Ist CTXtra sicher gegen DDOS an Apache (xampp)

[Uwe]

@ andytheke

So richtig nett finde ich das nicht. Nur weil du hier nicht gleich und sofort Hilfe bekommst den Betreibern dieses Forums gleich mit einem Anwalt zu drohen. Hier bekommt man schon Hilfe, wenn nicht gleich am selben Tag, aber irgendwann schon.

Zu deinem Problem.

Eine möglich Abhilfe gibt es. Und zwar mit dem mod_evasive plugin für Apache Linux und Windows.

Regelmäßig kommen auf gut besuchten Webseiten DoS (Denial of Service) Attacken vor. Entweder sind es spielende Script-Kiddies, schlecht programmierte Spider/Crawler oder echte Angriffe.

Funktion:

Ein Server wird mit so vielen Anfragen bombardiert, daß er entweder ganz Langsam wird, oder auf Grund ausgehendem Speicher gar nicht mehr Antwortet.
Konsequenz ist häufig der Absturz des Serverdienstes oder manchmal sogar ein vollkommener Ausfall des Rechners selbst.

Abhilfe:

Um Apache selbst zu schützen, gibt es zwei Apache-Module:
1. mod_security
2. mod_evasive

Während mod_security mehr für den Schutz vor seltsamen/verdächtigen Query-Strings zuständig ist, ist mod_evasive konkret gegen DoS-Angriffe.

mod_evasive erstellt eine interne Liste von IP-Adresse und angeforderten URLs. Sollten hier gewisse (frei definierbare) Schwellwerte überschritten werden, antwortet es automatisch mit einem 403, sperrt diese IP für 10 Sekunden und kann noch weitere Funktionen ausführen. (Z.B. Logging oder Warnungs-Mail versenden.)

Zb. von hier: http://www.apachelounge.com/viewtopic.php?t=917
Lade es für Apache 2.2 win32 von hier: http://rapidshare.com/files/111108411/dosevasive.zip.html
Kopiere die mod_dosevasive22.so nach \xampp\apache\modules

In die httpd.conf folgendes einfügen.

LoadModule dosevasive22_module modules/mod_dosevasive22.so

### Settings DDOS Blocker

<IfModule dosevasive22_module>

DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSWhitelist 127.0.0.1
DOSWhitelist 127.0.0.*

</IfModule>

Die Emailfunktion DOSEmailNotify funktioniert unter Windows nicht ! Der Apache startet nicht mehr !

Ich habe diese Version unter Xamp und Apache v2.2.14 am Laufen.


Viel Spass damit.

[andytheke]

ich bezahle schließlich auch viel geld für den server.
ich hätte ja schon erwartet,dass man der ursache mal genau auf den grund gehen möchte,weil im grunde hätte ich mich nicht melden müssen und gleich alles über den anwalt laufen lassen können.

im grunde sollte man sich dann auch mal mit den konsequenzen auseinander setzen,wenn man schon weiß,dass es jemand ernst meint.

klar bin ich genervt aber irgendwann reicht es mir auch,wenn ich hier wochenlang hinterher laufen muss und sich keiner für interessiert wieso jemand über den "www-port" auf einen fremden server zugreift.

mod_evasive bringt aber nur etwas,wenn die person daten über den port 80 abruft.

und apache nutze ich schon lange nicht mehr

[schlumpfi]

danke uwe,
für deinen konstruktiven beitrag.

auch ich habe wieder was gelernt

@andytheke,
wenn man gleich mit dem hammer haut anstatt erst mal normal und höflich anzuklingeln, kommt nichts bei raus.
ist wie im realen leben...

frage an dich:
was hast du nordin an infos zur verfügung gestellt?

mfg

[andytheke]

da es hier anscheint zu locker gesehen wird,gibt es auch nur noch den hammer.

was für infos,wenn er selber sagt,dass er in sachen shell nicht die "leuchte" ist ?

ich würde an eurer stelle erstmal prüfen was für verbindungen über euren server gehen:

netstat oder netstat -a

[schlumpfi]

jemand, der einem einen befehl vor den kopf knallt, und nichts/kaum was erklärt, ist aus meiner sicht wenig hilfsbereit.
das nun mal zu den facts.

Nordin ist jemand, der gerne lernen möchte, es verstehen möchte, also helfe ich....

wenn du doch so gut bist, und sogar schon eine vermutung hast, dann beweise es mal ausführlicher... dein zitat:
dein "wz_tooltip.js" schmeißt den fireburg übrigens voll bei der tastatureingabe Zwinkernd


-lasse mir nen tracert von deinem server zukommen
-lasse mittels langzeitanalyse den angefallenen traffic checken.
-welcher zeitraum, welches datum, tag monat jahr stellst du es fest, das du gefloodet wirst.
-hast du mal mittels tcpkill  gekillt und geprüft, ob wieder geöffnet wird und wodurch?
-mal tcp_timeout geprüft und die settings geändert?


warte auf konstruktive antworten...
mfg