Beste,

Ik ben al de heledag bezig om hier een oplossing voor te krijgen. Ik heb een dedicated server die al de hele dag onder een zogehete SYN flood ddos aanval ligt. Nu heb ik al een hele hoop ip adressen in de iptable gezet om die te droppe maar dit lijkt oneindig werk.

Zijn hier echt geen andere oplossingen voor?

Hebben we ook last van gehad (zie voorgaand topic over ddos). Bij ons is het vanzelf overgegaan, ik hoop dat dit voor jou ook het geval is. IPs blokkeren gaat niet veel uit halen, je httpd stoppen voor een tijdje kan misschien helpen, eventueel belangrijke sites ff doorzetten naar een andere server. Veel succes ermee, ik weet wat voor een pain in the ass het kan zijn.

Heb je mod_dosevasive ook al geinstalleerd? Zou ook kunnen helpen


Welke controlepaneel gebruik je ?

Heb je mod_dosevasive ook al geinstalleerd? Zou ook kunnen helpen


Welke controlepaneel gebruik je ?

Kan helpen, wij hadden dit geactiveerd echter haalde het niet veel uit.

mja zijn een kleine 10.000 ipadressen ofzo die lopen te flooden. Heeft niet veel zin alle oplossingen die ik heb gelezen. Achja. kheb nu een ander ip adres wat over een uurtje of 4 weer alles in de lucht moet zijn. hopen dat het daarna is afgelopen met dit gezeik.

Beste,

Ik ben al de heledag bezig om hier een oplossing voor te krijgen. Ik heb een dedicated server die al de hele dag onder een zogehete SYN flood ddos aanval ligt. Nu heb ik al een hele hoop ip adressen in de iptable gezet om die te droppe maar dit lijkt oneindig werk.

Zijn hier echt geen andere oplossingen voor?


Mocht dit een extra ip adres zijn die ze aan het flooden zijn, kwestie van dat ip ff nullrouten. en probleem is zo goed als opgelost

ben van ip veranderd gaat door op nieuwe ip adres.

en ik gebruik directadmin voor wie dat vroeg.

**edit**


ik heb nu mod_evasive geinstaleerd op me server. kijken of dat iets uithaalt. Ik laat nog van me horen.

ook na installatie van deze module blijft de ddos gewoon vrolijk doorgaan. :(

een ddos attack is meestal zo dat ze alle ip's gaan testen in jou ip rance.
dus als je bijv.87.137.237.114 heb dan probeeren de bots / programmatjes vanaf 237.1 t/m 237.255 als dan de bot een server tegen komt die makkelijk te berijken is dan gaan automatische alle attacs in eens op dat ip.
Het is heel lastig en rottig heb het ook mee gemaakt.
Enige oplossing is misschien om af te wachten of je firewall helemaal dicht zetten en als je achter een hooft firewall zit die ook dicht zetten

Heb je al contact gehad met je netwerkleverancier?
Wellicht dat zij nog wat voor je kunnen betekenen.

Syncookie protectie in je kernel aanzetten helpt: http://www.faqs.org/docs/securing/chap5sec56.html

Het installeren van mod_evasive (hoewel een goed idee) heeft totaal niets met SYN floods te maken.

mod_evasive kijkt naar het aantal connectie dat per IP en per seconde wordt opgevraagd, daarnaast kijkt mod_evasive of hetzelfde Apache child process overladen wordt.

Nog wat meer tips om je server wat te hardenen vind je op http://www.wiredtree.com/managedservers/serverhardening.php

Syncookie protectie in je kernel aanzetten werkte ook niet :(

Ik heb dit zelf opgelost door gebruik te maken van het stukje software genaamd "Snort".
Op deze manier haal ik de grootste problemen makkelijk en snel weg :)

ik zal eens opzoeken wat snort precies is. bedankt voor de tip en jullie horen weer :)

ben naar snort aan het kijken maar de atacks gaan nu van SYN over op FIN. httpd staat nu uit en het average dataverkeer in+out ligt nu rond de 25mbit.

Vandaag al 80 gig dataverkeer gedraait hierdoor :/

ik zal eens opzoeken wat snort precies is. bedankt voor de tip en jullie horen weer :)

ben naar snort aan het kijken maar de atacks gaan nu van SYN over op FIN. httpd staat nu uit en het average dataverkeer in+out ligt nu rond de 25mbit.

Vandaag al 80 gig dataverkeer gedraait hierdoor :/

Snort heeft in de blacklist de mogelijkheid om SYN en FIN te blocken.


Als de attack op een poort binnenkomt (ik neem aan 80), zou je eventueel de poort tijdelijk dicht kunnen zetten.

Gaan de average connections eigenlijk al omlaag? Of komt er nog continu de volle mik naar binnen?

ja ik ben al naar dat progje aan het kijken en de handleiding aan het lezen maar het is me niet zo duidelijk. ik lees nog wat verder en dan zal ik eens een poging doen tot installatie.

Met iptables kan je beperkingen leggen op het aantal SYN's dat je toegestuurd krijgt, ik zou eerst die limiet iedereen opleggen en dan de IP ranges waar je meeste klanten zich bevinden "whitelisten".

limieten stonden ingsteld maar had ook weinig zin. ik denk dat het heel wat bots zijn omdat ik eerst al 4 uur ben bezig geweest met ips invoere die gedropt moesten worden maar hoe meer ik er inzetten hoe meer nieuwe ik in me lijst zag. was een beetje onbegonnen werk. achja heb nu alles down en dat laat ik zo even zie straks wel verder.

limieten stonden ingsteld maar had ook weinig zin. ik denk dat het heel wat bots zijn omdat ik eerst al 4 uur ben bezig geweest met ips invoere die gedropt moesten worden maar hoe meer ik er inzetten hoe meer nieuwe ik in me lijst zag. was een beetje onbegonnen werk. achja heb nu alles down en dat laat ik zo even zie straks wel verder.

Daarom zei ik ook whitelisten ;). Overtollige SYN pakketjes droppen, en dan IP-ranges van ISPs die je weet waar je klanten bij zitten in de "whitelist" zetten.

en de wereldwijde bezoekers dan die naar de websites komen ? die ondervinden daar daan geen last van. heb nu alles gebloked op transit.

morgen neem ik een nieuwe iprange in gebruik en zet ik de sites over daarop die geen problemen zouden moeten veroorzaken. al mijn eigen sites laat ik liggen en ook een criminal site die bij mij word gehost waarvan ik verwacht dat het daar vandaan komt.

Waarom heb je niet gewoon de IPs geblokkeerd waarnaar de floods gestuurd werden? Dan ben je veel sneller klaar.. i.p.v. ips blokkeren die de floods sturen.

Als er 1000en binnenkomen en blijven komen vanuit verschillende ip ranges haalt het niet uit om deze te blokkeren, als het van één ip komt is het makkelijk maar in dit geval was dit blijkbaar niet zo.

ja na de nieuwe ip range in gebruik te hebben genomen en maar 5 sites op dat nieuwe ipadres gezet en de rest offline gelaten gaat de syn flood vrolijk door. sinds vanmiddag 12 uur is het weer begonnen. nu heb ik dus maar 5 domeinnen op dat nieuwe ip gezet. wat is nou het beste om te gaan doen ?

ja na de nieuwe ip range in gebruik te hebben genomen en maar 5 sites op dat nieuwe ipadres gezet en de rest offline gelaten gaat de syn flood vrolijk door. sinds vanmiddag 12 uur is het weer begonnen. nu heb ik dus maar 5 domeinnen op dat nieuwe ip gezet. wat is nou het beste om te gaan doen ?

Zoals al eerder gezegd, heb je al contact gehad met je netwerkprovider?

Probeer eens bij je netwerk leverancier te vragen of je achter een hardware firewall kunt. Dat is denk de beste oplossing op dit moment.

Ik had ook al wat dingen voor je geprobeerd, maar ook helaas geen resultaat. Denk dat een hw firewall het beste is op dit moment.

Een Cisco firewall heeft mijn server voor de volle 3 weken van een ddos aanval (meer dan 300.000 ips) gewoon online gehouden. Kijk eens of er iets te regelen valt met de host.

Vipeax, wat voor type cisco firewall heb je als ik vragen mag?

Cisco ASA / Cisco PIX denk ik zo.

Cisco ASA / Cisco PIX denk ik zo.
inderdaad

Weet iemand winkels welke deze aanbieden?

www.acesdirect.nl bijvoorbeeld.

Je hebt wel MINIMAAL een 5510 nodig wil je wat kunnen tegenhouden. Daarnaast hebben ze een flinke leercurve.

Even tussen door mijn server vaal telkens in zombie ik heb ni 16 proceccoren in zombie help me pliez en ik draai aleen maar 1 programma der op

Even tussen door mijn server vaal telkens in zombie ik heb ni 16 proceccoren in zombie help me pliez en ik draai aleen maar 1 programma der op

Is dit niet een beetje offtopic voor dit draadje?
Je kunt beter even een nieuwe topic starten.

Geef ook even wat meer info als dat mogelijk is.

Even tussen door mijn server vaal telkens in zombie ik heb ni 16 proceccoren in zombie help me pliez en ik draai aleen maar 1 programma der op

Is je toetsenbord kapot, of heb je gewoon nooit fatsoenlijk nederlands leren schrijven? :eek:

had te snel geschreven, en had ook storing sorry

Ok, maar begin even een nieuwe thread als je nog steeds problemen hebt

heb zelf ook veel gekloot gehad met Ddosers,
ik maak zelf websites en designs voor veel zogezegde ''private servers'',
als iemand van die servers gebanned wordt dan Ddossen ze ook meteen.
Dan zie je al dat je geen genie hoeft te zijn om een Ddosser in je handen te krijgen.