm zu legen.
Bei Angriffen auf 'prominente' Server ist i.d.R. der Absender nicht zu ermitteln oder der Angriff wirksam zu blocken. Selbst Microsoft sah sich mal genötigt, einen bestimmten Update-Server aus dem Netz zu nehmen.
Vermutlich ist dein Server aber nicht ganz so prominent und die Attacke erfolgt aus deinem näheren, durch irgendwas verärgertem Umfeld. Es ist natürlich auch möglich, dass irgendein Kid mit einem DoS-Baukasten zufällig über deine IP gestolpert ist.
Kannst du keine Informationen dazu liefern, um welche Art von DoS-Attacken es sich handelt? Syn Flooding, Ping Flooding, Mailbombing, Mail-List Bombing, Nuking?
Gruß
Fred
DoS-Attacke ist ein ziemlich weit gefasster Begriff, welcher auf zig Möglichkeiten angewendet wird, einen Server lahm zu legen.
Bei Angriffen auf 'prominente' Server ist i.d.R. der Absender nicht zu ermitteln oder der Angriff wirksam zu blocken. Selbst Microsoft sah sich mal genötigt, einen bestimmten Update-Server aus dem Netz zu nehmen.
Vermutlich ist dein Server aber nicht ganz so prominent und die Attacke erfolgt aus deinem näheren, durch irgendwas verärgertem Umfeld. Es ist natürlich auch möglich, dass irgendein Kid mit einem DoS-Baukasten zufällig über deine IP gestolpert ist.
Kannst du keine Informationen dazu liefern, um welche Art von DoS-Attacken es sich handelt? Syn Flooding, Ping Flooding, Mailbombing, Mail-List Bombing, Nuking?
Gruß
Fred
Antwort 3 von bolle
es is ein dedicadet mit apache 2
und hauptsächlich flooding.
es werden aber immer wieder auch die usertabellen angegriffen und peertabelle.
und das is zu ko.....immer alles neu machen zu müssen
achja habe die debian version 3.1 sage
mfg bolle
und hauptsächlich flooding.
es werden aber immer wieder auch die usertabellen angegriffen und peertabelle.
und das is zu ko.....immer alles neu machen zu müssen
achja habe die debian version 3.1 sage
mfg bolle
Antwort 4 von Supermax
Mit "Tabellen" meinst du Datenbanktabellen?
Antwort 5 von bolle
jep
steht immer da in benutzung wen der server abhaut muss immer auf reparieren gehn damit es wieder funzt und auslastung schiesst auch hoch
mfg bolle
steht immer da in benutzung wen der server abhaut muss immer auf reparieren gehn damit es wieder funzt und auslastung schiesst auch hoch
mfg bolle
Antwort 6 von Supermax
Wenn die Angriffe auf den Webserver zielen, kann das von mir weiter oben vorgeschlagene Modul durchaus Abhilfe schaffen.
Ansonsten helfen vielleicht auch folgende Hinweise:
* alle nicht benötigten Dienste deaktivieren. Auf einem Webserver brauchen eigentlich nur die Ports für HTTP (80), eventuell HTTPs (443), SSH (22) und eventuell FTP (21) nach außen offen zu sein. SMTP und POP3 bzw. IMAP noch wenn der Server auch als Posteingangs- und Ausgangsserver fungiert.
Wenn du die Datenbank nicht übers Netzwerk wartest, kann z.B. der TCP-Port von mySQL dicht gemacht werden (Option "skip-networking" in der /etc/my.cnf).
Interessieren würde mich nur noch, was für eine Seite du hast, daß du ständig Ziel von solchen Angriffen wirst.
Ansonsten helfen vielleicht auch folgende Hinweise:
* alle nicht benötigten Dienste deaktivieren. Auf einem Webserver brauchen eigentlich nur die Ports für HTTP (80), eventuell HTTPs (443), SSH (22) und eventuell FTP (21) nach außen offen zu sein. SMTP und POP3 bzw. IMAP noch wenn der Server auch als Posteingangs- und Ausgangsserver fungiert.
Wenn du die Datenbank nicht übers Netzwerk wartest, kann z.B. der TCP-Port von mySQL dicht gemacht werden (Option "skip-networking" in der /etc/my.cnf).
Interessieren würde mich nur noch, was für eine Seite du hast, daß du ständig Ziel von solchen Angriffen wirst.
Antwort 7 von bolle
is ein tracker (torrent)
und gewisse andere tracker ballern andauern auf die datenbank
das mit den diensten is bereits eingestellt
mfg bolle
und gewisse andere tracker ballern andauern auf die datenbank
das mit den diensten is bereits eingestellt
mfg bolle
Antwort 8 von bolle
und software wird verwendet von netvision nv1 nv2 gemischt
mfg bolle
mfg bolle
Antwort 9 von bolle
ich wollte den hier anwenden aber komm damit leider nicht klar
http://www.huschi.net/14_182_de.html
mfg bolle
http://www.huschi.net/14_182_de.html
mfg bolle
Antwort 10 von Supermax
Tja sorry mit bt-trackern kenn ich mich leider nicht aus.
Wenn die Angriffe immer von derselben IP oder demselben IP-Adressbereich kommen, kann man ja auch diesen Bereich einfach in der apache-Konfiguration blocken, z.B.
Wenn die Angriffe immer von derselben IP oder demselben IP-Adressbereich kommen, kann man ja auch diesen Bereich einfach in der apache-Konfiguration blocken, z.B.
<Directory />
..
order allow,deny
deny from <ip>/<netzmaske>
...
</Directory>Antwort 11 von bolle
in welchem bereich sprich welchem verzeichniss oder datei sprich php muss das eingetragen werden.
mfg bolle
mfg bolle
Antwort 12 von Supermax
Kommt drauf an, entweder direkt in der httpd.conf wahlweise für alle Hosts oder nur für den einen VHost wo die angegriffene Seite liegt.
Wenn für den betroffenen VHost
Wenn für den betroffenen VHost
AllowOverride LimitsAntwort 13 von Supermax
Nachtrag: eventuell noch das Fehlerdokument für den HTTP-Fehler 403 (Permission denied) auf eine andere Seite verweisen lassen, z.B.
ErrorDocument 403 /geh_weg.htmlAntwort 14 von bolle
komischerweise is die httpd config lee komplett
mfg bolle
mfg bolle
Antwort 15 von bolle
sorry meinte damit die php httpd config is leer
mfg bolle
mfg bolle
Antwort 16 von Supermax
Möglicherweise legt plesk die Konfigurationsdateien woanders ab... ich kenne mich mit den ganzen Konfigurationstools leider nicht aus, ich verwende wenn dann nur webmin
Antwort 17 von bolle
kann mir jemand bitte ne php senden oder das reinschmeisen das hier beschrieben wird?
http://www.huschi.net/14_182_de.html
wäre euch sehr dankbar
mfg bolle
http://www.huschi.net/14_182_de.html
wäre euch sehr dankbar
mfg bolle
Antwort 18 von bolle
bitte helft mir in dieser hinsicht
es geht nur um diesen eintrag der php der httpd.conf im apache
mfg bolle
es geht nur um diesen eintrag der php der httpd.conf im apache
mfg bolle
Antwort 19 von bolle
oder eine andere lösung das unsere rück koplung möglich is der dossattacken oder das der flood nicht mer ankommt bei uns
mfg bolle
mfg bolle
Antwort 20 von Supermax
Welches der beiden auf der Seite erwähnten Module willst du denn einsetzen?
Beide stehen meines WIssens nach nur als Quelltext zur Verfügung und müssen erst auf dem Server kompiliert werden.
Beide stehen meines WIssens nach nur als Quelltext zur Verfügung und müssen erst auf dem Server kompiliert werden.
Antwort 21 von bolle
also rauf haben wir beides
aber die dos attacken kommen trotzdem durch die httpd php is komplett leer.
aber das hier kapier ich nicht :
Während mod_security mehr für den Schutz vor seltsamen/verdächtigen Query-Strings zuständig ist, ist mod_evasive konkret gegen DoS-Angriffe.
mod_evasive erstellt eine interne Liste von IP-Adresse und angeforderten URLs. Sollten hier gewisse (frei definierbare) Schwellwerte überschritten werden, antwortet es automatisch mit einem 403, sperrt diese IP für 10 Sekunden und kann noch weitere Funktionen ausführen. (Z.B. Logging oder Warnungs-Mail versenden.)
Nach dem kompilieren und dem üblichen Einbinden in die httpd-Config müssen noch folgende Einstellungen im Apache gemacht werden:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify webmaster@meine-domain.tld
</IfModule>
Achtung: im beiliegenden Readme steht auch noch die Directive DOSLogDir. Die ist recht ungünstig benannt, da sie nichts mit Logfiles zu tun hat, sondern eher mit Lock-Files. Am besten läßt man sie per Default auf /tmp/.
mfg bolle
aber die dos attacken kommen trotzdem durch die httpd php is komplett leer.
aber das hier kapier ich nicht :
Während mod_security mehr für den Schutz vor seltsamen/verdächtigen Query-Strings zuständig ist, ist mod_evasive konkret gegen DoS-Angriffe.
mod_evasive erstellt eine interne Liste von IP-Adresse und angeforderten URLs. Sollten hier gewisse (frei definierbare) Schwellwerte überschritten werden, antwortet es automatisch mit einem 403, sperrt diese IP für 10 Sekunden und kann noch weitere Funktionen ausführen. (Z.B. Logging oder Warnungs-Mail versenden.)
Nach dem kompilieren und dem üblichen Einbinden in die httpd-Config müssen noch folgende Einstellungen im Apache gemacht werden:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify webmaster@meine-domain.tld
</IfModule>
Achtung: im beiliegenden Readme steht auch noch die Directive DOSLogDir. Die ist recht ungünstig benannt, da sie nichts mit Logfiles zu tun hat, sondern eher mit Lock-Files. Am besten läßt man sie per Default auf /tmp/.
mfg bolle
Antwort 22 von Supermax
Zitat:
httpd php is komplett leer.
httpd php is komplett leer.
Was ist damit überhaupt gemeint?
Antwort 23 von bolle
das ich nich weiss was da rein kommt da man mir gesagt hat das man die php bearbeiten muss dafür das es funzt weil die mods sind installiert
mfg
mfg
Antwort 24 von bolle
habt ihr icq oder skype am besten dann könte man wsich mal unterhalten ginge besser und schneller..
mfg bolle
mfg bolle
Antwort 25 von bolle
wir brauchen wirklich hilfe wäre froh wenn sich jemand melden würde per skype oder icq nummer
mfg bolle
mfg bolle