Rootserver Flooding gegen TS-Server - Hilfe!

[Rexin]

Guten Tag liebe Gemeinde,

seit Längerem werde ich immer wieder von meinen Mitarbeitern angeschrieben, dass der Teamspeakserver offline wäre. Ich habe ihn natürlich gleich wieder neugestartet, doch manchmal hielt es keine vier Stunden an und er war wieder down.
Ich hab nach dem Problem gesucht und es einfach nicht gefunden, doch an einem Abend waren wir wieder online und schwupps ging er wieder offline. Ich ihn wieder neugestartet und als Teamspeak dann automatisch wieder zum Server connected ist, sah man schon das Unheil... der Server wurde mit hunderten Usern gefloodet, herausfiltern konnte ich zwei IPs.

Nach einer whois-Abfrage stellte sich heraus das es zwei Rootserver waren. Die beiden IPs sperrte ich dann per IPtables, was dann auch Ruhe mit sich brachte.

Doch nun fängt das Ganze wieder von vorne an. Immerwieder ist der Teamspeak down und ich bin mir sicher das er wieder gefloodet wird. Das Problem ist, wenn der Server abstürzt war kein einziger Flood vorher AUF dem Server zu sehen, sprich als User die gejoint sind. Es passiert einfach und der Server stürzt ab.

Wir haben Perlmod stätig laufen, doch irgendwie scheint der nichts zu bringen, wenn kein User den Server betritt.

Nun die Frage, wie kann ich mich davor schützen?

Mit freundlichen Grüßen

Eure Rexin

[maxi1990]

In diesem Beitrag http://de.wikibooks.org/wiki/Linux-K..._mit_IP-Tables wirst du bestimmt fündig. Es gibt dort auch ein paar andere Regeln zum Beispiel gegen SYN Flood etc.

[BeDa]

Servus Rexin,

kommen viele Nutzer von wenigen IPs? Oder hat jeder Nutzer seine eigene IP? Vieleicht kannst Du mal einen tcpdump von dem Angriff machen?

@maxi1990: Was jetzt SYN Flood mit UDP zu tun hat, erschließt sich mir nicht ganz.

Aber um einfache Angriffe zu blockieren sollte dies hier reichen (default auf drop oder reject):

# teamspeak im begrenztem Umfang erlauben
$iptables -A INPUT -i eth0 -p udp -d $ip_eth0 --dport 8767 \
-m hashlimit --hashlimit 2/hour --hashlimit-mode srcip --hashlimit-name teamspeak --hashlimit-burst 3 \
-m state --state NEW -j ACCEPT

Viele Grüße
B3D4

[maxi1990]

Naja. Das Tutorial bietet umfasst mehrere Gebiete, zum Beispiel auch einen SYN Flood. Unpräzise formuliert in meinem ersten Post

[Rexin]

Vielen Dank für eure Antworten.
Zu den IPs.
Naja, der Server wird an sich nicht gefloodet (sprich, es kommen keine neuen User mit der selben IP auf den TS), dass ich das eine mal zufällig mitbekommen haben als sie connected sind war wohl großes Glück.

Ich weiß nicht was gefloodet wird, aber irgendwas wird gefloodet, weil der Server ja immer wieder abstürzt.

BeDa, was ist ein tcpdump? Und wärst du so nett und könntest mir den IPtableeintrag etwas erläutern?

Ich hab jetzt erstmal alle relevanten Logs eingeschaltet, vielleicht hilft das weiter.

Und jetzt schau ich mir mal den wikibooks link an.


Liebe Grüßen

Rexin

[BeDa]

tcpdump dient der Analyse von IP-Paketen, um Fehler oder ungewollte Netzwerkzugriffe zu finden.

linux:~# tpcdump -w teamspeak.dump -p -s0 port 8767

und die Datei schaust Du Dir dann mit wireshark/ethereal an um ein Kriterium zu finden mit dem Du sinnvoll filtern kannst. Das iptables snippet macht nichts anderes als die maximalen Verbindungsversuche pro Zeiteinheit pro Quellipadresse zu begrenzen.

PS: Meine ICQ Nummer steht im Profil, damit gehts schneller.

[Claw]

Alle Server-Versionen unter 2.0.23.19 sind durch einen Bug im Webinterface einer DoS Attacke (Manchmal kackt nur der TeamSpeak 2 Server ab, manchmal aber auch gleich der ganze Server, da dieser anfängt zu "swappen") ausgesetzt, am besten mal auf die neueste Version aktualisieren (2.0.23.22).

[Rexin]

Ich hab die Version nun auf PlanetTeamspeak gefunden, doch wieso wird sie hier nicht angeboten?

Ist mit der Version irgendwas?

[maxi1990]

Die offizielle Download Seite wurde glaub ich noch nicht aktualisiert. Hier findest du die aktuelle Version: http://forum.teamspeak.com/showthread.php?t=38801