Eingehenden Traffic kontrollieren

Dafür wurden Firewalls erfunden Das ist im Prinzip die Funktionalität der diese dienen sollen.

Schwierigkeiten hat aber nahezu alles damit, DOS Attacken sind je nach Art schwer zu kontrollieren und schwer automatisch zu analysieren. DOS Attacken können ja durchaus alles sein, was versucht mehr verbindungen herzustellen als du handlen kannst, das können Synfloods sein, das kann sich auf sonst ner ebene abspielen. Das kann von ner gültigen oder fremden IP kommen, etc.
Prinzipiell wäre hier vermutlich der einfachste Gedanke wenn du entsprechend viele offene SYNs hast die Zugriffe ganz abzuweisen, IP-Unabhängig, was dann natürlich die erreichbarkeit für ZEIT auf 0 reduziert.

Brute Force Attacks dürften das geringste Problem sein, viele Logins in kurzer Zeit aufeinanderfolgend, die beste Methode solche angriffe auszuhebeln dürfte ein "Login Falsch, 10 Sekunden warten", "Login falsch, 20 Sekunden warten", ... ansteigender Counter sein, dadurch wird ihre Effektivität soweit zurückgefahren, dass sie sinnlos sind - bei nem entsprechend mächtigen Passwort.

Bots: Beschreib hier mal konkret woran du denkst. 

Ok Danke(Bin grad in Ausbildung un bastel weng rum :p),

Ja an eine Firewall hab ich auch schon gedacht, bin aber auf den Gedanken gekommen, selbst ein Skript dahinter zu legen eventuell :p (Allrounder)

Ähm mit Bots meinte ich eigentlich sowas wie Spam. Ich hab auf dem Server auch einen CSS Server laufen und  im Internet schon gelesen, dass Hacker spezielle "Bots" einsetzen um dauerhafte Pingpackete zu senden, um somit den Server auszulasten.



Der Server hängt hinter nem Router und hat ne dyndns.com Adresse.

Ein Proxy-Server würde der Funktionsweiße einer Firewall nahekommen oder?

greeZ 

Uhm nein... Proxies würden den Ort des Zusammenbruchs evtl. ändern aber das wars dann. Prinzipiell ist ein POD jederzeit möglich wenn nur die Leitung deines gegenübers dick genug ist. Da hilft auch keine Firewall.

Ein eigenes Script dürfte nicht ohne weiteres Funktionieren, je nach Angriffsmethode musst du sehr tief runter und die Pakete entsprechend zerlegen, da wärste schon raus ausm Bereich Scripting und mitten in konkreter Programmierung. (Zumindest würden mir keine Tools einfallen, die sich da einfach über Scripts nutzen lassen).

Für Gästebücher/Foren wären Captchas das richtige Mittel gegen Spambots, aber rein technisch lässt sich ein System - wenn dem Angreifer genügend ressourcen zur Verfügung stehen eigentlich immer lahm legen. Selbst wenn die eingehenden ICMP Pakete direkt verwerfen werden, lässt sich einfach die Leitung solange bombardieren, bis sonst keine Anfragen durchkommen oder nur mit erheblicher Verzögerung.

Der richtige Ort für deine Firewall wäre "der Router" und fgw. hast du dort ja schon entsprechende Funktionalität dabei, anfragen auf nicht übersetzten Ports werden - fgw. verworfen.
Ein Proxyserver wird normalerweise zur Lastverteilung verwendet und bringt dir hier, relativ wenig, dein Nadelöhr dürfte dein DSL/ISDN/Kabel Anschluß sein, bei P2P verbindungen fallen Proxies eh raus.

Der Allrounder wie du ihn dir vorstellst dürfte die Netzwelt freuen, es gibt ihn bislang aus guten Gründen nicht, selbst Firewalls hängen von deinen Regeln ab und reagieren auch dementsprechend gut oder schlecht.

Möglichkeiten dein Netz "immer sicherer zu gestalten" gibt es massig, aber die Ultimative Lösung leider nicht. Wie gesagt... die ersten Antworten wären: ICMP Pakete verwerfen, erschwert Pingfloods, ne gute Firewall vernünftig auf die gängigen DDOS Methoden reagieren zu lassen ist möglich aber auch das kein allgemeiner Schutz, hierzu:
http://www.tech-mavens.com/synflood.htm
http://www.theregister.co.uk/2001/08/25/defending_against_synflood_dos_attacks/

Configuration allgemein:
http://www.netfilter.org/documentation/index.html

Ja mein Router hat ne integrierte Firewall und auch sämtliche Einstellungen hinsichtlich der Ports.

Danke für die hilfreichen und vorallem ausführlichen Antworten *daumen hoch*, ich werd mir die Links mal ansehen.