Kann man sich vor DoS Attacken schützen?

Twins · Post by **Twins** » Tue Apr 18, 2006 1:56 pm

Hallo,

ich habe seit einigen Tagen dass Problem, dass irgenteiner mein Forum mit DoS Attacken floodet. Gesten um 23.35 Uhr eine DoS Attacke (Server muss neugestartet werden, da wichtige Prozesse in PhpMyAdmin durch die Überlastung abgestützt sind) und dann eben um 13.35 wieder ein Angriff.

Diese Angriffe kommen von der gleichen IP und deswegen war in der index.php und portal.php jeweils über 500 Datenbankabfragen.

Kann man sich vor DoS Attacken schützen? Wenn ja, wie? Ich hoffe, man kann mir wieterhelfen. Danke schonmal im vorraus.

Viele Grüße,
Twins

Post by **garvinhicking** » Tue Apr 18, 2006 2:19 pm

Hi!

Gegen DoS kann man sich nur OS-seitig schützen, indem man TCP-Limits und Firewalls demenstprechend konfiguriert, dass IP-Adressen nicht flodden können, und man kann bei erreichen einer gewissen Paketzahl automatisch eine IP Adresse z.B. blocken.

Wenn das nicht dein Root-Server ist, hast Du da jedoch keine effektiven Eingriffsmöglichkeiten. Du könntest in einem global prepend PHP file die IP-Adressen prüfen, aber das würde einen DoS immer noch bis zu PHP vordringen lassen.

Viele Grüße,
Garvin

falk · Post by **falk** » Tue Apr 18, 2006 2:24 pm

Also, es gibt für den Apachen ein Modul, was solche Leute raussperrt. Das fängt mit c an. Wie es genau heißt, kann ich dir leider heute nicht sagen, aber der Name steht zu Hause auf einem Zettel und eine googlesuche war erfolglos. Ich poste den Namen morgen.

Die Frage ist nur: Hast du Zugriff auf auf einen Apachen und das Recht, Module einzubinden?

Twins · Post by **Twins** » Tue Apr 18, 2006 3:30 pm

garvinhicking wrote:Gegen DoS kann man sich nur OS-seitig schützen, indem man TCP-Limits und Firewalls demenstprechend konfiguriert, dass IP-Adressen nicht flodden können, und man kann bei erreichen einer gewissen Paketzahl automatisch eine IP Adresse z.B. blocken.

Wo bekommt man sowas her und wie installiert man dass? Ich möchte mich über DoS Attacken und seine Schutzmittel gerne etwas informieren.

@falk:

danke!

Ich weiß nicht, ich habe volle Serverrechte und kann also alles machen (PhpMyAdmin, PHP, Apache usw.).

Post by **garvinhicking** » Tue Apr 18, 2006 3:32 pm

Hi!

Das Zauberwort für die von mir erwähnten Dinge heißt "iptables". Damit dürftest Du alles googlen können was es gibt. Das Thema ist sehr komplex, und Du solltest Dich generell erst mit TCP/IP und Firewalls beschäftigen.

Viele Grüße,
Garvin

Twins · Post by **Twins** » Tue Apr 18, 2006 9:02 pm

Vielen dank!

Wikipedia und Google sind für solche Sachen gut, dann mache ich mich mal schlau. Auf einer Seite habe ich gelesen, dass man DoS Attacken auch so blocken kann:

Code: Select all

<?php
if ('192.168.1.100' == $_SERVER['REMOTE_ADDR'])  exit('DoS Attacke geblockt!');
?>

falk · Post by **falk** » Wed Apr 19, 2006 7:41 am

So, nun noch der Webserver-Beitrag von mir:
Wenn man aus dem c ein e macht kommt man sehr schnell auf mod_evasive. Das Modul soll den Apachen vor DOS-Angriffen schützen. Da das mod noch auf meiner "Ausprobieren"-Liste steht, kann ich leider nichts weiter dazu sagen. Nur dass es im Linuxmagazin vorgestellt wurde und demzufolge nicht grottenschlecht sein kann

.

http://www.nuclearelephant.com/projects/mod_evasive/

Post by **garvinhicking** » Wed Apr 19, 2006 10:18 am

Twins:

Wie erwähnt, der PHP Code den Du zeigst, nützt recht wenig. Bis dieser Code ausgeführt werden kann, hat Apache schon 60% der Anfrage abgearbeitet und deine Maschine wurde schon durch den kompletten PHP-Parser belästigt...

Viele Grüße,
Garvin

Twins · Post by **Twins** » Wed Apr 19, 2006 12:00 pm

@falk:

vielen dank!

Ich werde wegen den Apache Module aber auch mal mit meinen Provider reden und ihn darüber informieren.

@garvinhicking:

ja, aber überlebt dann nicht wenigstens der Datenbankserver? Naja, ich denke es gibt wirkungsvollere Methoden.

falk · Post by **falk** » Wed Apr 19, 2006 12:47 pm

Wen ein Provider mit drin hängt ist es eigentlich seine Aufgabe, mit Hilfe von Firewall und Co. für Sicherheit zu sorgen. Wen dein Server wirklich einen DoS-Angriff ausgesetzt ist, dann würde ich dem Provider mal gehörig auf die Finger schlagen. Na ja, zumindest mal nett anfragen.

Twins · Post by **Twins** » Thu Apr 20, 2006 9:48 am

Mein Provider installiert gerade in diesem Moment PHP5 (inklusive des Apache Modules gegen DoS) auf meinen Server. Und läuft S9Yauch unter PHP5? Gibt es irgentetwas zu beachten? Wie sieht es mit den Plugins aus?

falk · Post by **falk** » Thu Apr 20, 2006 10:16 am

Also zu der Zeit als ich noch PHP5 auf meinem Rechner hatte, hatte ich keine Probleme damit. Aber ich glaube Garvin ist über jedes Problem was mit PHP5 auftritt dankbar. Ach, da fällt mir gerade ein PHP 5.0.1(?) zickte mit Anweisungen nach Art "$a = $b = array();". In s9y kam das ein- oder zweimal vor und wurde von Garvin gefixt.

Twins · Post by **Twins** » Thu Apr 20, 2006 10:38 am

Der Provider hat nur PHP5 gesagt. Welche Version genau, weiß ich leider nicht (ich denke mal die neuste). Ich werde dann mal sehen, ob S9Y dann noch läuft und mich bei evtl. Fehlern melden.

Vielen dank an euch beide für diesen super Support hier!

Post by **garvinhicking** » Thu Apr 20, 2006 11:11 am

Serendipity läuft problemlos mit PHP5. Mir ist kein Plugin bekannt was nicht läuft.

Grüße,
Garvin

Twins · Post by **Twins** » Thu Apr 20, 2006 6:37 pm

Irgentwie habe ich was falsch gemacht... Beim Aufruf des Forums erscheint diese Meldung:

message_die() was called multiple times. This isn't supposed to happen. Was message_die() used in page_tail.php?

Und S9Y ist nur noch eine weiße Seite, auf der sich sonst nichts anderes mehr tut.

Wo liegt bei mir der Fehler und wass habe ich falsch gemacht? Wie kann ich dass korregieren?

Kann man sich vor DoS Attacken schützen?

Kann man sich vor DoS Attacken schützen?

Re: Kann man sich vor DoS Attacken schützen?

Re: Kann man sich vor DoS Attacken schützen?

Re: Kann man sich vor DoS Attacken schützen?