DDOS attacke...was tun ?

[terrabyte]

Seit geraumer Zeit (ca. 2 Wochen) finden einige DDOS Attacken auf 2 meiner Server statt. Wenn ich den Befehl "netstat -na |grep :80 |grep ESTA" eingebe sehe ich ca. 250 ESTABLISHED Verbindungen auf port 80 http. Die Verbindung des jeweiligen Prozesses bleibt bis zum Apache Timeout (normalerweise also 300 Sekunden) bestehen. Traffic scheinen sie nicht zu verursachen. Gebe ich den Befehl "service httpd fullstatus" ein, dann sehe ich 250 Zeilen mit der Information "::reading::" und einige legitime Zugriffe.
Der Server ist dann nicht mehr erreichbar, sobald er das Prozess-Limit von Apache erreicht. Danach werden sämtliche Apache Zugriffe logischerweise geblockt. Erhöhe ich das Limit bricht der Server überlastet zusammen.

Was ich nun gemacht habe: Timeout runter auf 5 Sekunden. Dadurch ist der Server wieder problemlos erreichbar, denn es kann sich keine genügend große Anzahl an Prozessen etablieren. Allerdings ist das natürlich keine wirkliche Problemlösung.

Deshalb wollte ich mal fragen ob irgendwer eine Ahnung hat wie man das blocken kann. Problem: Alle Zugriffe kommen von unterschiedlichen IPs besonders aus Russland und Süd-/Mittel-Amerika. Einfach mit iptables blocken geht also nicht. Ich habs auch schon mit APF Firewall probiert, was aber entweder dazu führt, dass garnichts geblockt wird, oder es werden auch unschuldige IPs geblockt. Beides ist nicht praktikabel... Ich habe auch mal versuchen den Prozess mit strace zu tracen, aber da kommt kein Output... Also wäre der Prozess pausiert. Ich habe die IPs auch schon in den Apachelogs gesucht...die gleichen IPs haben teilweise PHP injection Hacks auf Scripte abgelassen (teilweise sogar wo garkeine Scripte existierten...das ist dann als 404 verzeichnet), die aber von mod_security geblockt werden.
Fehler in Apache oder dergleichen kann ich ausschließen (denn bei so einer Störung käme es ja zu Ausfällen und entsprechenden Beschwerden - außerdem sind alle Seiten problemlos erreichbar und legitime Zugriffe münden auch nicht in dauerhaft establishte Prozesse.

Was also tun ?

[Sachsenprovider KG]

Man nehme: Mod_Security und bissl Iptables :)

[terrabyte]

Man nehme: Mod_Security und bissl Iptables :)

Gelesen hast du meinen Text ja nicht, oder ?

[Guin]

Hilft vielleicht mod_evasive?
Wenn eine eingestellte Anzahl von Verbidungsversuchen je Sekunde von einer IP kommt, bekommt die IP nur noch einen Fehler zurueck. Wenn man das dann noch in Verbindung mit IPTables nutzt, sollte das eigentlich helfen.

[terrabyte]

Von jeder IP kommt immer nur ein Zugriff alle paar Minuten. Die Verbindung bleibt dann stehen, bis zum Apache Timeout.

[Guin]

Dann wuerde ich, wie du schon geschrieben hast, den Timeout so tief wie moeglich setzen. Eigetnlich ist es nicht so wild, wenn der auf 50 steht. Wie es mit Timeout 5 aussieht, weiss ich nicht.

Ansonsten bliebe noch, ganze IP Bereiche per IPTables zu sperren. Das ist natuerlich bloede, wenn du noramle Besucher aus Russland und Süd-/Mittel-Amerika hast.

[terrabyte]

Hi,
Worauf erfolgen denn die Zugriffe, auf eine Domain oder eine IP?
Wenn eine Domain erstmal auf einen anderen Server legen, damit die anderen Seiten nicht drunter leiden müssen, wenn eine IP einfach alle Domains auf eine andere IP legen, und diese Nullrouten oder einfach den Port 80 auf dieser dicht machen.

Tja das ist die Frage... Auf apache fullstatus wird nur "..reading.." angezeigt. Weiter nichts. Ich bin gerade mal wieder am durchsuchen der Log Files. Leider ist das recht kompliziert, da die Log Files 14 GB umfassen und grep etwas länger braucht um das alles zu durchsuchen.

[Dorijan]

hast du mal versucht die ips zurückzuverfolgen und den jeweiligen provider anzuschreiben ?

ja es ist ein extrem nerviges spiel das mit allen ips zu machen aber es ist evtl ein anfang.

[terrabyte]

hast du mal versucht die ips zurückzuverfolgen und den jeweiligen provider anzuschreiben ?

ja es ist ein extrem nerviges spiel das mit allen ips zu machen aber es ist evtl ein anfang.

Das würde wohl nichts bringen... Erstens sind es sehr viele IPs (ich habe mal mitgeloggt und nach 5 Minuten waren 300 verschiedene IPs in der Logdatei...es sind noch mehr...ich hab dann abgebrochen) zweitens gehen so gut wie alle dieser IPs nach Russland, Mittel- oder Südamerika. Dort kann man davon ausgehen, dass das niemanden interessiert. Jedenfalls könnte der Angreifer bestimmt schneller neue Systeme hacken wie ich ihm Systeme sperren lassen könnte.

[Dorijan]

pack die ips alle in ein textfile

schreib dir ein script was whois drauf macht und eine mail an die contact mail schickt.

dann sortier dir ips, such dir das dazugehörige AS und schreib den AS beteiber an das über ihn massive ddos gefahren wird bzw das massiv gehackte rechner über seine leitung zu dir rüberkommen, lass es zur not deinen rz betreiber machen um der sache etwas nachdruck zu geben.

ja das ganze artet in arbeit aus aber sowas gehört imho als provider dazu.