Einen DoS oder sogar direkt einen DDoS abzuwehren ist schwierig, aber man kann sich wenigstens ein wenig schützen vor dem Angreifer. Du hast also einen vServer, Dedicated oder Rootserver? Dann bist du hier genau richtig. Mit den hier aufgelisteten Regeln bist du zumindest auf der Sicheren Seite das die gängigsten Methoden von den IPTables / NFTables Regeln abgewehrt werden.

Mit den IPTables lassen sich gut Netzwerkpakete Analysieren und verwalten und somit auch blocken. Gleichzeitig sind diese performant und kommen bei so gut wie jedem Unix System zum Einsatz, also bietet es sich total an diese auch dafür einzusetzen.

AngebotBestseller Nr. 1
TP-Link TL-WA1201 WLAN Dualband Access Point 1267Mbit/s (867Mbit/s 5GHz + 400Mbit/s 2,4GH, Unterstützt Passive PoE , 4 fixierte Antennen) weiß (1er Pack)
TP-Link TL-WA1201 WLAN Dualband Access Point 1267Mbit/s (867Mbit/s 5GHz + 400Mbit/s 2,4GH, Unterstützt Passive PoE , 4 fixierte Antennen) weiß (1er Pack)
AC1200 Dualband-WLAN – 867 Mbit / s bei 5 GHz und 400 Mbit / s bei 2,4 GHz; Captive Portal – Bietet eine gestaltete Portalseite für erhöhte Sicherheit und Marketing
−17,91 EUR 41,99 EUR Amazon Prime
AngebotBestseller Nr. 2

Kurz und schnell DoS erklärt

Eine Denial-of-Service (DoS)-Attacke ist eine Cyberangriffstechnik, bei der ein Angreifer versucht, ein Computersystem, Netzwerk oder eine Online-Dienstleistung unzugänglich zu machen, indem er es überlastet oder zum Absturz bringt. Dies geschieht, indem der Angreifer eine große Menge an Datenverkehr, Anfragen oder Ressourcen auf das Ziel lenkt, was dazu führen kann, dass das System nicht mehr ordnungsgemäß funktioniert oder gar nicht mehr erreichbar ist. DoS-Attacken können verschiedene Formen annehmen, darunter Netzwerküberlastungen, Angriffe auf Software-Schwachstellen oder Ressourcenerschöpfung. Das Hauptziel einer DoS-Attacke besteht darin, legitimen Benutzern den Zugriff auf die betroffenen Ressourcen zu verweigern und den normalen Betrieb zu stören.

IPTables DDoS Regeln

Hiermit werden alle Invaliden Pakete verworfen und sogar direkt bevor die weiter vom System bearbeitet werden.

iptables -t mangle -A PREROUTING --ctstate INVALID -m conntrack -j DROP

Diese Regel verwirft alle Pakete welche nicht „Syn“ sind im TCP Stack.

iptables -t mangle -A PREROUTING  -m conntrack -p tcp ! --syn --ctstate NEW -j DROP

Die nächste iptables-Regel blockiert neue Pakete (nur SYN-Pakete können gemäß den beiden vorherigen Regeln neue Pakete sein), die einen nicht üblichen TCP-MSS-Wert verwenden. Dies hilft, dumme SYN-Floods zu blockieren.

iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP

Die nächste Regelsatz blockiert Pakete, die gefälschte TCP-Flags verwenden, d. h. TCP-Flags, die legitime Pakete nicht verwenden würden.

iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP

Fragmentierte Pakete blockieren.

iptables -t mangle -A PREROUTING -f -j DROP

Limitieren Sie die Anzahl der gleichzeitigen Verbindungen pro IP-Adresse.

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 80 -j DROP

UDP Flood verhindern.

iptables -A INPUT -p udp -m limit --limit 150/s -j ACCEPT
iptables -A INPUT -p udp -j DROP

Um DNS-Imitationsangriffe (DNS Spoofing) zu verhindern, können Sie bestimmte IPTables-Regeln erstellen, um den DNS-Verkehr zu schützen.

iptables -A INPUT -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j DROP