DDoS

  • Hallo,


    würde gerne mal die Profis hier befragen :) zu einem nicht netcup Thema.


    Wir haben bei uns in der Firma mehrere Server (Windows) an einer Standleitung (20 MBit) hängen.
    Nun wird seit einigen Tagen eine IP mit DDos attackiert. Damit ist natürlich hier alles tot.


    Wir haben nun als erste Gegenwehr diese IP vom Router genommen und statt dessen einen Linux Server installiert welcher als Router fungiert und per NAT die Pakete an den Webserver weiterleitet. Dies klappt mit ipTables auch eine Weile ganz gut (mehr als 8 Anfragen pro IP werden gedropped). Nur nach kurzer Zeit reagiert der Linux leider dann auch nicht mehr.


    Was kann man den noch tun in so einem Fall? Der Linux ist schon ein ganz guter Rechner (i7 mit 16GB RAM) der sonst nix macht. Wir sind irgendwie ratlos gerade.


    Viele Grüße,
    Tobias

  • Zitat

    Nur nach kurzer Zeit reagiert der Linux leider dann auch nicht mehr.


    Was meinst du damit?


    Als einfache Firewall würde schon ein Pentium (die Dinger von 1993!) reichen. Wenn du mehr willst wie z.B. IDS, dann sollten du in irgendwas ab Richtung Pentium3 oder höher greifen.


    Zitat

    Linux Server installiert


    Was soll das sein?


    Ihr habt gleich zu was Richtigem wie z.B. ipfire oder z.B. Astaro gegriffen?


    edit/update: Ist die Leitung ausgelastet? Wenn ja, dann kann nur noch euer Provider helfen.

    "Security is like an onion - the more you dig in the more you want to cry"

    Einmal editiert, zuletzt von vmk ()

  • Zitat


    Nur nach kurzer Zeit reagiert der Linux leider dann auch nicht mehr.

    Was meinst du damit?

    Die Auslastung steigt immer weiter an bis die konsole keine ausgabe mehr liefert. erst nach trennung der netzwerkverbindung reagiert der rechner wieder.

    Als einfache Firewall würde schon ein Pentium (die Dinger von 1993!) reichen. Wenn du mehr willst wie z.B. IDS, dann sollten du in irgendwas ab Richtung Pentium3 oder höher greifen.

    wie soll die das schaffen die vielen verschiedenen IPs zu blockieren?

    Zitat


    Linux Server installiert

    Was soll das sein?

    Ein Debian System.

    Ihr habt gleich zu was Richtigem wie z.B. ipfire oder z.B. Astaro gegriffen?

    Nein, bisher nur iptables. werde mir aber das mal ansehen. danke für die Links.


    EDIT: Die Leitung ist fast zu 100% zu teilweise aber nicht immer. Telekom sagt sie können nix tun. Leitung ist vermietet an uns und wir müssen uns kümmern...

  • Ich verstehe nicht, wieso die Auslastung so weit steigt, bis das System nicht mehr reagiert. Loggt ihr da großartig jedes Paket mit, habt ihr 2,99€-NICS (aka Realtek) im Einsatz oder was passiert da?


    Weißt du inzwischen wie der Angriff genau abläuft? Sprich mal mit ngrep, tcpdump oder Wireshark nachgeschaut? Manchmal kann man ganz einfach Regeln bauen und so was blocken.

    "Security is like an onion - the more you dig in the more you want to cry"

  • EDIT: Die Leitung ist fast zu 100% zu teilweise aber nicht immer. Telekom sagt sie können nix tun. Leitung ist vermietet an uns und wir müssen uns kümmern...


    Wenn ihr per DDOS mehr Traffik bekommt als die Leitung hergibt, dann müsst ihr da filtern, wo die Leitung nicht überlastet ist. Ein Filtern auf eurer Seite macht keinen Sinn. Wenn der Angreifer euch z.B. 40Mbit schickt und die Leitung nur 20MBit kann, dann übergibt eurer Provider euch zufällige 50%. 50% der Daten sind verloren, mit den restlichen 50% die bei euch ankommen, könnt ihr dann auch nichts sinnvolles mehr machen, weil immer wieder zu viele Pakete verloren gehen.


    Der Angriff kommt von vielen verschiedenen IPs per Tcp.


    Das ist noch viel zu ungenau!

    "Security is like an onion - the more you dig in the more you want to cry"


  • EDIT: Die Leitung ist fast zu 100% zu teilweise aber nicht immer. Telekom sagt sie können nix tun. Leitung ist vermietet an uns und wir müssen uns kümmern...

    Ihr seid doch Business Kunde bei der Telekom, die können nicht einfach sagen wir können nichts tun.
    Die müssen was unternehmen und zwar Filtern mit euer Erlaubnis, weil das sonst normalerweise Gesetzlich in Deutschland verboten ist.
    Ansonsten sollen die auch die Angreifer IPs geben, damit ihr den Angreifer raus findet und diesen auf Schadensersatz verklagen könnt.
    Es entsteht bestimmt bei euch eine Schaden durch diesen DDos Angriff oder etwa nicht?
    Außerdem hat Telekom sorge zu tragen das die Leitung lauft.