DDoS Angriffe auf David FX / Lösungsvorschläge?

IMHO sollte hierfür - gerade wenn die Services nach aussen ins Internet erreichbar sind - eine "Intrusion Detection System" Software laufen - im Grunde eine Erweiterung der Firewall. Die Firewall blockt/erlaubt zwar feste Zugriffe auf Ports, wenn hier aber ein Service freigeschaltet ist, wars das mit der Kontrolle. Ein IDS kontrolliert den Datenstrom auf "seltsame" aktivitäten wie z.B. ein Flood von ausserhalb, TCP Syn Attacken, DDOS allgemein usw. usf.

Bekannteste hier (open source) wäre

Thread richtig erkannt und geantwortet?

kingcopys Lösung gefällt mir gut...
ich kenne jedenfalls niemanden, der soviel Zeit/Lust hätte ein IDS-Log zu überprüfen

Zitat von kingcopy

Super ja:
[color=#006600]Tobit kopiert "recipcient denied" in ein Temporäres Extra Verzeichnis.
ZB:
\\server4\david\archive\user\10004000\1c * (Named: DDoS-Sensor)

dieses Verzeichnis wird von einer fremdsoftware Überwacht.
Es werden alle Dateien in dem Verzeichnis gezählt.

Steigt die Anzahl der Dateien über 20, wird ein Batch Skript ausgeführt, die User und der Admin benachrichtigt.
der Postman wird für 10 Minuten herunterfahren . Zwischenzeitlich wird der Inhalt des Tobit Verzeichnisses gelöscht.
als Ansammlungsschutz hat das Verzeichnis die EIGENSCHAFT maximales Eintragsalter 2 Tage.

weil wir ja täglich einige Anfragen haben die aber noch kein FLOODING sind (heute zb:

Alles anzeigen

Leider kenne ich die Software nicht genug - hier wird pro fehlerhafter Anmeldung eine Datei erzeugt? Falls ja, würde ich nicht mit einer festen Regel wie "X Dateien in 10 min" sondern lieber Prozentual arbeiten. Dazu müsste das System entweder das Verzeichnis OHNE aktiv zu werden für ~10 Tage überwachen um einen "durchschnittlichen" Dateierstellungswert zu errechnen oder man gibt das selbst ein - also "normal sind so 20 Dateien am Tag" - das System beobachtet dann weiter, d.h. wenn neue User dazukommen, das System wird überarbeitet, Benutzer hat falsches Kennwort eingetragen usw. führt nicht sofort zu einem Fehler und Info sondern erweitert sich über die Zeit. Des weiteren sollten die Datein nicht gelöscht werden sondern lieber Tagesmässig archiviert - also Tagesdatum -1 und alles was dazugehört auf per 7zip ins archiv

Zudem - wenn ein DDOS in dieser Form durchgeführt wird, sollte der Postman nicht wieder hochgefahren werden - das sollte nur ein Admin manuell machen, der sich dann auch das System anschaut. Immerhin will da ja einer rein!

Zitat

Geplante zusatzmaßnahmen:
Der Lancom Router soll resettet werden zwecks neuer IP Adresse.
Es soll die IP aus dem Recipient ausgelesen und automatisch getraced werden.
Es soll zurückgeflooded werden, durch 10000 Portscan Threads oder unendlich vielen Pings aller Workstations.
na habe ich ideen?

Mit dem Lanreset wäre das auch eine Idee, doch was machen Leute mit fester IP? Und wenn man es noch eine Stufe weitertreiben will, könnte man auch die IP die da "angreifen" automatisch in eine Firewallblacklist eintragen.
IP auslesen und archivieren ist hier wichtig, aber das mit dem "zurückschlagen" ... uhrm ... das ist gesetzeswidrig. Zudem wird deine Inetleitung auch nicht größer, wenn da 200 PC's dranhängen.

Ein Rechner mit 10000 Pipes und ner GLan Verbindung zum Router mach die Inetverbindung schon von sich aus tot - bringt da also eh nicht viel

Auswerten, blocken und klagen ist ok, aber zurückschlagen bringt dich mit dem Gesetzt in Konflikt und kann dir im Extremfall sogar Schadensersatzfordungen verursachen, wenn da z.b. ein AngreiferPC kompromittiert wurde, der bei IBM steht und du auf einmal auf die nen Angriff startest

Genau wie auf der Autobahn mit Leuten die nicht rechts fahren udn andere blockieren / ausbremsen - ist zwar verboten, aber damit hast du noch lange nicht das Recht, diese Leute zu belehren usw.

Aber mal ganz prinzipiell - super ansatz - auch wenn ich hier eine Firewall / IDS Lösung definitv vorziehe - je nach größe des Unternehmens auch gern in Hardware