Ich habe leider nicht ganz verstanden, was Du mit dem Posting weiter oben sagen wolltest. Da die meisten Astaro Mitarbeiter aber deutsche Muttersprachler sind, kannst Du vielleicht auch in dieser Sprache schreiben.
@ALL Super Danke mein Englisch in Schrift muss ja grammatekalisch fürchterlich sein, allerdings habe ich auch den google translator benutzt wenn ich ehrlich bin [:$]
Also was ich damit sagen wollte ist, da die meisten Attacken nicht nur über die FQDN stattfinden sondern gerne die IP genutzt wird, trotz Aktivierung der WAF bekommen ich meinen Webserver noch via ip was eigentlich von modsecurity sobald man SecRuleEngine auf on setzt unterbunden wird. Der Zugriff via IP Adresse sollte mit einem Document Error von Type 400 abgelehnt werden.[:S] Eintrag ist modsecurity_crs_21_protocol_anomalies.conf id960017 welche Aufrufe via ip verweigert sobald die ip im host-header autaucht. Man sollte verhindern Eindringlingen die Arbeit zu erleichtern umso weniger infos umso besser (siehe Unicode-Bug im IIS (vor Vers.6)).
P.S. Da ihr Apache2 als Reverse nutzt wäre es da nicht auch von interesse das modul mod_evasive zum Abwehren von DDOS Attacken zu nutzen ? außer wohlbemerkt das ips erledigt dies.
Wir haben das endgültige Set von Regeln für das WAF-Feature noch nicht festgezurrt. Ich werde Deine Vorschläge aber auf jeden Fall mal mit auf die Liste setzen. Und um Deine Frage zu beantworten: ja, eigentlich sollte das IPS effektiver gegen DDOS Attacken schützen.
We haven't decided on the final set of rules for the WAF-feature yet, but we will definitely take your suggestion (add another mod_security rule to prevent usage of the hosts ip-address instead of the hostname) into account. And to answer your question: yes, the IPS should be more effective against DDOS attacks than mod_evasive.
