DDoS Schutz!

[Lewfire]

Hallo,

Ich habe eine Frage ich werde ab und zu von i.welchen Kindern auf meine Dyndns Server geddost.... es nervt einfach ich habe es mit Xampp hinbekommen das du Homepage nicht mehr geddost wird aber der Server wird noch geddost kann mir einer Helfen die ich DDoS Shutz machen kann auf dein FreeBSD Server? weil es ist echt nervig.

[.PaiNCAkE]

Hau dir folgende sachen in dein System :



Benutz folgende PF.rules:

PHP Code:

### INTERFACES ###
if = "{ em0 }"

#Intra
table <intranet> { 127.0.0.1 }
pass in quick from <intranet> to any keep state

#Network
table <network> persist
block quick from <network>
pass in on $if proto tcp from any to any 
keep state (max-src-conn 100, max-src-conn-rate 15/1, 
overload <network> flush global) 


Schreib folgendes in deine sysctl.conf (befindet sich in der etc):

PHP Code:

vfs.vmiodirenable=1
kern.ipc.maxsockbuf=16777216
kern.ipc.somaxconn=8192
net.inet.tcp.rfc1323=1
net.inet.tcp.sack.enable=1
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.recvbuf_auto=0
net.inet.tcp.sendbuf_max=16777216
net.inet.tcp.recvbuf_max=16777216
net.inet.tcp.sendbuf_inc=16384
net.inet.tcp.recvbuf_inc=524288
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
net.inet.udp.recvspace=65536
net.inet.udp.maxdgram=57344
net.local.stream.recvspace=65536
net.local.stream.sendspace=65536
kern.maxfiles=204800
kern.maxfilesperproc=200000
kern.maxvnodes=200000
# Security networking
# Limit ICMP
net.inet.icmp.icmplim=50
net.inet.icmp.maskrepl=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.bmcastecho=0
net.inet.tcp.icmp_may_rst=0
# Drop synfin packets
net.inet.tcp.drop_synfin=1
# a single pass through the firewall
# net.inet.ip.fw.one_pass=1
# adds more queue buckets for ipfw dummynet
# net.inet.ip.dummynet.hash_size=2048
# increase the size of network mbufs to allocate
#kern.ipc.nmbclusters=262144
# If above used add the following to /boot/loader.conf - reb
# kern.ipc.nmbclusers="65536"
# This is for dos protection
net.inet.tcp.msl=7500
# Turn off stealth IP networking
#net.inet.ip.stealth=0
# Try to protect against scans
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
# Try to stop some syn flood attacks, and route cache degreg
net.inet.ip.rtexpire=2
net.inet.ip.rtminexpire=2
net.inet.ip.rtmaxcache=256
# Drop evil sourcerouted packets
net.inet.ip.accept_sourceroute=0
net.inet.ip.sourceroute=0
# Turn it on when you have two interfaces on same switch
# net.link.ether.inet.log_arp_wrong_iface=0
net.inet.tcp.log_in_vain=1
net.inet.udp.log_in_vain=1
kern.ipc.nmbclusters=262144
net.inet.tcp.delayed_ack=0
net.inet.tcp.inflight.enable=0
net.inet.ip.ttl=128
net.inet.tcp.maxtcptw=200000
net.inet.tcp.fast_finwait2_recycle=1
net.inet.ip.intr_queue_maxlen=4096
vfs.read_max=32
net.inet.tcp.ecn.enable=1
net.inet.tcp.hostcache.expire=1
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
security.bsd.unprivileged_read_msgbuf=0
kern.ipc.shmmax=134217728
kern.ipc.shmall=32768
kern.ipc.semmap=256 


Somit sollte dein Root erstmal standhalten

[Endless.]

Ich glaube es gibt fertige Homepage Scripts, Foren die ein Anti Flooding System haben.. sowohl haben diese auch eine Firewallähnliche Funktion.. bin mir da net sicher, aber mit den neuen HP Scripts bist du besser auf der Schiene..wie mit den älteren..

Das jemand dein Server downen will istn Zeichen dafür, das du ne derbe Lücke im Server hast^^ guck auch gleichzeitig nach neuen Serverfiles.. bei denen Cores dabei sind, wo DDOS Tools von Infinity usw keine Chance haben

Weiter wüsste ich dir leider net zu helfen.. aber stabile Files sind in dem Fall unerlässlich!

[.PaiNCAkE]

Quote:

Originally Posted by Endless.

Ich glaube es gibt fertige Homepage Scripts, Foren die ein Anti Flooding System haben.. sowohl haben diese auch eine Firewallähnliche Funktion.. bin mir da net sicher, aber mit den neuen HP Scripts bist du besser auf der Schiene..wie mit den älteren..

Das jemand dein Server downen will istn Zeichen dafür, das du ne derbe Lücke im Server hast^^ guck auch gleichzeitig nach neuen Serverfiles.. bei denen Cores dabei sind, wo DDOS Tools von Infinity usw keine Chance haben

Weiter wüsste ich dir leider net zu helfen.. aber stabile Files sind in dem Fall unerlässlich!

Kurze Frage sag mir bitte was dein DDos angriff auf den Server mit den Files bzw Cores zu tun ?? das möchte ich gerne wissen man kann die cores höchstens mit Packeten beschiessen was aber flooding wäre und kein Dos geschweige den DDos ...

Es geht um einen DDos angriff nicht um irgendwelchen Hacker Tools etc.

[Endless.]

Könnte sein das ein DDOS Angriff auf den ganzen Server auswirken kann.. auch wenn ich net so viel Plan davon habe, mein Server wurde vor MOnaten auch mal platt gemacht, auch wenn sämtliche Tools usw gefixxt waren. Kann auch sein das sein Server von irgenteinem Tool platt gemacht wurde..

[Lewfire]

Quote:

Originally Posted by .PaiNCAkE

Hau dir folgende sachen in dein System :



Benutz folgende PF.rules:

PHP Code:

### INTERFACES ###
if = "{ em0 }"

#Intra
table <intranet> { 127.0.0.1 }
pass in quick from <intranet> to any keep state

#Network
table <network> persist
block quick from <network>
pass in on $if proto tcp from any to any 
keep state (max-src-conn 100, max-src-conn-rate 15/1, 
overload <network> flush global) 


Schreib folgendes in deine sysctl.conf (befindet sich in der etc):

PHP Code:

vfs.vmiodirenable=1
kern.ipc.maxsockbuf=16777216
kern.ipc.somaxconn=8192
net.inet.tcp.rfc1323=1
net.inet.tcp.sack.enable=1
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.recvbuf_auto=0
net.inet.tcp.sendbuf_max=16777216
net.inet.tcp.recvbuf_max=16777216
net.inet.tcp.sendbuf_inc=16384
net.inet.tcp.recvbuf_inc=524288
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
net.inet.udp.recvspace=65536
net.inet.udp.maxdgram=57344
net.local.stream.recvspace=65536
net.local.stream.sendspace=65536
kern.maxfiles=204800
kern.maxfilesperproc=200000
kern.maxvnodes=200000
# Security networking
# Limit ICMP
net.inet.icmp.icmplim=50
net.inet.icmp.maskrepl=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.bmcastecho=0
net.inet.tcp.icmp_may_rst=0
# Drop synfin packets
net.inet.tcp.drop_synfin=1
# a single pass through the firewall
# net.inet.ip.fw.one_pass=1
# adds more queue buckets for ipfw dummynet
# net.inet.ip.dummynet.hash_size=2048
# increase the size of network mbufs to allocate
#kern.ipc.nmbclusters=262144
# If above used add the following to /boot/loader.conf - reb
# kern.ipc.nmbclusers="65536"
# This is for dos protection
net.inet.tcp.msl=7500
# Turn off stealth IP networking
#net.inet.ip.stealth=0
# Try to protect against scans
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
# Try to stop some syn flood attacks, and route cache degreg
net.inet.ip.rtexpire=2
net.inet.ip.rtminexpire=2
net.inet.ip.rtmaxcache=256
# Drop evil sourcerouted packets
net.inet.ip.accept_sourceroute=0
net.inet.ip.sourceroute=0
# Turn it on when you have two interfaces on same switch
# net.link.ether.inet.log_arp_wrong_iface=0
net.inet.tcp.log_in_vain=1
net.inet.udp.log_in_vain=1
kern.ipc.nmbclusters=262144
net.inet.tcp.delayed_ack=0
net.inet.tcp.inflight.enable=0
net.inet.ip.ttl=128
net.inet.tcp.maxtcptw=200000
net.inet.tcp.fast_finwait2_recycle=1
net.inet.ip.intr_queue_maxlen=4096
vfs.read_max=32
net.inet.tcp.ecn.enable=1
net.inet.tcp.hostcache.expire=1
security.bsd.see_other_gids=0
security.bsd.see_other_uids=0
security.bsd.unprivileged_read_msgbuf=0
kern.ipc.shmmax=134217728
kern.ipc.shmall=32768
kern.ipc.semmap=256 


Somit sollte dein Root erstmal standhalten

Danke du bist der Held des Tage <3 Danke!

[.PaiNCAkE]

Quote:

Originally Posted by Endless.

Könnte sein das ein DDOS Angriff auf den ganzen Server auswirken kann.. auch wenn ich net so viel Plan davon habe, mein Server wurde vor MOnaten auch mal platt gemacht, auch wenn sämtliche Tools usw gefixxt waren. Kann auch sein das sein Server von irgenteinem Tool platt gemacht wurde..

Ich habe ihm da oben ein paar sachen gepostet die ihm helfen könnten ( oder ist der TE eine Sie ô.Ô ? )

€dit:

Noch was an dem @TE vergess nicht die Sachen wie IPFW & PF in die /etc/rc.conf einzutragen

[iYoshix3]

Eigentlich brauch man kein "tuning" bei einem FreeBSD Root.
Wichtig ist eine Firewall mit anständigen Regeln. Ich empfehle einen
PacketFilter, der ganz leicht die IP´s sperrt.

Außerdem denke ich nicht, dass jemand einen DynDNS Server Ddos´t.
Höchstens Dos´t jemand deine Homepage. Auch da kannst du ganz leicht
mittels Firewall die einzelne IP sperren. Mittels "netstat -n" erhälst du die
IP´s, die auf den Server zugreifen, d.h. du kannst so die IP des angreifers
ermitteln.

Mfg

[Endless.]

Danke dir.. hat mir auch geholfen.. wenn das nun aufhört mit den Downs.. haste mich und mein Server gerettet ;D

[.PaiNCAkE]

Quote:

Originally Posted by Yoshix3

Eigentlich brauch man kein "tuning" bei einem FreeBSD Root.
Wichtig ist eine Firewall mit anständigen Regeln. Ich empfehle einen
PacketFilter, der ganz leicht die IP´s sperrt.

Außerdem denke ich nicht, dass jemand einen DynDNS Server Ddos´t.
Höchstens Dos´t jemand deine Homepage. Auch da kannst du ganz leicht
mittels Firewall die einzelne IP sperren. Mittels "netstat -n" erhälst du die
IP´s, die auf den Server zugreifen, d.h. du kannst so die IP des angreifers
ermitteln.

Mfg

Bei einer wirklichen (D)Dos attacke (was ich nicht denke ^^) da wird das ein bisschen schwirig mit netstat -n die ganzen Ips zu Blocken (sind ja mehre verteile Bots die dich angreifen xD)

[iYoshix3]

Quote:

Originally Posted by .PaiNCAkE

Bei einer wirklichen (D)Dos attacke (was ich nicht denke ^^) da wird das ein bisschen schwirig mit netstat -n die ganzen Ips zu Blocken (sind ja mehre verteile Bots die dich angreifen xD)

Deswegen schrieb ich ja auch bei "Dos". Außerdem ist gegen DDos nicht viel
zu machen. Es sind wenig aufrufe mit vielen IP´s, somit der Server manchmal
garnicht begreift, dass es ein Angriff ist.

Mfg

[.PaiNCAkE]

Quote:

Originally Posted by Yoshix3

Deswegen schrieb ich ja auch bei "Dos". Außerdem ist gegen DDos nicht viel
zu machen. Es sind wenig aufrufe mit vielen IP´s, somit der Server manchmal
garnicht begreift, dass es ein Angriff ist.

Mfg

Da hast du auch wd recht ^^ natürlich könnte man mit einer Hardware-Firewall ein bisschen vorbeugen bzw abwehren.