Erste Hilfe: DDoS-Attacke abwehren
Veröffentlicht: 16.12.2008 um 16:33 von Arthur Spooner
Aktualisiert: 18.12.2008 um 16:49 von Arthur Spooner (Ergänzt)
Aktualisiert: 18.12.2008 um 16:49 von Arthur Spooner (Ergänzt)
Stichworte ddos
Aus gegebenem Anlass, da diverse Anti-Abzocker-Seiten angegriffen werden, eine kurze Hilfestellung, wie man im ersten Schritt DDoS-Attacken abwehren kann. Allerdings ist diese Methode nur bei kleineren Angriffen wirkungsvoll.
Bei wenigen Angreifern ist diese Methode sehr zuverlässig, bei vielen sehr mühsam.
Als erstes sollte man seine Log-Files auswerten um die Angreifer-IPs ausfindig zu machen.
Die Angreifer-IPs erkennt man daran, dass sie mehrere Requests, in der Sekunde, auf die Domain starten. Nicht selten über zehn Requests in der Sekunde auf die eine und die selbe Seite.
Hat man die IPs entdeckt, dann sollte man diese mittels .htaccess aussperren. .htaccess deswegen, weil das Editieren recht schnell geht und das Sperren wirkungsvoll ist.
In die .htaccess sollten dann folgende Zeilen eingetragen werden:
order allow,deny
deny from xxx.xxx.xxx.xxx
deny from xxx.xxx.xxx.xxx
allow from all
Das "xxx.xxx.xxx.xxx" steht hierbei für die IPs, die geblockt werden sollen. Die Liste kann endlos fortgeführt werden.
An dieser Stelle sieht man auch schon den Nachteil. Bei einem großen Angriff müssen die vielen IPs rausgesucht und eingetragen werden, was sehr aufwendig ist.
Hinweis:
Um nicht aus Versehen einen Google-Bot auszuschließen empfiehlt es sich die IPs vorher zu prüfen, wo sie herkommen.
Das geht unter Windows recht einfach. Man startet die Eingabeaufforderung und gibt folgende Zeile in die Konsole ein:
tracert xxx.xxx.xxx.xxx
tracert versucht dann eine Rückverfolgung der IP durchzuführen. Die erste Zeile reicht meistens schon aus um zu sehen, woher die IP kommt. Der Google-Bot sollte nicht übersehen werden können, da die IP entsprechend aufgelöst wird.
Diese "Abwehr-Maßnahme" dient lediglich der Abwehr in einer Not-Situation. Sie ist kein Heilmittel, aber kann unter Umständen den Betrieb am Laufen halten.
Nachdem die Attacke überstanden ist, sollten die IPs wieder ausgetragen werden, da die Wahrscheinlichkeit besteht, auch wenn sie gering ist, dass ein normaler User eine dieser IPs zugewiesen bekommt und dieser sollte nicht grundlos geblockt werden.
Grundsätzlich gilt, Vorsorge ist der beste Schutz. Wer also mit Angriffen rechnet, sollte Vorsorgemaßnahmen treffen, die am besten mit dem Provider abgesprochen werden sollten.
Bei wenigen Angreifern ist diese Methode sehr zuverlässig, bei vielen sehr mühsam.
Als erstes sollte man seine Log-Files auswerten um die Angreifer-IPs ausfindig zu machen.
Die Angreifer-IPs erkennt man daran, dass sie mehrere Requests, in der Sekunde, auf die Domain starten. Nicht selten über zehn Requests in der Sekunde auf die eine und die selbe Seite.
Hat man die IPs entdeckt, dann sollte man diese mittels .htaccess aussperren. .htaccess deswegen, weil das Editieren recht schnell geht und das Sperren wirkungsvoll ist.
In die .htaccess sollten dann folgende Zeilen eingetragen werden:
order allow,deny
deny from xxx.xxx.xxx.xxx
deny from xxx.xxx.xxx.xxx
allow from all
Das "xxx.xxx.xxx.xxx" steht hierbei für die IPs, die geblockt werden sollen. Die Liste kann endlos fortgeführt werden.
An dieser Stelle sieht man auch schon den Nachteil. Bei einem großen Angriff müssen die vielen IPs rausgesucht und eingetragen werden, was sehr aufwendig ist.
Hinweis:
Um nicht aus Versehen einen Google-Bot auszuschließen empfiehlt es sich die IPs vorher zu prüfen, wo sie herkommen.
Das geht unter Windows recht einfach. Man startet die Eingabeaufforderung und gibt folgende Zeile in die Konsole ein:
tracert xxx.xxx.xxx.xxx
tracert versucht dann eine Rückverfolgung der IP durchzuführen. Die erste Zeile reicht meistens schon aus um zu sehen, woher die IP kommt. Der Google-Bot sollte nicht übersehen werden können, da die IP entsprechend aufgelöst wird.
Diese "Abwehr-Maßnahme" dient lediglich der Abwehr in einer Not-Situation. Sie ist kein Heilmittel, aber kann unter Umständen den Betrieb am Laufen halten.
Nachdem die Attacke überstanden ist, sollten die IPs wieder ausgetragen werden, da die Wahrscheinlichkeit besteht, auch wenn sie gering ist, dass ein normaler User eine dieser IPs zugewiesen bekommt und dieser sollte nicht grundlos geblockt werden.
Grundsätzlich gilt, Vorsorge ist der beste Schutz. Wer also mit Angriffen rechnet, sollte Vorsorgemaßnahmen treffen, die am besten mit dem Provider abgesprochen werden sollten.
Kommentare 0
Kommentare
Trackbacks 0
