DDos voorkomen
 

hey, een website waar ik aan meewerk is de laatste tijd vaak down vanwege ddos attacks, server loopt slechts op een 256 Kbps upload lijntje , maar daar we een kleine site waren liep dit altijd erg snel. de server is een 1.8 ghz amd athlon en draait op windows server 2000.

wat kan je doen om ddos attacks te voorkomen ? en kan je op een of andere manier ook tracen waar het vandaan komt ?

een ddos attack komt toch van een heleboel computers te gelijk?

ik weet niet hoe je ze tegen kan houden trouwens... tjah.. je ip adres ,laten, veranderen misschien?

wat dacht je van icmp blocken?

jah , dat zal idd wel kunnen maar daar word de site dan weer heen gelinkt , zo hebben ze dat nieuwe Ip natuurlijk ook snel te pakkken hé

waar staat dat precies tussen de opties ?

iig bedankt voor snelle reacties

ICMP kan je in professionele routers wel blokkeren. Huis tuin en keuken routers niet. Op de server zelf blokkeren heeft geen zin, aangezien de server dan nog steeds zelf overbelast wordt.
Bij de provider kan je mogelijk ook een onderzoek laten instellen en bepaald verkeer laten blokkeren.
Dit is tevens een van de weinige effectieve dingen die je er tegen kan doen. Achterhalen wie het was adhv het verkeer is een doelloze zaak waar je nooit uit gaat komen. Hier komen de normale human skillz bij kijken... heb je vijanden opgebouwd, provoceer je mensen met de site, heb je anderssinds problemen met mensen, of andere gebruikers van je site... etc, etc.
De techniek gaat je hierbij nooit kunnen helpen (in case of DDoS)

nee, het forum is er de laatste tijd juist op vooruit gegaan, harder optreden door mods tegen rascisme enzo, maar er is wel een iemand die ruzie heeft met beheerder van de server, en er zijn berichten vanaf de school waar hij ( en wij ) op zit gepost over ddosatacks richting ons forum

we hebben nu wat ip adressen en op het moment een beetje aan het tracen, maar met tracen komen wij niet verder dan dat we zien welke regio het is.

weet iemand of je bijvoorbeeld ook kan zien op welk head-end iemand zit aangesloten ?

Je zal vaak niet verder komen dan de provider, de locatie binnen een land zal je nooit kunnen achterhalen zonder extra gegevens.
Maargoed, als dit een échte DDoS is, dan hebben die IP's geen nut, want dat zijn gewoon ingezette zombie hosts waarvan de eigenaren geeneens benul hebben dat ze meedoen.

als je forum zo hard vooruit is gegaan, ligt het dan niet gewoon aan dat misschien 2 of meer mensen tegelijk gebruik maken van dat lijntje van je?

lijkt me niet , je kon normaal opdezelfde lijn moeiteloos met 15 man tegelijk zitten....

heb laatst nog Kampies server geDdost :p haha! Intern nog wel wel :9..
hij wist mijn wel te traceren :D

Die ging ook pas flippen bij 250 users.. 8) en dat voor een P2 :7

Kan je niet in de errorlogs kijken? Die zaten bij mijn 'attack' boordevol met errors van een intern ip-adres (daar waar de 'attack' vandaan kwam)

na alle behalve de noodzakelijke poorten te sluiten is het ddossen gestopt, ik d8 eerst dat ze dan wel op een open poort zouden doorgaan, maar zo slim zijn ze blijkbaar niet...

wat is de goedkoopste router waar je je ICMP kan uitzetten dan ongeveer ? en hoe kan je zien dat zoiets op een router zit ?

linksys router.. kun je ook custom firmware op draaien.

is dit een goed model dat dat ondersteund ?
linksys Router+Switch BEFSR41 4 Port
en als je ICMP uitschakeld, is er dan helemaal niet meet te pingen/ddosen ?

Ze kunnen dan nog wel ping's versturen, maar er wordt niks meer teruggestuurd. Dat betekent dat je router de pakketjes alleen maar hoeft te droppen en er niks mee moet doen.
Maargoed dit is nooit een volledige garantie dat je up blijft, want zodra het aantal pakketjes groter wordt dan je internet link groot is, zit je nog steeds met een dichte lijn.

dus je bent met 256 of 512 kbps upload nog steeds makkelijk te ddossen ? als je die router hebt...

Elke lijn is te dossen, als het netwerkverkeer maar hoog genoeg wordt gemaakt. Enige voordeel met een blokkerende router is dat je server zelf er geen last van heeft.

Waarom pak je het niet bij de bron aan?
Tjek het ip en doe er wat mee.. (abuse@zijnproviderofzo.nl)

het komt van meer dan 1000 verschillende ip's...

lol :D