Einen DoS oder sogar direkt einen DDoS abzuwehren ist schwierig, aber man kann sich wenigstens ein wenig schützen vor dem Angreifer. Du hast also einen vServer, Dedicated oder Rootserver? Dann bist du hier genau richtig. Mit den hier aufgelisteten Regeln bist du zumindest auf der Sicheren Seite das die gängigsten Methoden von den IPTables / NFTables Regeln abgewehrt werden.

Mit den IPTables lassen sich gut Netzwerkpakete Analysieren und verwalten und somit auch blocken. Gleichzeitig sind diese performant und kommen bei so gut wie jedem Unix System zum Einsatz, also bietet es sich total an diese auch dafür einzusetzen.

AngebotBestseller Nr. 1
Ubiquiti Networks Wireless Access Point, 2.4GHz/5GHz, 867Mbit, 122m 1x 10/100/1000, 24V Passiv PoE, UAP-AC-LITE (160 x 31.45 mm Indoor)
Ubiquiti Networks Wireless Access Point, 2.4GHz/5GHz, 867Mbit, 122m 1x 10/100/1000, 24V Passiv PoE, UAP-AC-LITE (160 x 31.45 mm Indoor)
Der AmpliFi HD (High Density) MeshPoint verfügt über eine verstellbare Superantenne; 2, 4 GHz Geschwindigkeit: 300 Mbps; 5 GHz Geschwindigkeit: 867 Mbps
−7,90 EUR 89,90 EUR Amazon Prime
AngebotBestseller Nr. 2
Ubiquiti AP Unifi U6+ 3.0 Gbps, RJ45 ohne PoE-Injektor
Ubiquiti AP Unifi U6+ 3.0 Gbps, RJ45 ohne PoE-Injektor
Dual-band WiFi 6 support
−7,46 EUR 107,44 EUR Amazon Prime

Kurz und schnell DoS erklärt

Eine Denial-of-Service (DoS)-Attacke ist eine Cyberangriffstechnik, bei der ein Angreifer versucht, ein Computersystem, Netzwerk oder eine Online-Dienstleistung unzugänglich zu machen, indem er es überlastet oder zum Absturz bringt. Dies geschieht, indem der Angreifer eine große Menge an Datenverkehr, Anfragen oder Ressourcen auf das Ziel lenkt, was dazu führen kann, dass das System nicht mehr ordnungsgemäß funktioniert oder gar nicht mehr erreichbar ist. DoS-Attacken können verschiedene Formen annehmen, darunter Netzwerküberlastungen, Angriffe auf Software-Schwachstellen oder Ressourcenerschöpfung. Das Hauptziel einer DoS-Attacke besteht darin, legitimen Benutzern den Zugriff auf die betroffenen Ressourcen zu verweigern und den normalen Betrieb zu stören.

IPTables DDoS Regeln

Hiermit werden alle Invaliden Pakete verworfen und sogar direkt bevor die weiter vom System bearbeitet werden.

iptables -t mangle -A PREROUTING --ctstate INVALID -m conntrack -j DROP

Diese Regel verwirft alle Pakete welche nicht “Syn” sind im TCP Stack.

iptables -t mangle -A PREROUTING  -m conntrack -p tcp ! --syn --ctstate NEW -j DROP

Die nächste iptables-Regel blockiert neue Pakete (nur SYN-Pakete können gemäß den beiden vorherigen Regeln neue Pakete sein), die einen nicht üblichen TCP-MSS-Wert verwenden. Dies hilft, dumme SYN-Floods zu blockieren.

iptables -t mangle -A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcpmss ! --mss 536:65535 -j DROP

Die nächste Regelsatz blockiert Pakete, die gefälschte TCP-Flags verwenden, d. h. TCP-Flags, die legitime Pakete nicht verwenden würden.

iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP

Fragmentierte Pakete blockieren.

iptables -t mangle -A PREROUTING -f -j DROP

Limitieren Sie die Anzahl der gleichzeitigen Verbindungen pro IP-Adresse.

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 80 -j DROP

UDP Flood verhindern.

iptables -A INPUT -p udp -m limit --limit 150/s -j ACCEPT
iptables -A INPUT -p udp -j DROP

Um DNS-Imitationsangriffe (DNS Spoofing) zu verhindern, können Sie bestimmte IPTables-Regeln erstellen, um den DNS-Verkehr zu schützen.

iptables -A INPUT -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j DROP