Onderwerp: Anti ddos beveiliging voor debian?

Iemand had mij gevraagd om zijn server na te kijken en te beveiligen.
Het gaat om een chat server met enkele duizenden leden..

Er was van alles mis op die server en ik heb de volgende stappen gedaan,
1: csf/lfd firewall erop gezet en alles "goed" ingesteld.
2: /tmp beveiligd
3: Systeem geupdate
4: mod_antilores en mod_evasive geinstaleerd (anti ddos beveiliging)

De rest is even niet van belang, het ging mij erom om de ddos te laten stoppen.
Wat ik heb gehoord is dat iemand moderator wilde worden op die chatserver.
Het is een jongen van 15 jaar en die heeft een irc bot opgezet vanaf een server uit Iran.
We hebben de logs en screenshots (mirc) van die 15 jarige in ons bezit, ook van de bots.
Die jongen had vervolgens verteld zolang die geen moderator werd hij de server regelmatig wilde aanvallen met ddos.
De chatserver staat in Nederand en hij wordt gebruikt in Kosovo.
In Kosovo krijg je van je provider een shared dynamic IP.
Die 15 jarige woont ook in Kosovo, het is niet mogelijk om zijn IP telkens te blokkeren omdat op hetzelfde netwerk ook moderators zitten voor de chat.

Verder..
De aanvallen kwamen eerst uit zuid amerika, die zijn tegen gehouden nu.
Daarna kwamen de aanvallen uit Zweden, die zijn ook tegen gehouden.
Gisteren kwamen de aanvallen uit Amerika, die zijn ook tegen gehouden.

Nu ga ik er van uit dat er binnenkort een andere bot wordt opgezet vanuit een ander land.

Hoe is dit op te lossen?
Die 15 jarige moderator maken valt af, de server eigenaar laat zich niet chanteren.
Complete landen blokkeren kan ook niet omdat de server wordt gebruikt door Kosovaren die over de hele wereld zitten.
Een aanklacht indienen is ook moeilijk lijkt me.

Heeft er iemand raad?

wat voor soort (d)dos is het?

Oorspronkelijk geplaatst door Japje

wat voor soort (d)dos is het?

Netwerk (bandbreedte limieten) / SYN flood

Oorspronkelijk geplaatst door Herbert

Een aanklacht indienen is ook moeilijk lijkt me.

Hoezo, je kan om te beginnen al een abuse melding zenden naar de netwerkbeheerder vanwaar de attacks plaats vinden. Eventueel ook naar de provider van die 15 jarige jongen.

Om het dan even over de technische zaak te hebben, maar je kan geen ddos tegenhouden vanop de server die de aanval krijgt. Dit simpel weg omdat de server de aanval nog krijgt maar gewoon een drop of reject terug zend. Dus is de traffic op de server niet weg genomen. En daarmee zal de cpu utilisation weg gehaald worden van main progs om firewall te kunnen draaien. En hiermee verleg je gewoon het probleem, ik zou je dan ook aanraden contact op te nemen met je eigen netwerk provider om samen naar een goede oplossing te zoeken (want je netwerk provider zal waarschijnlijk ook niet graag die ddos op zijn netwerk willen hebben).

PS: Over hoeveel mbits aan ddos hebben we het hier eigenlijk?

Oorspronkelijk geplaatst door The-BosS

En hiermee verleg je gewoon het probleem, ik zou je dan ook aanraden contact op te nemen met je eigen netwerk provider om samen naar een goede oplossing te zoeken (want je netwerk provider zal waarschijnlijk ook niet graag die ddos op zijn netwerk willen hebben).

PS: Over hoeveel mbits aan ddos hebben we het hier eigenlijk?

Het is niet mijn server en netwerk gelukkig, ik beheer hem even tijdelijk totdat het probleem opgelost is.
Hieronder een grafiek vanaf 01-09-2009 tot 07-09-2009

Is het een "anti ddos beveiliging"? Dus het moet alarm slaan als er een ddos beveiliging optreedt?

Oorspronkelijk geplaatst door DennisWijnberg

Is het een "anti ddos beveiliging"? Dus het moet alarm slaan als er een ddos beveiliging optreedt?

Je hebt de slaap beter uit dan ik
Het moest zijn: Anti ddos en beveiliging voor debian?

http://www.cyberciti.biz/tips/linux-...on-attack.html

hier staan wat basis iptable regeltjes tegen een paar soorten aanvallen... neemt niet weg dat het alsnog aan komt op die bak.. beste wat je kunt doen is even overleggen met je netwerk leverancier

Oorspronkelijk geplaatst door Japje

beste wat je kunt doen is even overleggen met je netwerk leverancier

Bedank voor het antwoord, ik heb al 2 keer aangegeven dat het niet mijn server en netwerk is.
Je zal bedoelen met de netwerk leverancier waar de server staat.
Dit hebben we al gedaan, er wordt voor de server meer dan 100,- per maand betaald zonder SLA
Wat ik begrepen heb willen ze wel wat doen tegen extra kosten.
Ik zat zelf te denken aan een hardware firewall, nu weet ik niet of dat nut heeft?

Oorspronkelijk geplaatst door Herbert

Bedank voor het antwoord, ik heb al 2 keer aangegeven dat het niet mijn server en netwerk is.
Je zal bedoelen met de netwerk leverancier waar de server staat.
Dit hebben we al gedaan, er wordt voor de server meer dan 100,- per maand betaald zonder SLA
Wat ik begrepen heb willen ze wel wat doen tegen extra kosten.
Ik zat zelf te denken aan een hardware firewall, nu weet ik niet of dat nut heeft?

Hardware firewall van je provider heeft zeker nut, aangezien die traffic dan niet meer toekomt op server die je beheert. En ze hier dan ook geen traffic kosten voor kunnen rekenen. Overigens hebben hardware firewall ook meestal IPS/IDS en is de hardware specifiek afgesteld op firewalling. En indien je provider hier teveel last van krijgt kunnen zij ook makkelijker (al dan niet juridische) stappen ondernemen.

Enkele bedenkingen:

1) mod_evasive voor een chatserver?
2) Op je firewall (bij voorkeur bij je netwerkprovider): allow TCP op 113, 6660-6669 + hub poort; allow TCP 22 van specifieke IP's; allow UDP op poorten 53 & 123 van DNS/NTP IP's. Drop al de rest.
3) Vergeet dat je die jongen kunt vervolgen... Buiten dat hij minderjarig is, en je hem bij wijze van spreken hooguit huisarrest doet krijgen, ga je de verloren kosten niet terugzien.

Dat is zowat mijn advies, meer kun je niet doen. Als je netwerkbeheerder echter niet meehelpt, dan heb je een probleem. Je hebt 1x100 mbit, en als dat vol zit, dan zit het ook vol (packetloss), en droppen de connecties. Dat is wat je eigenlijk moet zien te vermijden... Er zijn nog opties om bvb je kernel te optimizen zodat het OS zelf de packets beter kan afhandelen, maar zonder upstream support heeft dit weinig zin.

Oorspronkelijk geplaatst door Goendi

Enkele bedenkingen:

1) mod_evasive voor een chatserver?

Het is geen irc chat.
De chat waar het om gaat heet: Red5 flash streaming server.
6660-6669 stond al dicht.

Dat verklaart al iets... Dan vrees ik dat je helemaal in de soep zit eigenlijk zonder ondersteuning van je netwerk host...

Zo'n vermoeden had ik ook al Goendi
Ik wacht nog even op meer antwoorden hier..

Iets wat ik ooit bedacht, maar ook dat heeft bandbreedte nodig (en in dit geval, bijkomende lokaties vermoedelijk), is een transparent proxy. je stelt deze op op diverse lokaties en laat ze relayen naar de eigenlijke chat server, op verschillende IP's in verschillende vlan's/ranges. Dit kan, op grotere schaal, de impact van een DDoS aanval op de eigenlijke service alvast inperken.