allerdings, was machst du, wenn per Script verschiedene Sender-IPs eingestellt werden ?

Das wäre dann ein klassisischer DOS. Aber das Risiko kann ich eingehen, denke ich.

nachher sperr ich mich da selber aus.

Naja, das ist ja dynamisch, die Sperrung der IPs wird automatisch aufgehoben, und nach einem reboot ist alles wieder frisch.

speedy hat geschrieben:

dass dynamisch daraufhin die entsprechende IP für einen gewissen Zeitraum sperrt.

Ich würd auch gern kupfern. ... allerdings, was machst du, wenn per Script verschiedene Sender-IPs eingestellt werden ? Vielleicht sollte ich doch mal mod_perl installieren bzw. nen Apache-Script schreiben. - jenachdem, was das mod_security macht.

Weiß nicht, ob mir ne Sache per IPTables gefällt - nachher sperr ich mich da selber aus.


MFG,
speedy

Das ganze nochmals schnell ueberdacht und erst auf dem Heimweg eingefallen muss Ich mein Statement von vorhin etwas modifizieren:

Gerade auch bei diesem Beispiel kann ein DOS Angriff stattfinden. Das Script wuerde Ich fuer mich nur als Framework fuer andere Ideen benutzen.

Werden die IP Angriffs Adressen gefaked, im schlimmsten Fall, alle IP's aller User (etwas unwarscheinlich) wird das Script alle per Firewall rules "aussperren". Also Vorsicht beim automatischen modifizieren von FW rules.

Gruesse

Werden die IP Angriffs Adressen gefaked

Kann man dann eigentlich trotzdem noch rausfinden, ob die Anfragen von einem Server kommen bzw. zu einem Angriff gehören ? ... hmm, vielleicht die MAC-Adressen der Anfragen rausfinden oder so ? - oder kann man die auch faken ?


MFG,
speedy

Auf Layer 3 siehst Du keine MACs mehr.

tracer hat geschrieben:Auf Layer 3 siehst Du keine MACs mehr.

Das ist korrekt wenn man die ISO/OSI Layers autark und abstrakt betrachtet. In der Praxis kann man wohl MAC Adressen encapsulated in einem Layer 3 Packet sehen, aber das macht kein Weblog fuer einen, das "sieht" nur IP Adressen.

Nur in einem Netwerksegment waere es moeglich die MAC Adressen per RARP praktischerweise herauszufinden. Natuerlich auch darueber hinaus wenn man auf die weiteren Layer 2 Netzwerk Segmente auch Zugriff hat aber bei einem Angriff aus dem Internet ist es sehr sehr schwierig IP Adressen auf MACS zu matchen und MACS sind leider auch zu "faken" , siehe Windows Tool MACmakeup
( http://www.gorlani.com/publicprj/macmak ... makeup.asp )

Unter Linux einfach per "ifconfig".

Never mind, denke Ich es bleibt ein Restrisiko bei Tracers Vorgehen aber bei einem akuten Angriff wuerde Ich diese Vorgensweise vorziehen anstatt sich den Server von einem (wie in diesm Beispiel) Botzombie "runterbomben" zu lassen. Auf Dauer hilft da nur ein sehr cleveres IDS mit active FW Management (proactive IDS, Intrusion Prevention etc.) aber nur wenn das Design auch wirklich den Anforderungen entspricht.

Ins Blaue hinein jeden vermeidlichen Angriff gleich per Software in eine aktive Veraenderung der Firewall Konfiguration enden zu lassen, kann fatale Folgen haben. Dies gilt insbesondere bei grossen Serverfarmen und dazugehoerigen Perimeters, die dann auf einen Schlag von der Aussenwelt (z.B. Internet) "ausgesperrt" werden.

Dazu eine nette Story am Rande:

Wir hatten mal auf dem Zoom Server eine Datei "Allairplanesplan.zip" ( Apache Miskonfiguration mit Directory listing erlaubt etc ). Das waren alles RC Flugmodell Plaene. Ein taiwanesisches (Militaer-, Regierungs- ?) Botnetzwerk hat ueber 1-2 Tage lang versucht diese Datei (ca. ein halbe Gig gross !) runterzuladen. Da die bots nicht miteinander kommunizierten und Ich den Angriff manuell abwehrte kamen immer mehr von den Bots. Bis Ich herausfand welche Datei sie eigentlich wollen hatte ich unzaelige Stunden damit verbracht manuell IP Adressen zu blocken. Die Bandbreite ging drastisch durch die Downloads runter und die nahezu 100 MBit/s upstream (!!) Anbindung schrumpfte zusehends durch die ~Tausende von Bots

Es war ein wunderschoener Samstag mit blauem Himmel und Ich habe dann irgendwann auch mal Schluss gemacht. Als Ich heimkam sah Ich keine andere Moeglichkeit mehr als komplette class A Netzwerke zu sperren. Ich denke wir haben damals ganz Taiwan und China etc ausgesperrt

In diesem Falle haette Ich besser auch ein Script verwenden sollen.

Tracer, wenn das Script fertig ist sende es mir doch bitte per email.

Gruesse

Hi,

die Userprofile kann man jetzt auch anschauen, wenn man nicht eingeloggt ist.


Gruß
Chris

danke, chris, ich kümmer mich!

Hi,

Meine Gallerie ist auch Leer, macht aber nix.
Wollte allerdings eben ein Bild Hochladen, und da kamm dann Folgende Meldung:

Allgemeiner Fehler
Diese Kategorie existiert nicht

die Userprofile kann man jetzt auch anschauen, wenn man nicht eingeloggt ist.

fixed

Meine Gallerie ist auch Leer, macht aber nix.
Wollte allerdings eben ein Bild Hochladen, und da kamm dann Folgende Meldung:

Allgemeiner Fehler
Diese Kategorie existiert nicht

gefixed

Öhmm,

mir geht die Art der Zitate aufn Zeiger.

Man muss dann den ganzen Fred durchsuchen, um zu sehen, wer da zitiert wurde und wieviel aus dem Zusammenhang gerissen wurde.


Cu

Harald

Ich sehe zu, dass ich das wieder auf "alten Stand" bringe, mit gefällt das auch nicht.

tracer hat geschrieben:Ich sehe zu, dass ich das wieder auf "alten Stand" bringe, mit gefällt das auch nicht.

test

Hmm, also der User wird immer noch angezeigt, das nervige ist also nur das aufklappen, oder?

(mal kurz abseits vom thema) hey geilo tracer, was du schoenes
im forum alles aenderst. das forum wird immer besser!

Bitte Kritik, positiv sowie neagtiv hier rein:

http://www.rchelifan.org/viewtopic.php? ... highlight=

Ich verliere sonst den Überblick.

Danke

Also, was gefällt Dir besser?
Nicht alle Änderungen werden positiv aufgenommen.