Δέχομαι επίθεσης ddos μπορώ να βάλω κάποιο protect σε linux?

[Crystallization]

Εμένα με ενδιαφέρει το θέμα,οπότε ο TS μπορεί να έφυγε,όμως εγώ κάνω μπάνιο μέσα στην γνώση

Διαχειριζόμαστε έναν dedi που τρέχει 2 online games σε win vm στημένα πάνω σε debian. Που και που τρώει DDoS το 1 game,άλλοτε το άλλο οπότε η λύση του iptables αν κάνει ban τις IP μετά από (π.χ.) 15 πακέτα ανά τόσο χρονικό διάστημα ακούγεται καλή ιδέα.

[martinoff]

το ddos διαρκεί μερικά δευτερόλεπτα στην ανοιχτή πόρτα για τέτοιους στόχους και όπως είπαν imitheos και mphixtis όταν θα σου έρθουν 60Gbps request θα πέσεις εκτός αν είσαι google

για την γνώση εννοείτε ευπρόσδεκτη αλλά άλλο το bot για portscan και άλλο το ddos

βρες ένα botnet νοικίασε το και ρίξε την σελίδα που θες, αν δεν ξέρεις καλά να κρυφτείς και ο στόχος σου είναι σημαντικός έχεις σοβαρό θέμα

http://forums.hak5.org/index.php?showtopic=913

[mphxths]

mphxths DDoS κατά καιρούς τρώνε και απλοί webservers. 

 

 

Σαφως και ναι..αλλα πρεπει να εισαι "καποιος" για να στοχοποιηθεις

 

Αν τωρα εγω που host-αρω 10 σαιτς του κωλου...δεν νομιζω να ασχοληθει κανεις μαζι τους.

Αν ομως ενα απο τα 10 ηταν του υπουργειου οικονομικων..και θελανε οι anonymous να το ριξουν...προφανως και θα την ετρωγε ο σερβερ μου (και τα αλλα 9 σαιτς ...σαν παραπλευρες απωλειες )

[mandos]

ένα δικό μου αποτελεί στόχο, όσο να'ναι προσπαθώ να ξέρω ΤΙ είναι αυτό από το οποίο κινδυνεύουμε τουλάχιστον

[imitheos]

Εμένα με ενδιαφέρει το θέμα,οπότε ο TS μπορεί να έφυγε,όμως εγώ κάνω μπάνιο μέσα στην γνώση

 

Διαχειριζόμαστε έναν dedi που τρέχει 2 online games σε win vm στημένα πάνω σε debian. Που και που τρώει DDoS το 1 game,άλλοτε το άλλο οπότε η λύση του iptables αν κάνει ban τις IP μετά από (π.χ.) 15 πακέτα ανά τόσο χρονικό διάστημα ακούγεται καλή ιδέα..

 

Τι θα γίνει αν έρθουν 16 πακέτα μαζεμένα γιατί υπήρχε lag σε κάποιο σημείο ? Ή αν πέσει η dsl κάποιου και μετά πάρει άλλη IP και στείλει κάποια φαινομενικά άσχετα πακέτα οπότε το firewall τον κάνει ban ? Το κακό με αυτές τις λύσεις είναι ότι όλες έχουν ένα ρίσκο και μπορούν να έχουν πολλά false positives.

 

Μια λίγο καλύτερη λύση είναι να χρησιμοποιήσεις μια community-driven λίστα. Το σκεπτικό είναι το ίδιο που γινόταν παλαιότερα με τις λίστες για τους open-relay mail servers που χρησιμοποιούνταν για spam. Όταν έρχεται σε κάποιον portscan εισάγει στη βάση την IP και έτσι η βάση εμπλουτίζεται. Και αυτή η λύση όμως δεν είναι πανάκεια λόγω δυναμικών IP. Αν η βάση δεν επιτρέπει εισαγωγή δυναμικών IP ενδέχεται και πάλι να φας portscan ενώ αν επιτρέπει ενδέχεται να μπλοκάρεις κάποιον νόμιμο χρήστη.

 

Άλλη λύση είναι να δεις από την IANA και το APNIC (ή από κάποια βάση όπως αυτή) όλες τις IP της Κίνας και να μπλοκάρεις αυτές μειώνοντας το scan κατά 95% 

[mphxths]

@Hmitheos

 

Συνηθως τα ip ban-αρονται για μερικα λεπτα ή καποιες ωρες...Μιλαω για την προαναφερθεισα λυση fail2ban+iptables.

Επισης αν υπαρχουν καποια ip/hostnames που συνδεονται τακτικα στον server...τα βαζεις σε μια "white list" για να αγνοουνται...

 

Αλλα οκ ναι μπορει να παιξουν false alarms...

 

Ας πουμε τις πρωτες μερες που συνδεομουν στον dedi με ssh μαλακιζομουν και μπερδευα τα passes...εκανα 2-3-4 logins μαζεμενα και ετρωγα ban απο το συστημα

 

Ε ενταξει μετα συμμορφωθηκα

[Crystallization]

ο.Ο υπάρχουν τόσοι τρόποι για να προστατευτείς;

Εμένα δεν με πειράζει το portscan,επειδή hostάρουμε mmorpg games συνήθως το scan γίνεται σε 4 port που είναι γνωστές "ξεχασμένες ανοιχτές" για να blastάρεις ότι θέλεις στον gameserver. Εμείς τις κλέισαμε και τέλος. Απλά που και που παίζει DDoS και θέλω να το αποφύγω. Θα ψαχτώ λίγο με την λύση του mphxths και θα δω πως πηγαίνει το πράγμα.