[linux-l] AW: [linux-l] (gewollter) Flaschenhals für Apache

Frank Reker frank at reker.net
Di Okt 25 00:19:43 CEST 2005 

Am Mon 24. Oct 2005 14:47 +0000 schrieb Oliver Bandel:

>> Der Unterschied ist, das einmal der Server platt ist und das andere Mal ist 
>> der Server platt und ich *pleite*! Ab 200 MB zahle ich für jedes weiter GB 29 
>> Cent.

na, es gibt ne ziemlich brutale methode: sobald der traffic
ueberschritten ist, machst du den rechner dicht mit iptables, so
dass alle pakete gedroppt werden. damit du selbst noch rein kannst
installierst du dir ein knock programm (ich weiss grad nicht mehr genau
wie's heisst, aber such mal nach iptables und knock). 
das programm schaut ob auf einem port eine bestimmte anklopf sequenz
ankommt und schaltet dann einen konfigurierbaren port fuer eine 
gewisse zeit frei, aber nur fuer die ip, von der die anklopfsequenz
kam. du startest also dein knock-script, und kannst dich dann
ueber ssh einloggen. ohne die knock-sequenz zu kennen, kriegt ein
angreifer auf keinem port eine antwort.
du kannst damit aber nicht verhindern, dass ein angreifer dich 
flooded. die meisten angreifer (ob script oder person) geben zwar nach
kurzer zeit auf, wenn sie keine antwort erhalten, aber wenn dir wirklich
jemand schaden will und ueber die notwendige upload-rate verfuegt, kann
er dich mit paketen flooden. auch wenn dein rechner die pakete nicht
annimmt, gehen sie doch zumindest durch den router, der fuer das
accounting verantwortlich ist. dagegen kannst du dich aber nicht
wehren, es sei denn dein provider bietet eine entsprechende loesung, 
die bereits am router ansetzt.
d.h. unter gewissen umstaenden gibt's dafuer auch loesungen, aber da
die allesamt nicht allzu legal sind, hoer ich jetzt hier mal auf ;-)

-- 
Don't worry be happy ...
Ciao Frank
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20051025/a3bbbfac/attachment.sig>

Mehr Informationen über die Mailingliste linux-l