DDos Angriffe auf Port 80 unterbinden

  • Guten Tag,


    seit gestern habe ich das Problem, dass mein vServer mindestens einmal am Tag auf Port 80 massiv geddost wird.
    Mein Trafficverbrauch ist dementsprechend hoch und ich würde das gerne ändern.
    Wie kann ich einen DDos auf UDP Port 80 am besten unterbinden?


    Mit freundlichen Grüßen
    Marcel S.

  • Dann würde ich versuchen nur die Länder reinzulassen die rein sollen.
    GeoIP mit iptables.

    Wie kann ich das genau machen?
    Es ist das erste mal, dass ich mit Linux arbeite, weshalb ich etwas unerfahren bin.
    Es würde bestimmt schon helfen, nur Deutschland zuzulassen.

  • Das mit den IP sets ist eine gute Idee, nur scheint die Anleitung für eine alte oder eine ganze neue Version zu sein.
    Denn die Version die mit RHEL ausgeliefert wird, kennt die Option "-N" nicht. Hier muss man "ipset create china hash:net" benutzen.
    Und statt "for i in $(cat /etc/cn.zone ); do ipset -A china $i; done" wäre das denn "for i in $(cat /etc/cn.zone ); do ipset add china $i; done"

  • Jetzt finden die Angriffe auch auf andere Ports, als auf 80 statt.
    Der DDos Filter meldet folgende Aktivität:


    Treshold Packets: 30000 packets/s
    Sum Packets: 378143000 packets/300s (1260476 packets/s)
    Sum Bytes: 93.08 GByte/300s (2.48 GBit/s)


    Gibt es noch ein andere Tutorial mit GeoIP?
    Das vorherige Tutorial hat nur für Errors beim Booten gesorgt.

  • Wenn der Angriff mit mehreren GBit/s läuft, wirst du mit iptables nicht viel ausrichten können. Der Flaschenhals ist nämlich bereits die Anbindung deines vServers.

    Dann ist ja in Ordnung, weil das mit den iptables bekomme ich sowieso nicht auf die Reihe...

  • Rein aus Interesse: Hast Du sonst irgendwelche Probleme dadurch oder ist es rein der Trafficverbrauch, der in die Höhe geht?


    Sprich: Wirkt sich der DDoS-Filter von netcup so positiv aus, dass Du gar nichts davon bemerken würdest?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Der DDoS Filter wirkt leider nicht mehr und der Server ist dauerhaft offline.


    B2T: Die Angriffe sind jetzt auch kleiner geworden (z.B. 133 MBit) trotzdem ist der Server noch offline.
    Ich bin langsam ein wenig überfordert :D

  • Stehst Du deswegen eigentlich mit dem Support im Kontakt? Sobald da einmal der DDoS-Filter im Spiel ist, wirst Du von selbst wohl kaum noch viel bewirken können.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Stehst Du deswegen eigentlich mit dem Support im Kontakt? Sobald da einmal der DDoS-Filter im Spiel ist, wirst Du von selbst wohl kaum noch viel bewirken können.



    MfG Christian

    Habe mich mal mit den Support in Kontakt gesetzt und nach Tipps gefragt, was ich tun könnte, da mein Server massiv geDDoSt wird.
    Der Support sagte mir, ich solle eine Datenfilterung durch iptables und fail2ban einrichten.


    Gruß

  • Mit iptables kannst du verhindern, dass das Connection-Tracking Resourcen verbraucht und ICMP-Antworten gesendet werden.

    Code
    sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 80 -i eth0 -j DROP #nur Pakete an UDP-Port 80 verwerfen
    Code
    sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 0:32767 -i eth0 -j DROP #verwirft Pakete an UDP-Ports bis 32767 (auch DHCP-Pakete an UDP-Port 68)


    Die Pakete verstopfen dennoch die Leitung.

    3 Mal editiert, zuletzt von ___ () aus folgendem Grund: -i eth0

  • Mit iptables kannst du verhindern, dass das Connection-Tracking Resourcen verbraucht und ICMP-Antworten gesendet werden.

    Code
    sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 80 -j DROP #nur Pakete an UDP-Port 80 verwerfen
    Code
    sudo iptables -t raw -I PREROUTING -p udp -m udp --destination-port 0:32767 -j DROP #verwirft Pakete an UDP-Ports bis 32767 (auch DHCP-Pakete an UDP-Port 68)


    Die Pakete verstopfen dennoch die Leitung.

    Bedeutet der zweite Befehl, dass dann alle Pakete an Port 0-32767 verworfen werden?