DoS/DDos Attacken mit fail2ban abwehren

DoS/DDos Attacken mit fail2ban abwehren

Zu den Plagen unserer Zeit für (WordPress) Website Betreiber gehören Denial of Service (DoS) bzw. Distributed Denial of Service (DDoS) Attacken, die das Ziel haben, einen Webserver lahmzulegen (mit welchen Motiven auch immer). Gerade DDoS Attacken erfordern gut durchdachte Schutzmaßnahmen.

DoS und DDoS Attacken

Herkömmliche DoS Attacken haben, wenn man das grundsätzlich sagen möchte, gegenüber DDoS Attacken einen Vorteil. Die Attacken kommen von einer oder von wenigen IP-Adressen und haben idealerweise ein erkennbares Muster. Diese Adressen werden auf iptables Ebene gesperrt und es kehrt deutlich mehr Ruhe ein.

DDoS Attacken haben meistens die unangenehme Eigenschaft, von sehr vielen IP-Adressen aus ausgeführt zu werden, wobei die Teilnehmer häufig infizierte Endgeräte von ganz normalen Personen sind. Womit der Schutz durch großflächiges Blockieren bekannter server-basierter Netzwerke nicht greift. Und zudem nicht schnell genug.

DoS & DDoS Attacken mit fail2ban abwehren

Analog wie bei einer Firewall und bei Wordfence kann fail2ban nur so gut funktionieren, wie es nach fachgerechter Einrichtung auf seine Arbeit vorbereitet wurde. fail2ban überwacht als Dienst mehrere konfigurierte Protokolle und sperrt IP-Adressen für eine konfigurierte Dauer in einem Gefängnis (jail) ein, wenn diese IP-Adresse ein Verhalten nach konfigurierten Mustern an den Tag legte.

Gängige Filter und Gefängnisse sind:

  • Versuche, über SSH einzudringen
  • Versuche, über WordPress Login einzudringen
  • Bestimmte Fehlercodes, die der Webserver erzeugt hat
  • Versuche, in Mailserver Dienste einzudringen
  • Versuche, in das Administrationspanel einzudringen

Man kann eigene Filter schreiben und diese mit der Arbeitsweise von Wordfence kombinieren, in dem man Wordfence einen bestimmten Fehler auslösen lässt und dann die IP-Adresse in fail2ban gewissermaßen schnappt und blockiert.

Alles okay, wenn fail2ban einmal eingerichtet ist?

Nein, die Funktionsweise von fail2ban sollte regelmäßig kontrolliert werden. Von Zeit zu Zeit ist es auch notwendig, die Filterregeln zu ergänzen, wenn wieder neue Bedrohungsformen das Internet überfluten. Und leider kann es auch sein, dass einander Firewall und fail2ban in die Quere kommen, weil beide auf iptables basieren.

Fazit zu fail2ban

fail2ban sollte grundsätzlich gemeinsam mit einer Firewall und Wordfence zum Sicherheitspaket für eine professionell betriebene WordPress Website gehören. Der Dienst kann wesentlich dabei helfen, DoS & DDoS Attacken zu überstehen oder in den Griff zu bekommen. Wenn 10.000 Leute gleichzeitig Ihr Firmengelände stürmen, haben Sie auch mit eigenem Wachdienst ein Problem. Im Internet ist es nicht anders.