Dies ist das Archiv zu der Kategorie 'Nightshift'.

Wie man einem Dos / DDoS mit slowloris Herr wird

Abgelegt unter Allgemein, EDV, IT, Nightshift, Sicherheit am 28.10.2011

So, nach ein paar Stunden Studierens, woher denn der Wind weht, wußte ich endlich, welcher Domain auf dem Server der DoS galt.
(bei Multi-IP-Umgebung kann das schon mal ein Weilchen dauern…)

So, als Allererstes:
wer auf seiner Linux-Büchse kein iptables hat -> sorry, selber schuld

Aber jetzt mal der Reihe nach:
wir suchen uns auf der Konsole mal die IP-Adressen raus, die verdächtig nach slowloris stinken

netstat -ant | grep TIME_WAIT | awk '{ print $5}' | cut -d ":" -f 1 | sort | uniq -c

Soooo, da haben wir ja schon potentielle IP’s, die wir mittels whois mal auf deren Ursprungsland testen.
Die meisten werden irgendwelche Russen, Chinesen, Franzosen, oder ger00tete Amerikaner sein.

Diese sperren wir der Reihe nach mit:
hier.die.ip.0/24
um auch gleich die potentiell benachbarten Leute freundlich aber bestimmt draußen zu halten
iptables -A INPUT -s hier.die.ip.0/24 -j DROP

Und flutsch, schon wird erst mal alles von der IP-Range gedroppt.

Das jetzt erst mal für 5-10 IP’s machen, mehr sind es bei slowloris selten.
(ansonsten ruhig ein paar mehr machen…)

So, jetzt setzen wir aber mal noch ein paar weitere Filter in die Firewall, um das auch für die Zukunft schön schwer zu machen:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROP
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --set
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --update --seconds 15 --hitcount 15 -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

So, und ab hier sollte man dann in Verbindung mit mod_evasive sehen, wie sich sein Webserver wieder erholt hat 🙂


Yann Tiersen – Rue des cascades

Abgelegt unter Music, Nightshift am 23.10.2011

Hmmm, Nightshift… 🙂

Click on the button below to load the content of YouTube.
Load content

PGlmcmFtZSB3aWR0aD0iNTAwIiBoZWlnaHQ9IjM3NSIgc3JjPSJodHRwczovL3d3dy55b3V0dWJlLmNvbS9lbWJlZC81T3pfcjZsYmJNcz9mZWF0dXJlPW9lbWJlZCIgZnJhbWVib3JkZXI9IjAiIGFsbG93PSJhdXRvcGxheTsgZW5jcnlwdGVkLW1lZGlhIiBhbGxvd2Z1bGxzY3JlZW4+PC9pZnJhbWU+

Heute wieder herrlich ruhig 😛
(und langsam habe ich alle Lieder von Yann Tiersen durch…)


ESXi USB Passthrough – oder wie verwende ich USB-Geräte in einer Virtuellen Maschine

Abgelegt unter Allgemein, EDV, IT, Nightshift am 07.09.2011

Gleich vorweg:
erfolgreich und stabil läuft das erst mit ESXi 4.1, ich habe aber schon den ESXi 5.0 am Laufen (daher nicht über die HW-Version 8 wundern…), der hat auch die nette Möglichkeit, USB-Geräte vom vSphere-Client mit in die VM zu schleifen 😛

Für den zu konfigurierenden Passthrough (also das Durchreichen oder Durchschleifen) müßt Ihr auch bedenken, daß Ihr den ESXi-Host mindestens 1x rebooten müßt, und die Gäste, welche USB erhalten, ebenfalls einmal zusätzlich heruntergefahren werden sollten/müssen (also insgesamt 2x)!
Ebenso sollte der Host nach Möglichkeit die Tastatur über PS2 angeschlossen bekommen, warum, erkläre ich später.

Generelle Voraussetzung ist, daß der ESXi hardwareseitig einen/mehrere USB-Controller verbaut hat, die auch unterstützt werden.
In meinem Falle war es ein Dell PowerEdge T310, der hat Intel-Chipsatz auf dem Board 🙂
(4 Anschlüsse hinten, 2 vorne)

So, also, Schritt 1:
nachgucken, ob der ESXi mit der verbauten Hardware was anfangen kann

ESXi 4.1 und 5 USB Passthrough Hardware-Auswahl

Vorbereitung wie bei jedem dieser Eingriffe:
ESXi-Konfiguration sichern, Host nach Herunterfahren aller Maschinen in den Wartungsmodus versetzen.

Dann geht es weiter:
1. Host selektieren
2. Konfiguration wählen
3. Erweiterte Einstellungen
4. Bearbeiten
5. USB-Hardware auswählen

So, jetzt wird Euch der ESXi mitteilen, daß er gerne neu starten würde, um die Hardware exklusiv verwenden zu können.

Und genau hier liegt der Hund begraben:
wenn man jetzt neu gestartet hat, gehen die angeschlossenen USB-Geräte, welche sich an der für Passthrough zu verwendenden Schnittstellen befinden, einfach nicht mehr für die Steuerung.
Bedeutet: USB-Keyboard kann nicht für die ESXi-Konsole verwendet werden!

Gut, nach einem Neustart wird man hoffentlich nicht mit einem Freeze begrüßt 🙂

Jetzt heißt es, der virtuellen Maschine, welcher man das/die USB-Gerät/e durchschicken will, erst einmal mitteilen, daß USB benötigt wird:

USB Controller hinzufügen

Einfach einen USB-Controller hinzufügen, hier empfiehlt es sich, dies bei heruntergefahrenem Gast zu erledigen; sollte auch im laufenden Betrieb funktionieren, jedoch hatte ich in Tests bei Ubuntu und CentOS ein klein wenig zu kämpfen…

So, dann den Gast erst einmal wieder hochfahren, Hardwareerkennung zuschlagen lassen, sollte nichts Besonderes sein.

Gast wieder runterfahren.

Jetzt nochmal Hardware hinzufügen, diesmal aber PCI:

PCI-Hardware bei ausgeschaltetem Gast hinzufügen

Wie man auf dem Screener sehen kann, PCI kann nicht einfach so hinzugefügt werden 🙂

So, und jetzt, beim Auswahl-Dialog, welches Teil man den bitteschön verwenden möchte, einfach den passenden USB-Controller selektieren 🙂

PCI-USB selektieren

So, man bekommt dann auch gleich nochmal den Hinweis, daß mit zugewiesenem Passthrough kein vMotion und kein Snapshot möglich ist.
Jupp, das ist dann halt mal ein Nachteil, und man man hat dann hoffentlich eine Backup-Lösung, die in der VM funktioniert 😉

Nun, nach einem Hochfahren des Gastes sollte der USB-Anschluss tadellos funktionieren.

ABER:
jedes Gerät, welches man jetzt an diesen USB-Anschluss steckt, wird gnadenlos an die entsprechende VM durchgereicht.
Wenn der Gast jetzt noch Autostart hat, steht einem fröhlichen r00ten virtueller Maschinen mittels USB-Stick nichts mehr im Wege!

Egal ob Token, USB-Platte oder sonstige USB-Peripherie, das Durchschleifen auf den Gast funktioniert zuverlässig; sogar der DATEV-Dongle macht keinerlei Probleme 😉



blog powered by wordpress
Design by Office and IT - Business Solutions
Optimiert durch suchmaschinen-freundlich

Cookie Preference

Please select an option. You can find more information about the consequences of your choice at Help.

Select an option to continue

Your selection was saved!

Help

Hilfe

Um meine Seite zu besuchen, mußt Du eine Wahl bzgl. der Cookies treffen.

  • Ale Cookies akzeptieren:
    Da kommt der ganze Tracking-Scheiss...
  • Nur first-party Cookies akzeptieren:
    Nur die Cookies meiner Wordpress-Installation.
  • Alle Cookies ablehnen >:-):
    Gar keine Cookies außer vielleicht so Session-Kram (ansonsten deaktiviere bitte Cookies im Webbrowser).

Mein Versprechen: Datenschutz.

Back