KeyHelp Community

Um DDOS-Attacken zu verringern, setze ich eine externe Blacklist von Blocklist.de ein. Diese enthält aktuell über 20000 IP-Addressen und wird alle 30 Minuten aktuallisiert.

Vorab der Hinweis, dass Ihr hiermit potentielle Besucher aussperren könntet. Vor allem wenn Ihr Besucher aus dem ostasiatischen Bereich habt, da diese häufig betroffen sind.

Das benötigte Verzeichnis, habe ich unter „/var“ angelegt. Wo Ihr es schlussendlich verwendet, spielt keine Rolle.

Anlegen des Verzeichnisses, in dem der ganze Vorgang abläuft:
sudo mkdir /var/blacklist/

Skript anlegen:
vi /var/blacklist/blacklist

Hier das Skript zum kopieren, mit Erläuterung der einzelnen Befehle:

Skript ausführbar machen:
sudo chmod 755 /var/blacklist/blacklist

CronJob zur automatischen Ausführung einrichten:
vi /etc/crontab

#iptables blacklist
00 4 * * * root /var/blacklist/blacklist

Cron-Daemon neu laden
sudo /etc/init.d/cron reload

Hatte die Anleitung selber mal im Internet gefunden und finde die Lösung recht schlicht und einfach und das beste es funktioniert, die Attacken sind deutlich weniger

Vielen Dank für die Anleitung.

Vielen Dank.
Kurze Nachfrage:
Werden mit "iptables -F" nicht alle (auch die Regeln, die nicht von der Blocklist kommen) gelöscht? Also auch die, die fail2ban von sich aus generiert?

Danke & Viele Grüße
Olli

Hallo,

das ist korrekt, "iptables -F" leert alle Regeln, ändert aber nicht die Default Policy (Vorsicht also, wenn die Default Policy auf DROP steht).

Wenn ansonsten nur fail2ban genutzt wird reicht allerdings ein "service fail2ban restart" um die fail2ban Regeln wieder zu erzeugen.

Besten Dank.
Vielleicht noch ein Hinweis:
Fail2ban (v 0.94) sollte vor Anwendung des o.g. Scripts gestoppt werden, da sonst zu Fehlern beim Zugriff auf IpTables kommt.
Kann man auch in das Script einbauen. Des Weiteren sollte man noch eine Ausgabeumleitung definieren.

Viele Grüße
Olli

Ich nochmal...

Ich habe festgestellt das in der "all.txt" von blocklist.de teilweise auch Einträge mit ":" vorhanden sind. Z.B.

2001:0:5ef5:79fd:30fa:a1de:f1e3:c881

Diese Einträge laufen dann bei iptables auf Fehler.
Habe deshalb noch eine if-Schleife eingebaut, die nur die IP-Adressen einträgt. So vermeide ich Fehlermeldungen.

Hier das leicht angepasste Script: Im übrigen hat das Script eine Laufzeit von knapp 40 min. Ist das bei Euch auch so....?

Hallo,

dies wäre dann eine IPv6 Adresse, diese müsste in entsprechend in ip6tables eingetragen werden.

oehjg wrote:Um DDOS-Attacken zu verringern, setze ich eine externe Blacklist von Blocklist.de ein.

Das was du da machst, hat nix mit Abwehr von DDOS zu tun. Damit verringerst du einfach nur ein wenig das Grundrauschen zu Lasten der Performance. Einzig positiver Effekt: Die Logfiles der einzelnen Dienste werden etwas kleiner.

"Echte" DDOS-Angriffe erfordern eine eigene Infrastruktur zum intelligenten Filtern des Traffic. Viele seriöse Hoster bieten übrigens inzwischen einen mehr oder weniger guten DDOS-Schutz an, einfach weil sie selber daran interessiert sind, ihre Netzwerkinfrastruktur am Leben zu erhalten.