Sat4all traag en soms offline door D-DOS attack

[Ronaldd]

Asl er weer een attack is

 

http://www.sat4all.com:7889/forums/

 

Als ze dan overschakellen op naar deze poort dan weten we dat ze hier lezen of informatie krijgen van hier.

 

Ronald

[Fiene56]

Moet eerlijk zeggen dat ik er niets van gemerkt hebt, dus hopen dat het opgelost is. Bij mij was ie nog nooit traag.

[WPW]

Origineel bericht van: Ronaldd

Een hardware firewall van 50 EURO was direct onderuit gegaan, die kon deze aanval zeker niet aan.

Een professionele firewall houd syn floods ook niet tegen. En als die ze wel tegen houd dan krijg je het zelfde effect als gisteravond, dan komen ook normale connecties er niet door.

Ronald

Dan heb je er nog niet mee gewerkt want het werkt formidabel, tis wat aan de prijs (ahum) maar de centen wel waard, het enige wat nog van invloed kan zijn is een overloaded pipe maar daar is in voorzien door de extra poorten die je provider kan leveren, kwa bandbreedte maakt het niets uit zolang er maar ergus een retour kanaal is voor nul routing, een beetje isp heeft deze al liggen op de backbone.

[Ronaldd]

Ik heb er idd niet mee gewerkt. Maar het is gewoon theoretish onmogelijk om tussen syn floods vanaf willekeurige ip adressen (IP spoofing) geldige connecties wel door te laten en de troep te filteren.

 

Ronald

[WPW]

Tussen de 2 en 10 seconden en 'men' merkt er bijna niks meer van, tot aan 1 miljoen aanvallen tegelijk. En volautomatisch.

[theparasol]

Druk bezig met syn cookies?

 

http://en.wikipedia.org/wiki/SYN_cookies

[Ronaldd]

Ik wil graag weten hoe z'n hardware firewall goed verkeer onderscheid t.o.v. slecht verkeer, dat is er nl. niet.

Als er een syn paketje aankomt dan weet je gewoon niet of het een loos paketje is dat nooit de 3 way handshake wil gaan uitvoeren of dat de 3 way handshake wel wordt uitgevoerd. De hardware firewall moet dus syn paketjes gaan filteren en als 99% van de syn paketje slecht zijn dan filterd de hardware firewall ook de goede syn paketjes. En als goede syn paketje niet aankomen dan is de site onbereikbaar.

 

Ronald

[Ronaldd]

Ook syn cookies is geen wonder middel. Als 1 of moet clients alleen maar syn paketjes sturen om de backlog buffer te laten overlopen dan houdt syn cookies dat ook niet tegen.

 

Ronald

[WPW]

Origineel bericht van: Ronaldd

Ik wil graag weten hoe z'n hardware firewall goed verkeer onderscheid t.o.v. slecht verkeer, dat is er nl. niet.

Bekijk de specs maar eens via PM.

[theparasol]

Een hardware firewall is niets anders dan een leuke kastje met daarin oplossing met software. De firewall is net zo goed als zijn softwarematige oplossing die op een server zelf zou draaien.

[Gast Pacman]

Hardware is speciaal gemaakt om alleen maar dat ding te doen waar hij voor is ontworpen.

Vandaar dat hardware vaak beter kan focussen op 1 taak.

[pukje]

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

 

dit geeft max 10 connects per ipnummer

 

 

[Ronaldd]

Een hardware firewall is uitstekend geschikt om een server park te beschermen tegen aanvallen. De hardware firewall kan er dan voor zorgen dat de server blijven werken zonder dat ze crashen. Een hardware firewall kan er niet altijd voor zorgen dat sites achter de firewall berijkbaar blijven. Dit omdat ook een hardware firewall niet altijd onderscheid kan maken tussen goed en slecht verkeer

 

Ronald

[Ronaldd]

Origineel bericht van: pukje

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

dit geeft max 10 connects per ipnummer

Dat is niet 10 connecties per IP maar in totaal.

Ronald

[pukje]

iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --set

 

iptables -I INPUT -p tcp --dport 25 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

 

This will Block all the IP ADDRESS which will make connection to port 25 continuously within ie 4 SMTP connection within 60 seconds. You can change PORT,INTERVALs here.

 

Hier een voorbeeld om een smtp server te beveiligen tegen

een dos attack

--seconds 60 --hitcount 4

 

Per IP max. 4 connects binnen 60 seconden.