Software Protection gegen DDoS-Angriffe Debian 5/6/7

Ilya Beliaev

Derzeit tätig als Product Owner (Schwerpunkt Backend-Entwicklung) bei Proclane Commerce GmbH im E-Commerce Bereich - Schwerpunkt B2B SAP Integration.Vorher tätig als Fachinformatiker für Anwendungsentwicklung bei der terralink networks GmbH einem Telekommunikationsdienstleister. Hauptsächliche Schwerpunkte waren Entwicklungen von API's / API-Clients, Verwaltungsoberflächen aus dem kompletten Telekommunikationsbereich und Integration von SAP/ERP-Systeme in E-Commerce Lösungen.

Das könnte Dich auch interessieren …

9 Antworten

  1. Ovidiu sagt:

    Hatte einige probleme mit Debian squeeze bis ich deinen Artikel gefunden habe 🙂
    /usr/local/ddos/ddos.sh ist nun lauffähig aber ich habe da trotzdem noch einige Fragen…

    Hat diese Variable überhaupt noch einen Sinn: CRON=”/etc/cron.d/ddos.cron” ?
    Schließlich hab ich den cron job ja manuell angelegt via crontab -e

    Zudem krieg ich jetzt jede Minute den Output des cron jobs zugeschickt. Hab ich jetzt erstmal so abgestellt:

    * * * * * /usr/local/ddos/ddos.sh &> /dev/null

    Gibts hier nicht ne elegantere Lösung so dass ich nur ne email bekomme wenn tatsächlich jemand geblockt wurde und nicht bei jeder Ausführung?

    Passen alle anderen Berechtigungen, etc?

    • admin sagt:

      Hallo Ovidiu,
      in der ddos.cron steht ebenfalls nicht anderes drin als:

      0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

      Ich habe die Erfahrung gemacht das der Cron-Job den man über ddos deflate setzen kann meistens nicht funktioniert und somit ddos deflate über den Cronjob nicht ausgeführt wird.
      Prinzipiell könntest du die Zeiteinstellungen von der Cronjob file übernehmen, dann wird DDoS-Deflate nicht jede Sekunde ausgeführt sondern jede Minute.

      Was die Mails betrifft kann ich dir da leider keinen Lösungsvorschlag machen. Ich persönlich nutze die Benachrichtigungsoption von ddos-deflate nicht. Eben aus diesem Grunde und aus dem Grunde weil bei einem wirklichen DDoS mehrere 100 Bots den Server attackieren und für jeden einzelnen Bot eine Benachrichtigung zu erhalten sehe ich als reinen Spam.
      Wenn du via Mail benachrichtigt werden willst und nicht jede Sekunde eine Email erhalten möchtest solltest du dir die ddos.sh mal anschauen und evtl. umschreiben. Meine Bash-Kenntnisse die die Programmierung von solchen Scripts betrifft ist leider ziemlich stark eingeschränkt.

  2. Wenn ich mein vserver neustarte wie kann ich den schutz wieder starten ?? oder wird der mit gestartet ???

    • admin sagt:

      wenn ein cronjob angelegt wurde, läuft dieser solange durch bis man den entsprechenden eintrag aus crontab entfernt.
      Somit ist das Starten des Prozesses unabhängig davon, ob der Server neugestartet wurde oder nicht.

  3. Sascha Schumann sagt:

    Servus, für PHP-Sites insbesondere geeignet ist auch myracloud.com. Dabei wird die eigene Infrastruktur hinter myracloud als Proxydienst gehängt. Mit einer Bandbreite von über 400gbit/s wehrt myracloud Angriffe ab. Mehr hier: myracloud.com DDoS Protection.

  4. Vummi sagt:

    Bei mir wurde die localhost gebannt, obwohl 127.0.0.1 in der Ignorliste steht. Habe dann auch localhost in die Liste geschrieben. Hat leider nicht funktioniert. Wie kann ich das Problem lösen?

    • admin sagt:

      Wenn die IP-Adresse/ Der Hostname nachträglich in die Konfiguration eingetragen wird, hilft das relativ wenig er wird zwar dann auch ignoriert, aber steht weiterhin im Input chain von Iptables mit der Regel “DROP”. Daher müsste der Eintrag erst einmal entfernt werden durch: iptables -D INPUT [nr des eintrags von oben].

  1. März 20, 2013

    […] Skript muss man "crond" durch "cron" ersetzen (2x je Skript) 2.) Man muss laut dieser Seite oben das bin/sh durch bin/bash ersetzen (wieder in beiden Skripten) Rufe ich nun die Skripte mit […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.