Forums Neueste Beiträge
 

(D)DOS Attacken

26/07/2008 - 09:36 von Alexander Griesser | Report spam
Guten Morgen!

Ich bin gerade dabei einen Windows 2003 Webserver eines Kunden auf Linux
zu migrieren. Jetzt mal abgesehen von den üblichen Problemen die man
dabei hat erwarte ich (D)DOS Attacken auf dem neuen Server, denn der
jetzige Server wird in regelmàßigen Abstànden von DOS Attacken gequàlt.

Gottseidank waren es bisweilen nur DOS Attacken und nicht die
distributed Sorte davon, denn die Skript-Kiddies die dafür
verantwortlich zu machen sind, sind dann scheinbar doch nicht so clever
wie sie denken.

Um dem ganzen Theater gleich vorzubeugen habe ich mir überlegt das
ganze per iptables connlimit auf eine halbwegs vernünftige Anzahl
an Connections pro IP Adresse zu limitieren und wenn diese Anzahl
überschritten wird, dann soll jeder Traffic dieser IP bis auf
weiteres geblockt werden (im Idealfall vielleicht sogar für immer),
das muss ich mir noch überlegen.

Was ich jetzt aber brauchen würde ist:
Eine Art Reporting dafür, also ich müsste benachrichtigt werden
wenn sowas auftritt (in welcher Form auch immer) und die böse
IP Adresse sollte samt Uhrzeit und Anzahl der Verbindungen in
ein File protokolliert werden, damit ich das dann an die
entsprechenden abuse@something Herrschaften weiterleiten kann.

Hat jemand sowas schon implementiert bzw. gibts da vielleicht
schon fertige Tools?

Danke im Voraus,
ciao,
Alex
 

Lesen sie die antworten

#1 Walter Mautner
26/07/2008 - 23:47 | Warnen spam
Alexander Griesser wrote:

Guten Morgen!

Ich bin gerade dabei einen Windows 2003 Webserver eines Kunden auf Linux
zu migrieren. Jetzt mal abgesehen von den üblichen Problemen die man
dabei hat erwarte ich (D)DOS Attacken auf dem neuen Server, denn der
jetzige Server wird in regelmàßigen Abstànden von DOS Attacken gequàlt.



.
Was ich jetzt aber brauchen würde ist:
Eine Art Reporting dafür, also ich müsste benachrichtigt werden
wenn sowas auftritt (in welcher Form auch immer) und die böse
IP Adresse sollte samt Uhrzeit und Anzahl der Verbindungen in
ein File protokolliert werden, damit ich das dann an die
entsprechenden Herrschaften weiterleiten kann.

Hat jemand sowas schon implementiert bzw. gibts da vielleicht
schon fertige Tools?



fail2ban fàllt mir dazu ein. Das wertet die Logfiles aus und macht Reports,
anschließend wird die IP per iptables oder hosts.deny blockiert.
Sollte es sogar als Pakete im Repo geben.
vista policy violation: Microsoft optical mouse found penguin patterns
on mousepad. Partition scan in progress to remove offending
incompatible products. Reactivate MS software.
Linux 2.6.24. [LinuxCounter#295241,ICQ#4918962]

Ähnliche fragen