Ik overleg met iemand op MSN zijn we samen bezig geweest de veiligheid te testen van de servers.

Hij kwam met een 50kB executable aan, waarmee hij de server plat legde. Bleek geen virus, bleek echt zo.

Nu heb ik Engage Packet Builder gedownload en probeer ik hetzelfde. 10K packages versturen in 5 seconden gaat perfect. Ik verspil 300kB/s dataverkeer en m'n internet flipt, reageert niet meer op andere dingen tegelijkertijd. Echter draait de server nog keurig door.

De server zou dit gewoon kunnen opvangen waarschijnlijk dus. Of de switch dropt misschien de pakketjes al. Had namelijk ip-gespooft, zal daar misschien mee te maken hebben.

Kan iemand er wat meer inzicht in verschaffen? Wat kan ik hier bijvoorbeeld aan doen, dat dit niet meer gebeurt? En hoe kan ik dit natesten?

Al mijn tests zijn gericht geweest op eigen server-ip. Backup-server HTTP.

HTTP ging ook alleen down tijdens het uitvoeren van de file. Indien file wordt gestopt gaat HTTP vanzelf weer werken.

als je iptables regeltjes hebt draaien draaien die vaka bij een max aantal verbindingen de verbinding volledig dicht totdat de attack stopt.

wat in enkele van de nieuwere versies zit heet hashlimit, waarbij wel wordt gekeken naar type,ip etc hiermee kun je dan de verbinding beperken terwijl alle andere users er nog wel op kunnen.

HTTP ging ook alleen down tijdens het uitvoeren van de file. Indien file wordt gestopt gaat HTTP vanzelf weer werken.

Apache met standaardinstellingen heeft een limiet van max. 256 verbindingen tegelijk.

In principe kan je dus zelfs met een inbelverbinding de webserver onbereikbaar maken, door 256 verbindingen op te zetten, en vervolgens de webserver bezig te houden zodat deze de verbindingen niet verbreekt.

Wat is de naam van dat programma? Wil ik mijn server ook wel even testen.

met portfuck kun je het proberen >> google voor DDOS tool oid

Dat laatste (portfuck) zou ik nou net wel als malware classificeren. :)

Hm, heb ook nog zo'n apache tool liggen waar ik me apache mee kan plat leggen via mijn ADSL lijntje.

Dat laatste (portfuck) zou ik nou net wel als malware classificeren. :)

dat lijkt mij ook inderdaad een goed idee, denk er even aan dat je dit alleen doet als je ook voorzorgsmaatregelen hebt genomen, en alleen op je eigen server.
Misbruik van deze categorie tools is strafbaar.

portfuck opent een oneindig aantal half open TCP connecties (dus alleen SYN packets en geen ACK) en als je daar geen bescherming tegen hebt gaat je server zonder uitzondering down

dat lijkt mij ook inderdaad een goed idee, denk er even aan dat je dit alleen doet als je ook voorzorgsmaatregelen hebt genomen, en alleen op je eigen server.
Misbruik van deze categorie tools is strafbaar.

portfuck opent een oneindig aantal half open TCP connecties (dus alleen SYN packets en geen ACK) en als je daar geen bescherming tegen hebt gaat je server zonder uitzondering down


je kan heel simpel aangeven wat er moet gebeuren met syn_ack requests.

Ik zal me hier even in verdiepen. Ik had gister een:
[root@backup01 ~]# service httpd status
httpd (pid 9217 9201 9197 9196 9195 9194 9191 9190 9188 9187 9185 9183 9182 9181 9180 9179 9176 9174 9166 9157 3405) is running...
[root@backup01 ~]#Maar dan met zo'n 500 processen!
Nagios-melding "HTTP DOWN" kwam ook al snel.
Mag natuurlijk niet gebeuren.

Is mod_evasive hier een oplossing voor?

standaard tooltje om je webservertje leuk op zn bek te kunnen laten gaan is ab(2), dit is de Apache(2) Bencher..

En helaas.. hier doe je vrij weinig tegen :)

Ik zal me hier even in verdiepen. Ik had gister een:
[root@backup01 ~]# service httpd status
httpd (pid 9217 9201 9197 9196 9195 9194 9191 9190 9188 9187 9185 9183 9182 9181 9180 9179 9176 9174 9166 9157 3405) is running...
[root@backup01 ~]#Maar dan met zo'n 500 processen!
Nagios-melding "HTTP DOWN" kwam ook al snel.
Mag natuurlijk niet gebeuren.

Is mod_evasive hier een oplossing voor?

je max aantal apache processen limiteren is een goed begin....

Ik zal me hier even in verdiepen. Ik had gister een:
[root@backup01 ~]# service httpd status
httpd (pid 9217 9201 9197 9196 9195 9194 9191 9190 9188 9187 9185 9183 9182 9181 9180 9179 9176 9174 9166 9157 3405) is running...
[root@backup01 ~]#Maar dan met zo'n 500 processen!
Nagios-melding "HTTP DOWN" kwam ook al snel.
Mag natuurlijk niet gebeuren.

Is mod_evasive hier een oplossing voor?

500 is niet zo bijster veel, maar wat doen ze? En kijk of je TCP-setting kan verlagen tot het minimum wat de RFCs voorschrijven, want dan creeer je op je IP-stack al wat sneller ruimte voor nieuwe verbindingen. Je kan zien of het helpt als verbindingen met status FIN_WAIT2 sneller verdwijnen.

Of mod_evasive helpt? Vast wel, maar tegen wat? Als je niet op past blokkeer je legitieme gebruikers en die kans is vrij groot. Denk aan bedrijfsproxies bijvoorbeeld. En zoals andere ook al hebben aangegeven zijn er meer tools die je server kunnen benchmarken of een dos kunnen uitvoeren. Zelfs Ilse deed het in het begin onbewust toen ze begonnen om RSS-feeds te indexen.

Het is dus misschien handig omte kijken wat er daadwerkelijk fout gaat en daar een oplossing voor te zoeken. Dus op welke laag gaat wat fout en wanneer. En veel testen, want meten is weten helaas.