[Wien] DDoS Angriff auf das Funknetz (yumv1.yumyum)

Clemens Hopfer (spam-protected)
Fr Aug 8 15:18:36 CEST 2008 

Ich denk das ist ziemlicher overkill.

Eine Limitierung der ICMP requests (ob source oder destination basierend
lässt sich streiten...) pro sekunde würde wohl schon den Großteil
solcher Attacken abwenden, HTTP & SSH verbindungen könnte man auch
limitieren, somit würde man auch bruteforce attacken ziemlich eindämmen

Ich hab z.B. auf meinem Server die ssh connections pro source auf 10
limitiert und hatte nachher weitaus weniger als 1/3 an bruteforce Attacken
als früher.

Große DDOS Attacken lassen sich damit zwar nicht abwenden, aber ich denke,
dass solche Botnetzbetreiber eher was anderes im Sinn haben als ein kleines
Netz down zu nehmen...

cu,
Clemens

On Fri, 8 Aug 2008 12:43:29 +0200, "Markus Kittenberger"
<(spam-protected)> wrote:
> nunja brauchts halt ein frontend um ca solches policy routing umzusetzten
> 
> 1.
> 
> ip rule from $MANAGEMENT_IP to $TARGET_IP lookup main priority 30000
> ip rule from $TARGET_IP to $MANAGEMENT_IP lookup main priority 30000
> 
> 2.
> 
> ip rule from [HOUSING/FREENET] to $TARGET_IP lookup main priority 31000
> ip rule from $TARGET_IP to [HOUSING/FREENET] lookup main priority 31000
> 
> 3.
> ip rule from all to $TARGET_IP lookup blackhole priority 32000
> ip rule from $TARGET_IP to all lookup blackhole priority 32000
> 
> 4. ip rule from all to all lookup main priority 32767
> 
> 1. dient dazu spezielle ips aus dem internet bei bedarf freizuschalten,
> damit man aus dem internet auf seinem router zugreifen kann wenn er
> blockiert ist,.. (sollte evt. im redeemer für den node owner
> konfigurierbar
> sein)
> 
> 2. erlaubt dem housing/freenet auf den betroffenen router zuzugreifen (im
> redeemer vom nodeowner konfigurierbar, für core ebenso)
> 
> 3. schickt allen traffic von/zu einer blockierenden IP in den blackhole
> table (der eine dementsprechende route enthält)
> sowohl im redeemer vom nodeowner setz/löschbar, als auch evt.
automatisch
> (DOS Detection??) und manuell für core,..
> 
> 4. steht stellvertretend für das normale routing das so oder so ähnlich
> schon konfiguriert ist
> 
> bei den konkreten routing policys bin ich gern behilflich, das frontend
> dafür und etvaige (D)DOS Autodetection sollt aber wer anderer machen,..
> 
> lg MArkus
> 2008/8/8 Wolfgang Nagele <(spam-protected)>
> 
>> Hi,
>>
>> Source Based Routing waere eine Moeglichkeit die alle Optionen offen
>> laesst.
>>
>> lg
>>
>> --
>> Wien mailing list
>> (spam-protected)
>> http://lists.funkfeuer.at/mailman/listinfo/wien
>>
>>

Mehr Informationen über die Mailingliste Wien