[Wien] DDoS Angriff auf das Funknetz (yumv1.yumyum)

Stefan Essl (spam-protected)
Mo Aug 11 15:18:37 CEST 2008 

Hallo alle,
   hab die Diskussion ein wenig mitverfolgt und fand den vorgeschlagenen 
Ansatz von Clemens ganz gut. Ich hab hier im polycollege aber nicht nur 
die Zahl der Verbindungen beschränkt sondern gleich generell mal die 
Standardports, für die angegriffenen Services geändert: also  läuft z.B. 
ssh nicht mehr auf port 22. Das senkte die Angriffe auf 0.

Die Angriffe der Botnetze sind doch noch recht einfach gestrickt und so 
lässt sich mit der Abweichung von Standardeinstellungen schon ein recht 
brauchbares Ergebnis erzielen.

Ansonsten bin auch ich der Meinung, dass das  Funktionieren des 
Gesamtnetzes Priorität hat: eine Notfallsstrategie für die individuell 
Betroffenen muss es aber geben. Diese sollte von allen nach den 
jeweiligen individuellen Möglichkeiten mitgetragen werden...wie auch 
immer sich das nun konkret praktisch, technisch lösen lässt. Aber der 
Wille aller Beteiligten muss vorhanden sein, da sonst die beste 
technische Lösung nicht funktioniert!

Schönen Tag noch!

vG
stefan e.

p.s.: im August sollten die Knoten des polycollege online gehen. Mal 
sehen, ob ich/wir das schaffen, die router sind schon gekauft! :-)


Clemens Hopfer schrieb:
> Ich denk das ist ziemlicher overkill.
>
> Eine Limitierung der ICMP requests (ob source oder destination basierend
> lässt sich streiten...) pro sekunde würde wohl schon den Großteil
> solcher Attacken abwenden, HTTP & SSH verbindungen könnte man auch
> limitieren, somit würde man auch bruteforce attacken ziemlich eindämmen
>
> Ich hab z.B. auf meinem Server die ssh connections pro source auf 10
> limitiert und hatte nachher weitaus weniger als 1/3 an bruteforce Attacken
> als früher.
>
> Große DDOS Attacken lassen sich damit zwar nicht abwenden, aber ich denke,
> dass solche Botnetzbetreiber eher was anderes im Sinn haben als ein kleines
> Netz down zu nehmen...
>
> cu,
> Clemens

-- 
Stefan Essl
medien & EDV

*/polycollege/**/ Johannagasse/*
Johannagasse 2
A-1050 Wien 
Tel.: +43 1 54 666-422
Fax: +43 1 54 666-490
E-Mail: (spam-protected)
www.polycollege.at
ZVR-Zahl: 132513050

Mehr Informationen über die Mailingliste Wien