DDoS Schutz!

03/28/2012 20:54 Lewfire#1
Hallo,

Ich habe eine Frage ich werde ab und zu von i.welchen Kindern auf meine Dyndns Server geddost.... es nervt einfach ich habe es mit Xampp hinbekommen das du Homepage nicht mehr geddost wird aber der Server wird noch geddost kann mir einer Helfen die ich DDoS Shutz machen kann auf dein FreeBSD Server? weil es ist echt nervig.
03/28/2012 21:01 .PaiNCAkE#2
Hau dir folgende sachen in dein System :

[Only registered and activated users can see links. Click Here To Register...]

Benutz folgende PF.rules:
PHP Code:
### INTERFACES ###
if = "{ em0 }"

#Intra
table <intranet> { 127.0.0.1 }
pass in quick from <intranetto any keep state

#Network
table <networkpersist
block quick from 
<network>
pass in on $if proto tcp from any to any 
keep state 
(max-src-conn 100max-src-conn-rate 15/1
overload <networkflush global) 
Schreib folgendes in deine sysctl.conf (befindet sich in der etc):

PHP Code:
vfs.vmiodirenable=1
kern
.ipc.maxsockbuf=16777216
kern
.ipc.somaxconn=8192
net
.inet.tcp.rfc1323=1
net
.inet.tcp.sack.enable=1
net
.inet.tcp.sendbuf_auto=1
net
.inet.tcp.recvbuf_auto=0
net
.inet.tcp.sendbuf_max=16777216
net
.inet.tcp.recvbuf_max=16777216
net
.inet.tcp.sendbuf_inc=16384
net
.inet.tcp.recvbuf_inc=524288
net
.inet.tcp.sendspace=65536
net
.inet.tcp.recvspace=65536
net
.inet.udp.recvspace=65536
net
.inet.udp.maxdgram=57344
net
.local.stream.recvspace=65536
net
.local.stream.sendspace=65536
kern
.maxfiles=204800
kern
.maxfilesperproc=200000
kern
.maxvnodes=200000
# Security networking
# Limit ICMP
net.inet.icmp.icmplim=50
net
.inet.icmp.maskrepl=0
net
.inet.icmp.drop_redirect=1
net
.inet.icmp.bmcastecho=0
net
.inet.tcp.icmp_may_rst=0
# Drop synfin packets
net.inet.tcp.drop_synfin=1
# a single pass through the firewall
# net.inet.ip.fw.one_pass=1
# adds more queue buckets for ipfw dummynet
# net.inet.ip.dummynet.hash_size=2048
# increase the size of network mbufs to allocate
#kern.ipc.nmbclusters=262144
# If above used add the following to /boot/loader.conf - reb
# kern.ipc.nmbclusers="65536"
# This is for dos protection
net.inet.tcp.msl=7500
# Turn off stealth IP networking
#net.inet.ip.stealth=0
# Try to protect against scans
net.inet.tcp.blackhole=2
net
.inet.udp.blackhole=1
# Try to stop some syn flood attacks, and route cache degreg
net.inet.ip.rtexpire=2
net
.inet.ip.rtminexpire=2
net
.inet.ip.rtmaxcache=256
# Drop evil sourcerouted packets
net.inet.ip.accept_sourceroute=0
net
.inet.ip.sourceroute=0
# Turn it on when you have two interfaces on same switch
# net.link.ether.inet.log_arp_wrong_iface=0
net.inet.tcp.log_in_vain=1
net
.inet.udp.log_in_vain=1
kern
.ipc.nmbclusters=262144
net
.inet.tcp.delayed_ack=0
net
.inet.tcp.inflight.enable=0
net
.inet.ip.ttl=128
net
.inet.tcp.maxtcptw=200000
net
.inet.tcp.fast_finwait2_recycle=1
net
.inet.ip.intr_queue_maxlen=4096
vfs
.read_max=32
net
.inet.tcp.ecn.enable=1
net
.inet.tcp.hostcache.expire=1
security
.bsd.see_other_gids=0
security
.bsd.see_other_uids=0
security
.bsd.unprivileged_read_msgbuf=0
kern
.ipc.shmmax=134217728
kern
.ipc.shmall=32768
kern
.ipc.semmap=256 
Somit sollte dein Root erstmal standhalten :D
03/28/2012 21:01 Endless.#3
Ich glaube es gibt fertige Homepage Scripts, Foren die ein Anti Flooding System haben.. sowohl haben diese auch eine Firewallähnliche Funktion.. bin mir da net sicher, aber mit den neuen HP Scripts bist du besser auf der Schiene..wie mit den älteren..

Das jemand dein Server downen will istn Zeichen dafür, das du ne derbe Lücke im Server hast^^ guck auch gleichzeitig nach neuen Serverfiles.. bei denen Cores dabei sind, wo DDOS Tools von Infinity usw keine Chance haben:D

Weiter wüsste ich dir leider net zu helfen.. aber stabile Files sind in dem Fall unerlässlich!
03/28/2012 21:03 .PaiNCAkE#4
Quote:
Originally Posted by Endless. View Post
Ich glaube es gibt fertige Homepage Scripts, Foren die ein Anti Flooding System haben.. sowohl haben diese auch eine Firewallähnliche Funktion.. bin mir da net sicher, aber mit den neuen HP Scripts bist du besser auf der Schiene..wie mit den älteren..

Das jemand dein Server downen will istn Zeichen dafür, das du ne derbe Lücke im Server hast^^ guck auch gleichzeitig nach neuen Serverfiles.. bei denen Cores dabei sind, wo DDOS Tools von Infinity usw keine Chance haben:D

Weiter wüsste ich dir leider net zu helfen.. aber stabile Files sind in dem Fall unerlässlich!
Kurze Frage sag mir bitte was dein DDos angriff auf den Server mit den Files bzw Cores zu tun ?? das möchte ich gerne wissen man kann die cores höchstens mit Packeten beschiessen was aber flooding wäre und kein Dos geschweige den DDos ...

Es geht um einen DDos angriff nicht um irgendwelchen Hacker Tools etc.
03/28/2012 21:07 Endless.#5
Könnte sein das ein DDOS Angriff auf den ganzen Server auswirken kann.. auch wenn ich net so viel Plan davon habe, mein Server wurde vor MOnaten auch mal platt gemacht, auch wenn sämtliche Tools usw gefixxt waren. Kann auch sein das sein Server von irgenteinem Tool platt gemacht wurde..
03/28/2012 21:08 Lewfire#6
Quote:
Originally Posted by .PaiNCAkE View Post
Hau dir folgende sachen in dein System :

[Only registered and activated users can see links. Click Here To Register...]

Benutz folgende PF.rules:
PHP Code:
### INTERFACES ###
if = "{ em0 }"

#Intra
table <intranet> { 127.0.0.1 }
pass in quick from <intranetto any keep state

#Network
table <networkpersist
block quick from 
<network>
pass in on $if proto tcp from any to any 
keep state 
(max-src-conn 100max-src-conn-rate 15/1
overload <networkflush global) 
Schreib folgendes in deine sysctl.conf (befindet sich in der etc):

PHP Code:
vfs.vmiodirenable=1
kern
.ipc.maxsockbuf=16777216
kern
.ipc.somaxconn=8192
net
.inet.tcp.rfc1323=1
net
.inet.tcp.sack.enable=1
net
.inet.tcp.sendbuf_auto=1
net
.inet.tcp.recvbuf_auto=0
net
.inet.tcp.sendbuf_max=16777216
net
.inet.tcp.recvbuf_max=16777216
net
.inet.tcp.sendbuf_inc=16384
net
.inet.tcp.recvbuf_inc=524288
net
.inet.tcp.sendspace=65536
net
.inet.tcp.recvspace=65536
net
.inet.udp.recvspace=65536
net
.inet.udp.maxdgram=57344
net
.local.stream.recvspace=65536
net
.local.stream.sendspace=65536
kern
.maxfiles=204800
kern
.maxfilesperproc=200000
kern
.maxvnodes=200000
# Security networking
# Limit ICMP
net.inet.icmp.icmplim=50
net
.inet.icmp.maskrepl=0
net
.inet.icmp.drop_redirect=1
net
.inet.icmp.bmcastecho=0
net
.inet.tcp.icmp_may_rst=0
# Drop synfin packets
net.inet.tcp.drop_synfin=1
# a single pass through the firewall
# net.inet.ip.fw.one_pass=1
# adds more queue buckets for ipfw dummynet
# net.inet.ip.dummynet.hash_size=2048
# increase the size of network mbufs to allocate
#kern.ipc.nmbclusters=262144
# If above used add the following to /boot/loader.conf - reb
# kern.ipc.nmbclusers="65536"
# This is for dos protection
net.inet.tcp.msl=7500
# Turn off stealth IP networking
#net.inet.ip.stealth=0
# Try to protect against scans
net.inet.tcp.blackhole=2
net
.inet.udp.blackhole=1
# Try to stop some syn flood attacks, and route cache degreg
net.inet.ip.rtexpire=2
net
.inet.ip.rtminexpire=2
net
.inet.ip.rtmaxcache=256
# Drop evil sourcerouted packets
net.inet.ip.accept_sourceroute=0
net
.inet.ip.sourceroute=0
# Turn it on when you have two interfaces on same switch
# net.link.ether.inet.log_arp_wrong_iface=0
net.inet.tcp.log_in_vain=1
net
.inet.udp.log_in_vain=1
kern
.ipc.nmbclusters=262144
net
.inet.tcp.delayed_ack=0
net
.inet.tcp.inflight.enable=0
net
.inet.ip.ttl=128
net
.inet.tcp.maxtcptw=200000
net
.inet.tcp.fast_finwait2_recycle=1
net
.inet.ip.intr_queue_maxlen=4096
vfs
.read_max=32
net
.inet.tcp.ecn.enable=1
net
.inet.tcp.hostcache.expire=1
security
.bsd.see_other_gids=0
security
.bsd.see_other_uids=0
security
.bsd.unprivileged_read_msgbuf=0
kern
.ipc.shmmax=134217728
kern
.ipc.shmall=32768
kern
.ipc.semmap=256 
Somit sollte dein Root erstmal standhalten :D
Danke du bist der Held des Tage <3 Danke!
03/28/2012 21:10 .PaiNCAkE#7
Quote:
Originally Posted by Endless. View Post
Könnte sein das ein DDOS Angriff auf den ganzen Server auswirken kann.. auch wenn ich net so viel Plan davon habe, mein Server wurde vor MOnaten auch mal platt gemacht, auch wenn sämtliche Tools usw gefixxt waren. Kann auch sein das sein Server von irgenteinem Tool platt gemacht wurde..
Ich habe ihm da oben ein paar sachen gepostet die ihm helfen könnten :D ( oder ist der TE eine Sie ô.Ô ? )

€dit:

Noch was an dem @TE vergess nicht die Sachen wie IPFW & PF in die /etc/rc.conf einzutragen :D
03/28/2012 21:10 iYoshix3#8
Eigentlich brauch man kein "tuning" bei einem FreeBSD Root.
Wichtig ist eine Firewall mit anständigen Regeln. Ich empfehle einen
PacketFilter, der ganz leicht die IP´s sperrt.

Außerdem denke ich nicht, dass jemand einen DynDNS Server Ddos´t.
Höchstens Dos´t jemand deine Homepage. Auch da kannst du ganz leicht
mittels Firewall die einzelne IP sperren. Mittels "netstat -n" erhälst du die
IP´s, die auf den Server zugreifen, d.h. du kannst so die IP des angreifers
ermitteln.

Mfg
03/28/2012 21:11 Endless.#9
Danke dir.. hat mir auch geholfen.. wenn das nun aufhört mit den Downs.. haste mich und mein Server gerettet ;D
03/28/2012 21:12 .PaiNCAkE#10
Quote:
Originally Posted by Yoshix3 View Post
Eigentlich brauch man kein "tuning" bei einem FreeBSD Root.
Wichtig ist eine Firewall mit anständigen Regeln. Ich empfehle einen
PacketFilter, der ganz leicht die IP´s sperrt.

Außerdem denke ich nicht, dass jemand einen DynDNS Server Ddos´t.
Höchstens Dos´t jemand deine Homepage. Auch da kannst du ganz leicht
mittels Firewall die einzelne IP sperren. Mittels "netstat -n" erhälst du die
IP´s, die auf den Server zugreifen, d.h. du kannst so die IP des angreifers
ermitteln.

Mfg
Bei einer wirklichen (D)Dos attacke (was ich nicht denke ^^) da wird das ein bisschen schwirig mit netstat -n die ganzen Ips zu Blocken (sind ja mehre verteile Bots die dich angreifen xD)
03/28/2012 21:17 iYoshix3#11
Quote:
Originally Posted by .PaiNCAkE View Post
Bei einer wirklichen (D)Dos attacke (was ich nicht denke ^^) da wird das ein bisschen schwirig mit netstat -n die ganzen Ips zu Blocken (sind ja mehre verteile Bots die dich angreifen xD)
Deswegen schrieb ich ja auch bei "Dos". Außerdem ist gegen DDos nicht viel
zu machen. Es sind wenig aufrufe mit vielen IP´s, somit der Server manchmal
garnicht begreift, dass es ein Angriff ist.

Mfg
03/28/2012 21:22 .PaiNCAkE#12
Quote:
Originally Posted by Yoshix3 View Post
Deswegen schrieb ich ja auch bei "Dos". Außerdem ist gegen DDos nicht viel
zu machen. Es sind wenig aufrufe mit vielen IP´s, somit der Server manchmal
garnicht begreift, dass es ein Angriff ist.

Mfg
Da hast du auch wd recht ^^ natürlich könnte man mit einer Hardware-Firewall ein bisschen vorbeugen bzw abwehren.