Virtual Server von Hosteurope unter DDoS, was soll ich machen?

Hey,

Die IP Adressen von dem Angreifer bekommst du entweder über netstat. (Das Tool zeigt dir die aktuellen Verbindungen)

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 1 x.171.224.117 1 x.171.224.118 1 x.185.37.228 1 x.190.9.89 5 x.55.213.68 5 x.155.223.251 6 x.200.5.183 9 x.233.103.37 9 x.50.66.112 10 x.130.88.227

Mit awk kannst du dir alle IP Adressen von heute anzeigen, die einen Anfrage an deinen Server gestellt haben.
awk '/May\/2013/ {print $1};' /var/www/vhosts/DEINE-SEITE.DE/statistics/logs/access_log | sort | uniq -c | sort -rn | head -n 100

2514 x.7.216.178
367 x.55.213.68
255 x.247.249.87
200 x.173.251.219
196 x.0.47.67
188 x.69.113.2
182 x.50.66.112
153 x.228.20.186
137 x.91.245.85

Mit IPTables kannst du die IP Adresse 123.456.789.123 sperren.
iptables -I INPUT -s 123.456.789.123 -j DROP

Ein anderer Ansatz wäre fail2ban zu installieren:

apt-get install fail2ban

In die /etc/fail2ban/jail.conf Datei folgendes hinzufügen:

[http-get-dos] enabled = true port = http,https filter = http-get-dos logpath = /var/www/vhosts/DEINE-SEITE/statistics/logs/access_log maxretry = 300 findtime = 120 bantime = 84600 action = iptables[name=HTTP, port=http, protocol=tcp]

Die IP wird für 24 Stunden gebannt, falls sie in 120 Sekunden 300 Anfragen sendet.

Man muss noch einen Filter erstelen. Dazu folgende Datei anlegen:
/etc/fail2ban/filter.d/http-get-dos.conf

[Definition]

failregex = ^ -.*GET
ignoreregex =

Der Filter matched alle GET Anfragen, hier könnte man mit Regulären Ausdrücken die Anfrage spezifizieren.

Cloudflare stellt einen komplett anderen Ansatz dar, um DDoS Angriffe zu verhindern. Es gibt verschiedene Pakete. Die Seite richtet sich sowohl an Privatkunden als auch an Firmen.

http://de.cloudflare.com/plans