06. august 2007 - 08:55Der er
15 kommentarer og 1 løsning
Fedora server under DoS attack (deniel of service )
Hej.
jeg har lige geninstalleret min server med fedora 6. Men lige for tiden bliver jeg bombet med DoS attack. er der nogen der kan hjælpe mig med det?? hvad skal jeg konfigurere min firewall til og hvordan.
jeg er ny i linux :) så jeg kender ikke alle kommandoer.
hvis du bruger firestarter som firewall kan du sætte den i Restrictive by default mode derved er det kun de porte du selv åbner der er tilgængelige :) firestarter skulle meget gerne være tilgøngelig i dit repo :)
Nu er DOS jo flere forskellige ting, og hvad der virker afhænger meget af hvilket for en type DOS du står over for. Du er nødt til at vide hvilken teknik der anvendes for at kunne tweake Netfilter til at kunne overleve angrebet bedre
når firestarter er startet op, klik på fanen Policy, klik på komboboxen og vælg outbound traffic policy, sæt en prik Restrictive by default, whitelist traffic
nu kan du ellers begynde at specificere hvilken porte og ip'er der må komme ud af computeren.
under Inbound traffic kan du specificere hvilken porte og ip'er der må komme ind i computeren
Firestarter vil ikke nødvendigvis gøre nogen somheldst forskel på et dos angreb. Det kommer helt an på hvordan det udføres.
F.eks. SYN flodd angreb kræver noget helt andet end traditionel firewall funktionalitet. Her benytter man at alle netværksenheder, herinder også firewalls, er nødt til at se hvad trafikken er for noget før den kan blokkere det. Dette betyder at en firewall let kan bringes i knæ hvis den bombarderes med SYN pakker. Den parameter man skruger på ved SYN flodd dos er tiden hvor længe en connettion skal forblive i live. Problemet er at sættes den for lavt, vil også lovlig trafik gå tabt, sættes den for højt vil SYN flodd angrebet lukke firewallen.
I nogen tilfælde vil en firewall endda betyde at et DOS angreb er lettere end uden forewall. Dette skyldes at mange firewalls i virkeligheden har begrændsede ressourcer. Se en PIX firewall f.eks. du vil blive overrasket hvor langsom en processor og hvor lidt ram der i virkeligheden sidder i sådan en kasse.
Som jeg skrev ovven får, så afhænger løsningen af problemer af hvilken type du er udsat for, er det SYN flodd eller vi9sse former for ICMP flodd så glem Firestarter, den vil ingen effekt have
min firewall på windows maskinen blokere det godt nok, men så mister jeg forbindelsen til serveren.har prøve at finde nogen nukes, så jeg kunne sende det tilbage. men de er jo en virus og det gider jeg ikke indstallere før jeg får min Attack maskine op at køre. men det er jo ikke den samme ip som angriber. så jeg vil nødig sende det til den forkert:(
Hvis det er et rigtigt DOS angreb, så har du et alvorligt problem. Se bare hvordan det gik SCO. En løsning kunne være at begrænse antallet af forbindelser til serveren. Enten gennem konfiguration eller ved hjælp af iptables --limit eller -m recent. Her er et eksempel med SSH.
Under almindelige omstændigheder foregår en TCP/IP kommunikation således mellem to maskiner. Hvis vi f.eks. forestiller os at din maskine vil tale med min server, så sender din maskine en SYN pakke til min server. På almindelig dansk er en SYN pakke en forespørgsel til min server, om der ner kllar til at starte en kommunikations kanal til dig.
Hvis min server er klar sender den en AKC og en SYN pakke til din maskine. På almindelig dansk betyuder det at den bekræfter at den er klar (ACK pakken) og forespørger din maskine om den er klar til at starte en kommunikations kanal tilbage til min server, da TCP er fuld duplex og kræver både en sende og en modtage kanal.
Endelig sender din maskine en SYN pakke til min server hvor den bekræfter den sidste kanal og vi er nu klar til at udveksle data.
Et SYN flodd angreb foregår således
Hvis vi forestiller os at du vil SYN flodde min server, så sender du en konstant strøm af SYN pakker i hoved på min server. Du sørger selvfølgelig for at spoofe afsender IP adressen, så hver pakke kommer fra en ny IP adresse der ikke er din.
Hver gang min server modtager en SYN pakke, sender den en ACK og en SYN pakke tilbage til den IP adresse som den har modtaget den fra (det er den adresse du har spoofet) og vendter derefter på at modtage den sidste ACK pakke, som aldrig kommer. Efter et stykke tid timer forbindelsen ud.
Problemet opstår når tilpas mange forbindelser står og venter på svar. Til sidst har min server ikke ressourcer tilbage og den går ned.
Der er flere problemer med at forsvare sig mod denne slags angreb.
- du er nødt til at åbne alle SYN pakker der kommer da du jo ikke kan vide om de er et angreb eller en lovlig kommunikation før du har læst dem
- du kan ikke blokkerer hverken porten eller ip adressen, fordi begge kan spoofes så de er forskellige hver gang
Eneste løsning er at give serveren flere ressourcer og at sætte det tidsrum hvor den står og venter på forbindelse ned, så den hurtigere frigiver de låste ressourcer. Sidstnævnte har så den ulempe at hvis tidsrummet bliver kort, så vil også nogle af de lovlige forbindelser time out før der bliver svaret og det kan give en ustabil server. Vi taler pest eller kolera
du mener altså... lev med det??? nu har jeg tænkt mig at indstallere en firewall eller flere, just for fun..
takker for hjælpen
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.