DDOS Schutz vor UDP & SYN Flood Attacken

DominikGX · 6. April 2015

Ich weiß, dass standardmäßig ein DDOS Schutz bei Netcup mitgeliefert wird, allerdings möchte ich mein System noch zusätzlich absichern.
Nachdem ich bereits Fail2Ban installiert habe um eine hohe Requestanzahl über HTTP zu verhindern, möchte ich auch die Angriffsfläche über UDP und TCP vermeiden.
Da ich aber bei Recherchen nicht wirklich schlau geworden bin wollte ich hier einmal ein paar Personen fragen ob sie vielleicht einen Ansatzpunkt liefern können.

Sofern ich das mit UDP richtig verstanden habe, werden zufällige Ports angesprochen. Hier wird man wohl nur über Iptables einen ansatzweisen Schutz bekommen?
Auf meinem VServer ist nginx installiert.

perryflynn · 6. April 2015

Sobald die Pakete auf Deinem Server ankommen hast Du auf TCP / UDP Ebene verloren. Dann kann man nur noch verhindern, dass Serverdienste die Pakete verarbeiten, der Traffic wird aber trotzdem verursacht.

MichaelP08 · 6. April 2015

Läuft nur nginx? oder auch andere dienste die lauschen? Solltest dann auch diese Dienste mit Fail2Ban und Co absichern. Anson sten hast du auf Serverebene kaum eine Chance, dass muss schon vorher angefangen werden

DominikGX · 7. April 2015

Das übliche Gesamtpaket läuft bei mir (HTTP, SSH, POP3, SMTP etc.)
Fail2Ban greift leider nur wenn einer der zufälligen Ports bei auf den Port 80 / 443 landen, TCP funktioniert soweit ich weiß gar nicht.

Ich glaube der beste Lösungsansatz ist eine perfekt ausgearbeitete IPTables Regelliste, die DOS / DDOS Angriffe "mildert" und so viele ungewöhnliche Anfragen wie möglich dropt ohne dass Besucher negative Erfahrungen machen müssen. Bei Angreifern wäre es gut dass diese geloggt werden

Ich hab mir mal die Zeit genommen einige notwendige Regeln zu notieren. Evtl. kann mir ein erfahrener Tipps geben, wie ich die Regeln noch weiter optimieren kann bzw ob ich etwas ergänzen sollte.
Ich finde es sehr schade, dass es im Netz so gut wie keine fertige Iptable-Regelliste gibt, die man dazu verwenden kann um sein eigenes System besser gegen Angriffe zu schützen.

Im übrigen lässt sich die UDP & TCP Attacke nicht mit dem unteren Script beheben. LOIC arbeitet fleißig aber ich werde nicht geblockt

Code

# Generated by iptables-save v1.4.21 on Sun Apr 5 04:36:00 2015
*nat
:PREROUTING ACCEPT [192:10798]
:INPUT ACCEPT [40:2072]
:OUTPUT ACCEPT [45:2900]
:POSTROUTING ACCEPT [45:2900]
COMMIT
# Completed on Sun Apr 5 04:36:00 2015
# Generated by iptables-save v1.4.21 on Sun Apr 5 04:36:00 2015
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [9:1138]
-A INPUT -i lo -j ACCEPT
#-A INPUT -p tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT







######### Prüfung ob TCP mit SYN beginnt
-A INPUT -p tcp ! --syn -j DROP




######### Fragmentierte Pakete ignorieren
-A INPUT -f -j DROP




######### XMAS Pakete ignorieren
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP




######### Ungültige Pakete ignorieren
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A OUTPUT -m state --state INVALID -j DROP




######### SYN-Flood Schutz durch beschränkte Durchsatzrate
-A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT




######### Port Scan blockieren
-A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT




######### Erlaubte Ports für die Öffentlichkeit
-A INPUT -p tcp --syn -m multiport --dports 80,443,22,25,110,995 -j ACCEPT




######### Ping-Flood begrenzen
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/s -j ACCEPT




-A INPUT -j LOG




COMMIT
# Generated by iptables-save v1.4.21 on Sun Apr 5 04:36:00 2015

Alles anzeigen

extremmichi · 7. April 2015

Zitat von DominikGX

Ich finde es sehr schade, dass es im Netz so gut wie keine fertige Iptable-Regelliste gibt, die man dazu verwenden kann um sein eigenes System besser gegen Angriffe zu schützen.

"arno-iptables-firewall " in den Debianquellen vorhanden, vermutlich aber in den anderen Distris auch

Link

Gruss

michi