Problem durch DDOS

  • Zitat von Lucan;27546

    Na das erklär mir mal bitte


    fail2ban muss die Logs zuerst einmal analysieren, was a) nicht in Echtzeit passieren kann (wie es z.B. bei mod_evasive der Fall ist) und b) wieder Ressourcen kostet. Danach muss eine Verbindung zur VCP Firewall hergestellt werden, was wieder Ressourcen kostet. Dann kommt noch hinzu, dass die VCP Firewall nicht für Hunderte Regeln ausgelegt ist, worauf es in diesem speziellen Fall aber hinaus laufen würde. Du legst dein System damit also praktisch gleich selbst lahm oder hast nach wenigen Minuten ein Problem mit der VCP Firewall. Ging mir erst kürzlich mit der VCP Firewall so, das hatte aber einen anderen Hintergrund und wurde seitens Netcup teilweise entschärft/behoben ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Zitat von killerbees19;27556

    fail2ban muss die Logs zuerst einmal analysieren, was a) nicht in Echtzeit passieren kann (wie es z.B. bei mod_evasive der Fall ist) und b) wieder Ressourcen kostet. Danach muss eine Verbindung zur VCP Firewall hergestellt werden, was wieder Ressourcen kostet. Dann kommt noch hinzu, dass die VCP Firewall nicht für Hunderte Regeln ausgelegt ist, worauf es in diesem speziellen Fall aber hinaus laufen würde. Du legst dein System damit also praktisch gleich selbst lahm oder hast nach wenigen Minuten ein Problem mit der VCP Firewall. Ging mir erst kürzlich mit der VCP Firewall so, das hatte aber einen anderen Hintergrund und wurde seitens Netcup teilweise entschärft/behoben ;)



    MfG Christian


    Hi, du weisst aber schon das man mod evasive den befehl geben kann direkt mithilfe von fail2ban die ip des Angreifers zu blocken oder?
    Der Befehl müsste allerdings wohl noch für unsere Variante hier mit der Firewall angepasst werden.

  • Zitat von Lucan;27566

    Hi, du weisst aber schon das man mod evasive den befehl geben kann direkt mithilfe von fail2ban die ip des Angreifers zu blocken oder?


    Dann wären wir sofort beim zweiten angesprochenen Problem, dass die VCP Firewall nicht für so viele Einträge ausgelegt ist ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Zitat von Lucan;27568

    Dann halt zur not das ganze mittels deny.hosts blocken, bringt immer noch mehr als gar nichts zutun.


    Dann reicht aber gleich mod_evasive ohne irgendwelche Extras :D



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wie wäre es denn auf jedenfall schonmal einen Proxy vor den Indianer zu schalten? Dass der bei sehr vielen gleichzeitigen Zugriffen nicht mehr aus seinem Tipi kommt ist allgemein bekannt.

  • wenn ich die zeilen so verfolge denk ich weniger an einen denial of service:D dies könnte sich klären wenn logauszüge dargelegt werden.

    des weiteren habe ich so ein piepeeen im ohr.
    das netcup mal etwas von intelligenten vorgeschalteten gerätschaften schrieb, jene filtern/eingreifen wenn viele böswillige zugriffe erfolgen.

    naja kann wohl nicht so schlimm sein wenn seitens netcup keine regung erfolgt. toitoitoi:)

    achso ich wollt ja noch a bissel a** sein.
    Sebastian wenn ich an deinen vergangenen thread denke. glaube ich eher an eine fehlkonfiguration deinerseits vorliegt.

    Zitat von Sebastian3196;27522

    ... meinen Vserver heftige DDOS attacken....


    so wichtig können deine daten nicht sein.:D