Um welche Art von DOS-Attacken handelt es sich denn?

Wenn es sich um Angriffe gegen den Webserver (Massen-Downloads von immer derselben IP) handelt, hilft z.B. das DOSEvasive-Modul für den Apache-Webserver (Apache 1.3 und 2.0)

http://www.zdziarski.com/projects/mod_evasive/

Hallo bolle,

DoS-Attacke ist ein ziemlich weit gefasster Begriff, welcher auf zig Möglichkeiten angewendet wird, einen Server lahm zu legen.

Bei Angriffen auf 'prominente' Server ist i.d.R. der Absender nicht zu ermitteln oder der Angriff wirksam zu blocken. Selbst Microsoft sah sich mal genötigt, einen bestimmten Update-Server aus dem Netz zu nehmen.

Vermutlich ist dein Server aber nicht ganz so prominent und die Attacke erfolgt aus deinem näheren, durch irgendwas verärgertem Umfeld. Es ist natürlich auch möglich, dass irgendein Kid mit einem DoS-Baukasten zufällig über deine IP gestolpert ist.

Kannst du keine Informationen dazu liefern, um welche Art von DoS-Attacken es sich handelt? Syn Flooding, Ping Flooding, Mailbombing, Mail-List Bombing, Nuking?

Gruß
Fred

es is ein dedicadet mit apache 2

und hauptsächlich flooding.

es werden aber immer wieder auch die usertabellen angegriffen und peertabelle.
und das is zu ko.....immer alles neu machen zu müssen

achja habe die debian version 3.1 sage

mfg bolle

Mit "Tabellen" meinst du Datenbanktabellen?

jep

steht immer da in benutzung wen der server abhaut muss immer auf reparieren gehn damit es wieder funzt und auslastung schiesst auch hoch

mfg bolle

Wenn die Angriffe auf den Webserver zielen, kann das von mir weiter oben vorgeschlagene Modul durchaus Abhilfe schaffen.

Ansonsten helfen vielleicht auch folgende Hinweise:

* alle nicht benötigten Dienste deaktivieren. Auf einem Webserver brauchen eigentlich nur die Ports für HTTP (80), eventuell HTTPs (443), SSH (22) und eventuell FTP (21) nach außen offen zu sein. SMTP und POP3 bzw. IMAP noch wenn der Server auch als Posteingangs- und Ausgangsserver fungiert.

Wenn du die Datenbank nicht übers Netzwerk wartest, kann z.B. der TCP-Port von mySQL dicht gemacht werden (Option "skip-networking" in der /etc/my.cnf).

Interessieren würde mich nur noch, was für eine Seite du hast, daß du ständig Ziel von solchen Angriffen wirst.

is ein tracker (torrent)

und gewisse andere tracker ballern andauern auf die datenbank

das mit den diensten is bereits eingestellt

mfg bolle

und software wird verwendet von netvision nv1 nv2 gemischt


mfg bolle

ich wollte den hier anwenden aber komm damit leider nicht klar

http://www.huschi.net/14_182_de.html


mfg bolle

Tja sorry mit bt-trackern kenn ich mich leider nicht aus.

Wenn die Angriffe immer von derselben IP oder demselben IP-Adressbereich kommen, kann man ja auch diesen Bereich einfach in der apache-Konfiguration blocken, z.B.

<Directory />
..
order allow,deny
deny from <ip>/<netzmaske>
...
</Directory>

in welchem bereich sprich welchem verzeichniss oder datei sprich php muss das eingetragen werden.

mfg bolle

Kommt drauf an, entweder direkt in der httpd.conf wahlweise für alle Hosts oder nur für den einen VHost wo die angegriffene Seite liegt.

Wenn für den betroffenen VHost

AllowOverride Limits

aktiv ist, kann man diese Anweisungen (ohne das <Directory> / </Directory>) auch in eine .htaccess-Datei schreiben, die im DocumentRoot des VHosts liegt.

Nachtrag: eventuell noch das Fehlerdokument für den HTTP-Fehler 403 (Permission denied) auf eine andere Seite verweisen lassen, z.B.

ErrorDocument 403 /geh_weg.html

komischerweise is die httpd config lee komplett

mfg bolle

sorry meinte damit die php httpd config is leer

mfg bolle

Möglicherweise legt plesk die Konfigurationsdateien woanders ab... ich kenne mich mit den ganzen Konfigurationstools leider nicht aus, ich verwende wenn dann nur webmin

kann mir jemand bitte ne php senden oder das reinschmeisen das hier beschrieben wird?


http://www.huschi.net/14_182_de.html

wäre euch sehr dankbar

mfg bolle

bitte helft mir in dieser hinsicht
es geht nur um diesen eintrag der php der httpd.conf im apache
mfg bolle

oder eine andere lösung das unsere rück koplung möglich is der dossattacken oder das der flood nicht mer ankommt bei uns

mfg bolle

Welches der beiden auf der Seite erwähnten Module willst du denn einsetzen?

Beide stehen meines WIssens nach nur als Quelltext zur Verfügung und müssen erst auf dem Server kompiliert werden.