Cloud basierte DDOS Protection

  • Hallo Community,

    Hat vielleicht hier jemand einen Tipp welchen Anbieter man nehmen kann zwecks DDOS Protection für NetCup Server?
    Weil mein Server steht seit gestern vormittag unter DDOS und das bei weit mehr als 11 Gbit/s somit reicht die von Netcup leider nicht aus.

    Gruß

  • auf welchen Port etc geht die Attacke?


    Weil ein DDOS Protection alá Cloudflare etc. bringt ja nur bei Port 80 / 443.

    Und wenn du eh schon angegriffen wurdest, ist es ggf. Hilfreich die IP zu wechseln.

  • Wenns alles auf den Webserver zielt und der zufällig ein Apache2 ist, gibt es ein Modul namens evasive. Könnte helfen.


    Ansonsten wäre nichtsdestotrotz interessant, auf welchen Port das geht, und wie deine Firewall ausschaut!

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Also hier ein Auszug aus der Abusemeldung / DDOS Filter (Liste ist unendlich lang >.<:

    178.32.134.xx:0 -> 194.55.xx.xx:0 AH 57750 2.5 M
    178.32.134.xx:0 -> 194.55.xx.xx:0 AH 57750 2.5 M
    217.163.21.xx:0 -> 194.55.xx.xx:0 AH 64950 2.9 M


  • Wenn es sich um einen UDP Flood Angriff handelt, wird man mit der Firewall nicht viel machen können. Der Traffic müsste gefiltert werden, bevor er den Server erreicht.

    Edit: Würde man, selbst wenn man ICMP blockiert, nicht trotzdem eine Abusemeldung erhalten? Immerhin geht der Traffic trotzdem durch Netcups Router und beeinträchtigt eventuell andere Kunden

  • Wenn es sich um einen UDP Flood Angriff handelt, wird man mit der Firewall nicht viel machen können.

    bedingt kannst Du schon was machen ...


    ich hab als default DROP


    Code
    *filter
    :INPUT DROP [0:0]
    :FORWARD DROP [0:0]
    :OUTPUT DROP [0:0]

    ICMP ebenso TRACEroutes bremse ich auch etwas ein

    hier die regeln f. die offenen Ports

    Code
    # Enable SMTP
    -A INPUT -i eth0 -m tcp -p tcp --dport 25 -m state --state NEW -j ACCEPT
    
    # Enable DNS
    -A INPUT -i eth0 -m tcp -p tcp --dport 53 -m state --state NEW -j ACCEPT
    -A INPUT -i eth0 -m udp -p udp --dport 53 -j ACCEPT
    
    # Enable HTTP/HTTPS
    -A INPUT -i eth0 -m tcp -p tcp --dport 80 -m state --state NEW -j ACCEPT
    -A INPUT -i eth0 -m tcp -p tcp --dport 443 -m state --state NEW -j ACCEPT

    am Ende die Einträge zum Loging

    Code
    # Log all other
    -A INPUT -j LOG --log-prefix "IP[IN]: " --log-level crit
    -A FORWARD -j LOG --log-prefix "IP[FWD]: " --log-level crit
    -A OUTPUT -j LOG --log-prefix "IP[OUT]: " --log-level crit

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Warum machst du soetwas?

    weil ich auch mal sowas

    -I INPUT -i eth0 -s #IPSUBNET# -j DROP

    einfüge

    sprich, wenn da mehrere IPs etwas seltsam sind, bliockiere das ganze Subnet

    und dann geht auch kein DNS, HTTP, SMTP, ...

    und derartige Einträge entferne ich genau NIE

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)