Gegen DDos schützen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
angriff
attacke
axt
datei
datenbank
erlaubt glaube
erzeugen
geld
halten
knie
limit
schutz
server
stelle
stunde
url
verbindung
webseite
wissen
zugriff
-
Hey,
wie sieht es auf Lima-City aus, falls mal eine Webseite geddosst wird. Ist dann einfach die Webseite down? Wieviel Klicks halten die Server ungefair aus?
Und da es im Php Forum ist: Gibt es eine Möglichkeit mit Php ein Script zu schreiben, damit ein anderes, weniger aufwändiges Indexfile verwendet wird, wenn der Server überlastet ist?
Gruss -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Wenn deine Seite per dDoS angegriffen wird kannst du dich selber sowieso nicht wehren... abgesehen davon müsste wenn überhaupt so ein Schutz von lima-city verwaltet werden, denn jede Seite hier könnte angegriffen werden, und wenn auch nur eine einzige Seite auf lima-city angegriffen wird geht der Server in die Knie und alle Seiten auf lima-city fallen aus.
moneyprojekt schrieb:
Wozu? Abgesehen davon müsstest du mal erkennen, dass der Server gerade überlastet ist, und dann wird er dein Script vermutlich auch nicht mehr ausführen.
Und da es im Php Forum ist: Gibt es eine Möglichkeit mit Php ein Script zu schreiben, damit ein anderes, weniger aufwändiges Indexfile verwendet wird, wenn der Server überlastet ist? -
hackyourlife schrieb:
Wenn deine Seite per dDoS angegriffen wird kannst du dich selber sowieso nicht wehren... abgesehen davon müsste wenn überhaupt so ein Schutz von lima-city verwaltet werden, denn jede Seite hier könnte angegriffen werden, und wenn auch nur eine einzige Seite auf lima-city angegriffen wird geht der Server in die Knie und alle Seiten auf lima-city fallen aus.
moneyprojekt schrieb:
Wozu? Abgesehen davon müsstest du mal erkennen, dass der Server gerade überlastet ist, und dann wird er dein Script vermutlich auch nicht mehr ausführen.
Und da es im Php Forum ist: Gibt es eine Möglichkeit mit Php ein Script zu schreiben, damit ein anderes, weniger aufwändiges Indexfile verwendet wird, wenn der Server überlastet ist?
Ach so, okey danke für die Info.
Naja... Ich habs schonmal gesehen, dass sobald der Server zu stark ausgelastet ist, nicht überlastet, dass die Startseite eine ganz einfache ist. Zb Bei einem Youtuber wurde dann einfach zum YT Profil weitergeleitet, eine Zeile HTML Code. Und bei einem Blog, als gestern die Apple WWDC war, und zu viele zugegriffen haben, war anstatt den ganzen Beiträgen einfach die Meldung, dass der Server überlastet ist. -
fabo schrieb:
Für so etwas gibt es z.B. Failover-IP's.
Ich stelle mir nur gerade die Frage, warum man das überhaupt wissen möchte? So interessant ist eigentlich keine Seite bei Lima-City, es sei denn, man benimmt sich als Webmaster wie die Axt im Walde und verärgert irgendwelche User seiner Webseite, o.ä.
Eigentlich interessierts mich nur, und andererseits ist die Warscheinlichkeit ja da, auch wenn ich niemanden verärgre...
Failover IP kann ich aber nur auf meinem eigenen Server einrichten, oder?
Beitrag zuletzt geändert: 12.6.2012 20:37:17 von moneyprojekt -
moneyprojekt schrieb:
fabo schrieb:
Für so etwas gibt es z.B. Failover-IP's.
Ich stelle mir nur gerade die Frage, warum man das überhaupt wissen möchte? So interessant ist eigentlich keine Seite bei Lima-City, es sei denn, man benimmt sich als Webmaster wie die Axt im Walde und verärgert irgendwelche User seiner Webseite, o.ä.
Eigentlich interessierts mich nur, und andererseits ist die Warscheinlichkeit ja da, auch wenn ich niemanden verärgre...
Failover IP kann ich aber nur auf meinem eigenen Server einrichten, oder?
Korrekt, diese muss dir dein Hoster zur Verfügung stellen und du musst sie dementsprechend konfigurieren.
Was mir gut gefällt ist z.B. CARP unter FreeBSD. -
Leider hab ich nur nen Webspace bei Lima-City, aber ich denk, falls mal was wegen DDos passieren würde, werden die das schon regeln.
-
Hallo
Dafür gibt es auf Freehostern häufig Limits, hier vor allem bei MySQL: Nur 1000 Verbindungen pro Stunde sind erlaubt, glaube ich.
Ein echter DDoS-Schutz kostet viel Geld und wird eigentlich nur von großen Firmen angewendet.
Du kannst aber selbstverständlich deinen Server entlasten (wenn du denn einen hättest), indem du bei einem urplötzlichen Besucheranstieg die index-Seite austauscht. Außerdem kannst du z.B. Proxies blocken.
mfg -
voloya schrieb:
Hallo
Dafür gibt es auf Freehostern häufig Limits, hier vor allem bei MySQL: Nur 1000 Verbindungen pro Stunde sind erlaubt, glaube ich.
Ein echter DDoS-Schutz kostet viel Geld und wird eigentlich nur von großen Firmen angewendet.
Du kannst aber selbstverständlich deinen Server entlasten (wenn du denn einen hättest), indem du bei einem urplötzlichen Besucheranstieg die index-Seite austauscht. Außerdem kannst du z.B. Proxies blocken.
mfg
Und was bringt es Proxies zu blocken? Nichts.
Mit Proxyservern wird wohl niemand DDoS Attacken durchführen. -
voloya schrieb:
Hallo
Dafür gibt es auf Freehostern häufig Limits, hier vor allem bei MySQL: Nur 1000 Verbindungen pro Stunde sind erlaubt, glaube ich.
Ein echter DDoS-Schutz kostet viel Geld und wird eigentlich nur von großen Firmen angewendet.
Du kannst aber selbstverständlich deinen Server entlasten (wenn du denn einen hättest), indem du bei einem urplötzlichen Besucheranstieg die index-Seite austauscht. Außerdem kannst du z.B. Proxies blocken.
mfg
Nur 1000 Verbindungen sinds auf Lima-City? Das heisst, wenn ich auf einer Seite etwas aus der Datenbank abrufe, und diese in der Stunde 1000 mal abgerufen wird, zeigts einfach nichts mehr an? -
hackyourlife schrieb:
moneyprojekt schrieb:
Dazu gibts hier bereits eine Beschreibung + Wunsch ...
Nur 1000 Verbindungen sinds auf Lima-City? Das heisst, wenn ich auf einer Seite etwas aus der Datenbank abrufe, und diese in der Stunde 1000 mal abgerufen wird, zeigts einfach nichts mehr an?
Okey danke, in diesem Fall wirds warscheinlich nichts bringen, aber in normalen Fällen könnte man ja z.B. ein Cache-File erstellen lassen, und zb jede 15Min updaten, oder jedes mal, wenn etwas neues eingetragen wird. -
Für den Schutz der Server gegen DDoS ist weitestgehend die Lima-City-Administration verantwortlich. Da kannst du rein mit PHP nur sehr wenig machen.
Das einzige, was über die PHP-Scripts in deinen Möglichkeiten steht ist, dass du versuchst, die Last, die ein Script erzeugt möglichst gering zu halten. Das bedeutet:
a) Cache benutzen, dass z.B. größere Datenbank-Abfragen nicht mehrfach in einer Sekunde durchgeführt werden müssen und nicht alle Rückgaben jedes Mal neu berechnet werden müssen
b) Zeitliche Begrenzung für Scripts einführen, die eine große Serverlast erzeugen, beispielsweise Suchscripts
c) Auslagerung von großen Dateien, beispielsweise von Bild- oder Flash-Dateien auf externe Image-Server
Im großen und ganzen sind das allerdings nur Schutzmaßnahmen gegen DoS-Angriffe, also Angriffe, die von einem Rechner aus kommen und gezielt eine hohe Rechenlast bei dir verursachen möchten. Bei einem DDoS-Angriff ist ja der Sinn, dass auch Server, bei denen eine solche DoS-Lücke nicht zu finden ist, also bei denen keine Scripts vorhanden sind, die bei häufigem Zugriff enorme Serverlast erzeugen, trotzdem geplättet werden können. Das funktioniert da meist über die Holzhammer-Methode, also dass einfach massenhaft Anfragen erzeugt werden. Dagegen kann man sich via PHP ohne Zugriff auf die entsprechenden Server-Konfigurationen nicht wirksam wehren. -
mermadalis schrieb:
Für den Schutz der Server gegen DDoS ist weitestgehend die Lima-City-Administration verantwortlich. Da kannst du rein mit PHP nur sehr wenig machen.
Das einzige, was über die PHP-Scripts in deinen Möglichkeiten steht ist, dass du versuchst, die Last, die ein Script erzeugt möglichst gering zu halten. Das bedeutet:
a) Cache benutzen, dass z.B. größere Datenbank-Abfragen nicht mehrfach in einer Sekunde durchgeführt werden müssen und nicht alle Rückgaben jedes Mal neu berechnet werden müssen
b) Zeitliche Begrenzung für Scripts einführen, die eine große Serverlast erzeugen, beispielsweise Suchscripts
c) Auslagerung von großen Dateien, beispielsweise von Bild- oder Flash-Dateien auf externe Image-Server
Im großen und ganzen sind das allerdings nur Schutzmaßnahmen gegen DoS-Angriffe, also Angriffe, die von einem Rechner aus kommen und gezielt eine hohe Rechenlast bei dir verursachen möchten. Bei einem DDoS-Angriff ist ja der Sinn, dass auch Server, bei denen eine solche DoS-Lücke nicht zu finden ist, also bei denen keine Scripts vorhanden sind, die bei häufigem Zugriff enorme Serverlast erzeugen, trotzdem geplättet werden können. Das funktioniert da meist über die Holzhammer-Methode, also dass einfach massenhaft Anfragen erzeugt werden. Dagegen kann man sich via PHP ohne Zugriff auf die entsprechenden Server-Konfigurationen nicht wirksam wehren.
Ja, den Traffic halt ich sowieso gering, auch deine genannte Methode mit Chache files, damit es direkt von Server kommt, und nicht von der Datenbank. Aber was mich interessiert hat, ist wie man das indexfile bei grossem Traffic ändern kann, was ja nicht über PHP geht. -
Du könntest das höchstens manuell über FTP machen.
(Leider ist -- solange man kein DNS-Aufschaltung nutzen kann -- auch keine Möglichkeit vorhanden, selber einen DDoS-Schutz wie z.B. das kostenfreie Cloudflare-Netzwerk, zu nutzen.)
Ich hoffe von daher noch, dass DNS-Aufschaltung möglich wird, weil dann unser alle DDoS, Ausfall- oder Wartungsarbeits-Sorgen weg sind.
Beitrag zuletzt geändert: 28.6.2012 1:49:46 von kuschku -
Hallo
virtual2 schrieb:
Und was bringt es Proxies zu blocken? Nichts.
Mit Proxyservern wird wohl niemand DDoS Attacken durchführen.
Über was würdest du denn DDoS Attacken ausführen? Ganz ohne Proxyserver? Damit die schön in den Logfiles haben, dass dein Server, dessen IP-Adresse sich niemals ändert, daran beteiligt war? Wenn schon bei den 106 Privatpersonen wegen der GEMA eine Hausdurchsuchung gemacht wurde..
mfg -
Für eine richtige Ddos-Attacke werden im Normalfall VPNs verwendet. Möglichkeiten, das Ganze einzudämmen, gibt es genug. Möglichkeiten, das Ganze vollends zu verhindern, gibt es leider nicht.
-
voloya schrieb:
Hallo
virtual2 schrieb:
Und was bringt es Proxies zu blocken? Nichts.
Mit Proxyservern wird wohl niemand DDoS Attacken durchführen.
Über was würdest du denn DDoS Attacken ausführen? Ganz ohne Proxyserver? Damit die schön in den Logfiles haben, dass dein Server, dessen IP-Adresse sich niemals ändert, daran beteiligt war? Wenn schon bei den 106 Privatpersonen wegen der GEMA eine Hausdurchsuchung gemacht wurde..
mfg
Damit dost du höchstens den Proxy und schießt dir selbst ins Knie, wenn ich einer der bösen Buben wäre würde ich gekaperte Server, die aufgrund schlechter Wartung veraltet wären, benutzen oder mit VPN Anbietern auf den Seychellen / Schweden arbeiten.
Und ich kann dir sagen, es gibt deutlich effizientere Mittel für Angreifer als dieses dauernde LOIC Scriptkiddie Zeugs, darunter fallen:
UDP D(D)oS (Bandwith Eater)
Slowloris (Apache / Lighttpd ist ohne SW/HW Firewall mit entsprechend gesetzten Limits angreifbar)
Beitrag zuletzt geändert: 28.6.2012 13:22:33 von virtual2 -
voloya schrieb:
Du schreibst einen Virus, verwandelst hunderte / tausende normale PCs von irgendwelchen Leuten in ein Botnetzwerk und mit denen greifst du das "Ziel" an.
Über was würdest du denn DDoS Attacken ausführen? Ganz ohne Proxyserver? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage