THEMA: DDOS - Schutzmaßnahmen

DDOS - Schutzmaßnahmen 12 Jahre 7 Monate her #6958

  • menkisys
  • menkisyss Avatar
  • Offline
  • menkiSys Networks CEO
  • Beiträge: 2317
  • Dank erhalten: 12
  • Karma: 249
Jeder vernünftige Server sollte im Internet gut abgesichert werden. Die Absicherung sollte intelligent und ausgeklügelt sein um möglichst alle schadhaften Angriffe aus dem Internet zu blockieren. Eine garantierte Sicherheit gegenüber DDOS-Attacken kann man nie haben. Jedoch kann man anhand der Tools die im Internet Verfügbar sind sehr viel dagegen tun.

Jedes Linux-Betriebssystem hat einen Linux-Kernel der auch eine softwaremäßige Firewall IPTables besitzt. Über diese sehr mächtige Firewall lassen sich viele Ports bzw. Dienste blockieren oder limitieren. Unser Ziel ist es den Apache-Webserver so einzustellen das er max. 20 Zugriffe pro IP-Adresse zulässt. Eine DDOS-Attacke überflutet den Server mit tausenden Anfragen pro Minute. Wenn wir die Einstellung definieren das ein Benutzer max. 20 Anfragen stellen darf dann schützen wir den Server damit. Der Apache-Webserver läuft ja per Standard über den Port 80.

Mit dem Befehl:
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
limitieren wir den Apache2-Webserver auf max. 20 gleichzeitige Zugriffe pro IP-Adresse. Somit kann von einem Server bzw. PC-Benutzer max. 20 X gleichzeitig auf den Server zugegriffen werden. Alle Anfragen über dieses Limit werden indirekt verworfen und kommen gar nicht erst zu dem Server.
Nach einer bestimmten Zeit werden diese IPTABLES-Limits automatisch wieder entfernt. Der Apache-Webserver startet bei jedem Zugriff auf eine Website ein Prozess. Dabei ist wichtig wie lange ein fcgid-Prozess gültig ist (leben darf). Der Webserver wird nach einer Weile selbst die FCGID-Prozesse aufräumen und der zuvor blockierten IP den 20-fachen Zugriff wieder einräumen.
Man kann auch mit dem gleichen Befehl alle anderen Dienste auf dem Server limitieren. Es kommt äußerst selten vor das ein Besucher gleichzeitig mehr als 20x per IP zugreifen möchte.

Bei Fragen stehen wir gerne zur Verfügung.
Menkovic Adnan - menkiSys Gründer
Microsoft zertifizierter Software Ingenieur
Linux Certified Professional
menkiSys Networks – Multimedia Hosting Solutions
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
www.menkiSys.de
Letzte Änderung: 12 Jahre 7 Monate her von menkisys.
Der Administrator hat öffentliche Schreibrechte deaktiviert.
Moderatoren: grogster
Ladezeit der Seite: 0.091 Sekunden