DDoS angrep

Tonny Kluften

Administrator
Jeg har hatt DDoS angrep på en VPS og skal lære litt mer om akkurat det. Jeg vet godt hva DDoS er, men hva kan gjøres for å beskytte seg mot det og hva er rutinen når det skjer? Det er klart at når du leier managed servere så er det opp til hosten å ta ansvar. Men går det egentlig an å beskytte seg mot det?
 

Jan W.

Medlem
Er vel ikke lett å direkte beskytte seg mot ddos, men en midlertidig løsning kan være å fjerne/skjule de aktuelle sidene, samt "deaktivere" feilsider.

Hvilken side er det som er under angrep? Wordpress? Betalingsløsninger?
 

Jan W.

Medlem
Kommer angrepene fra flere ip-adresser? Om ikke, kan du jo alltids blokkere de via htaccess eller serverconfig (etc/hosts.deny regner med du kjører unix)
 
Sist redigert:

Jan W.

Medlem
Du sier noe der.. Dette er noe av grunnen til at jeg vurderer å legge helt opp med aktiviteter på web. Mye enklere som ansatt.
 

zapotek

Medlem
Derfor man BØR kjøre alt managed om man ikke har peiling på serverdrift. På vanlig shared hosting f.eks. tar jo hosten seg av slike angrep.

Tonny, har du kontaktet hosten og spurt om de kan ta seg av angrepene mot betaling?
 

sta

Medlem
I et stort angrep kommer jo angrepene fra tusenvis av IP-adresser, umulig å blokkere. Det hjelper vel heller ikke å blokkere, serveren må jo bruke kraft på å ta imot uansett?

Det er korrekt, men ofte er det kanskje bare foresppørsler fra 20-30 IP-adresser som står for størsteparten av trafikken. Hvis din VPS kjører Linux kan du kjøre følgende kommando via SSH når du er logget inn som root:

netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

Denne gir deg en oversikt over hvilke IP-adresser som er koplet til serveren og antall ganger hver adresse er koplet til serveren. Med litt flaks er denne listen ikke så veldig lang, og da er det bare å nekte adgang fra de adressene det gjelder, i brannmuren.

Noen eksterne brannmurer har muligheten for å analysere trafikken og kutte ut noen former for DDoS forespørsler før de når serveren. Men dette gjelder ikke for alle type DDoS-angrep og mange ganger er det desverre ikke så veldig mye å gjøre. Et annet alternativ er jo å bytte IP-adresse, men dette krever jo også en del jobb og er i mange tilfeller ikke praktisk mulig.
 

HPF

Medlem
Jeg vet godt hva DDoS er, men hva kan gjøres for å beskytte seg mot det og hva er rutinen når det skjer?
Husker jeg leste noe om det for en del år siden. Steve Gibson, mannen bak SpinRite som i sin tid var en populær HDD utility, uttalte offentlig at de fleste hackere bare var clueless scriptkiddies - rett etter ble nettstedet hans selv offer for DDoS angrep.

Han skrev om erfaringen han gjorde her, og nevnte et par mulige mottiltak. Dokumentet er fjernet fra nettstedet hans nå, men kan fremdels leses her.
 

kongen

kongemedlem
Hva med slave-DNS eller Load Balancer:

domeneshop.no/slavedns.cgi
stormondemand.com/servers/loadbalancer.html
 

Bjørn Andersen

Webmaster
har du mye problem med ddos så kan du sette ip allow på kun iper fra der du har kunder feks norge, sverige , danmark, da fjerner du så og si alle trøbbel iper , noen få kunder i utlandet vil jo også bli blokket men det er jo en vurderingssak
 

TorsteinO

Art Director & grunder
Husker jeg leste noe om det for en del år siden. Steve Gibson, mannen bak SpinRite som i sin tid var en populær HDD utility, uttalte offentlig at de fleste hackere bare var clueless scriptkiddies - rett etter ble nettstedet hans selv offer for DDoS angrep.

At de fleste hackere er scriptkiddies som ikke aner hva de gjør stemte nok både da og fremdeles, og det er vel også noe av problemet mht ting som DDoS - det krever veldig lite kunnskap å få til, bare et ønske om å ødelegge for andre.
 

hansson

Langveisfarende
har du mye problem med ddos så kan du sette ip allow på kun iper fra der du har kunder feks norge, sverige , danmark, da fjerner du så og si alle trøbbel iper , noen få kunder i utlandet vil jo også bli blokket men det er jo en vurderingssak

Var det ikke snakk om noen svensker som skulle gjøre livet surt for deg da, Tonny? Skulle ikke forundre meg om det er dem. Da holder ikke Bjørns metode ihvertfall.
 
Topp