[Yadric]

Hi,
wir haben einen Webserver laufen der die Tage ordentlich zu tun hatte.
Syn-Flood, Request Flood usw...

Dabei ist uns aufgefallen das unsere vorkehrungen einfach nicht reichen.
Wir haben nun vieles umgestellt und die FW Regeln verschärft. Nun würden wir es gerne testen.

Habt ihr zufällig ein paar links zu programmen die verschiedene Webserver Floods absenden?

Flood von Apache2 hatten wir verwendet und damit sind auch die Regeln entstanden die anscheinend nicht ausreichen.
Dazu kommt das einfach 99% der Dos Tools einfach nur Malware sind und oder totaler Mist.

----------

Mir würde auch jemand helfen der sich damit auskennt und mal versucht den Server lahm zu legen.
Würde mich auch per Datei authentifizieren, sodass ihr sicher sein könnt das es mein Server ist.

Danke euch

[manta656]

Ein ''Tool'' kannst du eher vergessen, weil man dafür ein Botnetzwerk braucht und das keiner gerne hergiebt und ausserdem sind Hackinganfragen nicht gerne hier gesehen auch wenn es dein Server ist. Aber vielleicht ist ja hier einer so liebt, und greift dich kurz an .

[spartan-b292]

Richtig, es ist eher unwahrscheinlich das mal eben jemand ein Botnetz hat und damit euren Server mal kurz angreifen möchte .

Aber wenn du z.B. mal angibst welches OS ihr auf dem Server verwendet, welche Dienste laufen und was ihr geändert habt usw. usw. dann kann vllt der ein oder andere noch ein par Tipps geben.

[kaka18]

@ yadric

hab dir eine PN geschickt. schau mal in deinem posteingang nach^^

[Yadric]

Danke.
Naja.. warum ungern gesehen?
Ich kann ja wohl schlecht auf irgendwelche kiddies warten die wieder anfangen zu flooden und dann geht wieder was schief.

Sicherheit sollte man immer testen und nicht nur darauf vertrauen.

Es muss auch nix tolles großes sein. Ich glaube dagegen kann ich in dem moment eh nichts machen essei den es ist ne simple SYN Flood.
Nen DDos der die Verbindung lahm legt kann ich nur in der HW FW abblocken.

Mir gehts darum das die FW auf dem Server auch die kleinen Kiddies abhalten soll.
Die sich mal eben nen tolles Tool laden und 1000 Requests pro Sekunde absenden.

Das legt den Server nicht lahm aber es stört ihn und genau auf die kleinen soll das ganze abzielen.

10.000 < läuft auf der HW Firewall alles an.
Grußle

[spartan-b292]

Jetzt allerdings verstehe ich dein Problem nicht mehr, wenn ihr nicht in der Lage seid eine Firewall so zu konfigurieren bzw generell einen Server so zu administrieren dass "Kiddies" ihn nicht Lahmlegen können, solltet ihr vllt keinen Server haben.

Gegen die Angriffe von großen Botznetzen kannst du nur bedinkt etwas machen, aber so lange du keinen genaueren Angaben machst hat es auch keinen Sinn hier weiter zu denken.

[Yadric]

Das siehst du falsch.
In der Lage sind wir schon. Nur waren die Settings anscheinend zu hoch und genau das würd ich halt jetzt gerne testen.
Um Botnetze brauche ich mir keine Gedanken machen das Regeln wir auf einer anderen Ebene und funktioniert auch Wunderbar.

Was nun geändert wurde:

Code:

<IfModule mod_evasive20.c>
  DOSHashTableSize    3097
  DOSPageCount        2
  DOSSiteCount        50
  DOSPageInterval     1
  DOSSiteInterval     1
  DOSBlockingPeriod   10
</IfModule>

Zusätzlich nach 5 Blocks in 5 Minuten wird ip per iptables eine Stunde gebannt.

Code:

<IfModule mod_slotlimit.c>
  AvailableSlotsPercent   0
  MaxConnectionsPerSite   200
  ClientIpLimit           15
  CustomLimitsFile        /etc/apache2/mod_slotlimit.rules
  ForceVhostName          Off
</IfModule>

Dann läuft noch Mod Defensible und Mod Security (allerdings aktuell nur mit Standard regeln)
SYN- Cookies aktiv - mit entsprechender IPT Regel
IPtables --limit auf port 80 mit 200 connections pro sekunde burst 5