probleem met syslog/bind + ddos bescherming

Message

oharra · Post by **oharra** » Sun Dec 23, 2007 10:50 pm

Ik heb een probleem met de syslog op mijn gentoo (dedicated) server. Die gaf tot voor kort geen problemen, maar een paar weken terug werkte mijn domeinen plots niet meer. Blijkbaar wou de bind server niet meer starten, het gaf ook geen error, nadat ik dan een aanpassing gedaan heb dat ik toch de foutmelding kreeg, bleek het iets de zijn in de syslog-ng.conf. Ik heb die nagekeken en die file zag er goed uit, heb ook geprobeerd met gelijkaardige configuratiebestanden, en aanpassingen gedaan maar de foutmelding bleef, hij geeft gewoon dezelfde foutmelding alsook wanneer ik syslog probeer te starten : "syntax error at 1 Parse error reading configuration file, exiting. (line 1)" en het maakt blijkbaar niet uit wat die eerste lijn is. Je zou denken dat dat config bestand niet ondersteunt word, maar het rare is ik heb er niks aan veranderd, ik had wel CSF firewall proberen te installeren ervoor (ligt er nu weer af), maar ik zie niet direct in hoe dat de oorzaak zou kunnen zijn. Nogal vaag dus. Er was eerst ook wel het probleem dat de ene harde schijf vol was, en dat daarom bind mss niet meer zou werken, maar ondertussen heb ik een paar GB vrij gemaakt maar ik krijg Bind nog altijd niet gestart. Onlangs is de server ook onder ddos aanvallen geweest, helaas wil mijn hostbedrijf er niks tegendoen (hardware firewall zou dat normaal moeten tegenhouden), ik dacht als beveiligingen syn cookies, een syn deflate script, een goeie firewall en een webserver die ermee om kan, die veel connecties aankan. Zou dat genoeg zijn en zijn er eventueel andere dingen dat ik zou kunnen doen ? Ik wou CSF installeren maar dat blijkt niet zo compatibel te zijn met Gentoo, ik had hier wel in de documentatie wat over gelezen en er zou toch wel een andere firewall mogelijk zijn. Het waren non-spoofed synfloods op poort 80. Bedankt alvast.

garo · Post by **garo** » Mon Dec 24, 2007 1:23 pm

Tegen een ddos kan je als hosting bedrijf niet veel doen aangezien het niet objectief kan vastgesteld worden dat het een ddos is.
"One man's DDoS is another man's good day of traffic"

oharra · Post by **oharra** » Mon Dec 24, 2007 2:57 pm

garo wrote:Tegen een ddos kan je als hosting bedrijf niet veel doen aangezien het niet objectief kan vastgesteld worden dat het een ddos is.
"One man's DDoS is another man's good day of traffic"

Volgens mij wel, dat was toch ook wat verschillende mensen mij zeiden, als je echt helemaal beschermd wilt zijn ertegen. Traffic is het probleem niet, heb ik ongelimiteerd op een 1gbit bandbreedte, het neemt ook totaal niet veel bandbreedte in die aanvallen, alleen het zijn het aantal requests/packets die de webserver doen crashen. Denk wel dat het zal opgelost zijn met die maatregelen dat ik in gedachten had en ga uitvoeren

oharra · Post by **oharra** » Wed Dec 26, 2007 3:46 pm

Het is al opgelost ! de root partition was blijkbaar vol, ik dacht dat het de harde schijf op zich was maar blijkbaar alleen dat deel, en eens ik daar plaats vrijgemaakt heb draait bind weer lekker en de problemen op mijn site ook opgelost

had dus niks met syslog te maken ik dacht wel zoiets

Ik heb wel een probleempje met die syn cookies aan te zetten, ik heb ze in de sysctl.conf geactiveerd, en blijkbaar moet je ze ook nog op een andere plaats duiden, met het commando "echo 1 > /proc/sys/net/ipv4/tcp_syncookies" bij het opstarten, nu heb ik dat in de opstartlijst gezet, maar het werkt niet. Enig idee hoe ik dat nog kan fixen ? En hoe ik kan checken of Sysctl aanstaat in de kernel ?

koenderoo · Post by **koenderoo** » Thu Dec 27, 2007 6:38 am

checken of sysctl aanstaat?

Code: Select all

cat /usr/src/linux/.config | grep sysctl