DDos abschwächen
Maximilian Wilhelm
max at rfc2324.org
Tue Nov 2 21:52:27 CET 2004
Am Dienstag, den 2. November hub Markus Wigge folgendes in die Tasten:
> Tag,
> ich registriere hier schon seit einiger Zeit eine Art DDOS: Von
> verschiedensten Adressen wird immer wieder nach "1.jpg" oder "2.jpg"
> gefragt. Bisher kümmert sich der Apache darum diese Anfragen zu
> ignorieren (Redirect auf nicht-existente Site), ich hätte aber gern mal
> eure Meinung gehört wie man das eleganter "abschalten" kann.
Wie viele Anfragen hast Du denn da?
Unser Webserver hatte mal Spass mit einem Bagle-Ableger, da war mit
sowas nix mehr zu reissen :-(
> Eine Lösung die ich bisher gesehen habe wäre ein String-Matching auf der
> vorgeschalteten Firewall und evtl. ein Tarpit um einen erneuten Aufruf
> zu verzögern.
Der Stringmatcher, den man in iptables reinpatchen kann greif erst dann,
wenn schon eine Verbindung hergestellt wurde (Syn, Synack usw.) und der
Datenstream kommt; bei uns in der Uni war das zu spaet und unser
Webserver hatte *viele* offene Verbindungen die im Timewait hingen.
Zwischenzeitlich hatte ich nen Squid Reverse-Proxy (proxy *vor* dem
Server/den Webservern, der die IP des angegriffenen Servers bekommt)
stehen, der den Muell abfischt und den Rest fleissig ausliefert.
Mittlerweile haben wir das so geloest, dass quasi neben dem eigentlichen
Webserver eine Apache mit der IP des angegeriffenen Servers steht, der
bei boesen Anfragen[TM] nen Redirect auf "http://localhost/" schick und
bei guten Anfragen nen redirect auf nen neuen DNS Namen.
Als einfach zu realisierende Methode schlage ich Dir den Reverse-Proxy
vor.
Wenn Du willst, kann ich Dir eine Squid-Config schicken und stehe gerne
fuer weitere Fragen zur Verfuegung :-)
> Haltet ihr das für praktikabel?
> Wär froh noch ein paar Ideen zu bekommen ;-)
Ciao
Max
--
Follow the white penguin.
More information about the Linux
mailing list