Cloud basierte DDOS Protection

  • Hallo Community,

    Hat vielleicht hier jemand einen Tipp welchen Anbieter man nehmen kann zwecks DDOS Protection für NetCup Server?
    Weil mein Server steht seit gestern vormittag unter DDOS und das bei weit mehr als 11 Gbit/s somit reicht die von Netcup leider nicht aus.

    Gruß

  • Wenns alles auf den Webserver zielt und der zufällig ein Apache2 ist, gibt es ein Modul namens evasive. Könnte helfen.


    Ansonsten wäre nichtsdestotrotz interessant, auf welchen Port das geht, und wie deine Firewall ausschaut!

    VPS 1000 G8 Plus | RS 2000 G8 SSDx4 | Webhosting 1000 SE (BF)


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • Also hier ein Auszug aus der Abusemeldung / DDOS Filter (Liste ist unendlich lang >.<:

    178.32.134.xx:0 -> 194.55.xx.xx:0 AH 57750 2.5 M
    178.32.134.xx:0 -> 194.55.xx.xx:0 AH 57750 2.5 M
    217.163.21.xx:0 -> 194.55.xx.xx:0 AH 64950 2.9 M


  • Wenn es sich um einen UDP Flood Angriff handelt, wird man mit der Firewall nicht viel machen können. Der Traffic müsste gefiltert werden, bevor er den Server erreicht.

    Edit: Würde man, selbst wenn man ICMP blockiert, nicht trotzdem eine Abusemeldung erhalten? Immerhin geht der Traffic trotzdem durch Netcups Router und beeinträchtigt eventuell andere Kunden

  • Wenn es sich um einen UDP Flood Angriff handelt, wird man mit der Firewall nicht viel machen können.

    bedingt kannst Du schon was machen ...


    ich hab als default DROP


    Code
    1. *filter
    2. :INPUT DROP [0:0]
    3. :FORWARD DROP [0:0]
    4. :OUTPUT DROP [0:0]

    ICMP ebenso TRACEroutes bremse ich auch etwas ein

    hier die regeln f. die offenen Ports

    Code
    1. # Enable SMTP
    2. -A INPUT -i eth0 -m tcp -p tcp --dport 25 -m state --state NEW -j ACCEPT
    3. # Enable DNS
    4. -A INPUT -i eth0 -m tcp -p tcp --dport 53 -m state --state NEW -j ACCEPT
    5. -A INPUT -i eth0 -m udp -p udp --dport 53 -j ACCEPT
    6. # Enable HTTP/HTTPS
    7. -A INPUT -i eth0 -m tcp -p tcp --dport 80 -m state --state NEW -j ACCEPT
    8. -A INPUT -i eth0 -m tcp -p tcp --dport 443 -m state --state NEW -j ACCEPT

    am Ende die Einträge zum Loging

    Code
    1. # Log all other
    2. -A INPUT -j LOG --log-prefix "IP[IN]: " --log-level crit
    3. -A FORWARD -j LOG --log-prefix "IP[FWD]: " --log-level crit
    4. -A OUTPUT -j LOG --log-prefix "IP[OUT]: " --log-level crit

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Warum machst du soetwas?

    weil ich auch mal sowas

    -I INPUT -i eth0 -s #IPSUBNET# -j DROP

    einfüge

    sprich, wenn da mehrere IPs etwas seltsam sind, bliockiere das ganze Subnet

    und dann geht auch kein DNS, HTTP, SMTP, ...

    und derartige Einträge entferne ich genau NIE

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%