DOS Angriff auf Loseseiten

Der CCC wird übrigens per LiveStream übertragen.

also einfach um 16:00 Uhr in Saal 3 einklinken oder später den Vortrag aus den Recordings laden, den Link zu finden überlasse ich denen, die es wollen.
 
raven schrieb:
Das sieht in den Serverlogs dann etwa so aus:[..]
Zum Vergrößern anklicken....

An deinem Logeintrag erkennt man finde ich sehr schön, dass die DDoS Attacken gezielt nur auf Klammseitenserver gehen. Es fragten ja schon mehrere, ob auch Server anderer Seiten betroffen wären.
Aber in dem Eintrag wird ja als Name wieder Konnan bzw. NannoK genommen - also der "berühmte" Fakername auf Klamm.
 
ice-breaker schrieb:
:wall: :wall: :wall:

wenn der DDoS die Bandbreite auslastet, bringt es dir nichts auf dem Server Honeypot zu spielen und die IPs zu bannen, denn die Pakete werden dann erst auf dem Server gesperrt und verbrauchen immernoch die Bandbreite des Switches.
Zum Vergrößern anklicken....

Tschuldigung wenn das jetzt frech klingt aber du hast noch nicht allzuviel erfahrung mit DoS/DDoS oder?

Der Trick besteht dadrin die Verbindungen so frueh wie moeglich zu blocken, wenn die Verbindung erstmal beim Webserver angelangt ist werden jede Menge ressourcen versplentert und es ist fuer angreiffer ein leichtes diese auszuschoepfen.

Fuer alle die nicht wissen wie eine TCP-Connection aufgebaut wird: der client schickt ein Syn an den Server, der server antwortet mit syn-ack und der client antwortet mit ack und den ersten Daten. Wenn man jetzt die firewall so konfiguriert dass die syn-pakete des angreiffers gedroppt werden kann keine verbindung aufgebaut werden, und viel wichtiger die netzwerk infrastruktur hinter den switchen wird nicht belastet und viel wichtiger der webserver muss keine ressourcen dafuer aufwenden.
Danach ist's eine frage von Bandbreite und leistungsfaehigkeit der firewall und nicht mehr der server. Firewalls sind extrem gut darin geworden effizient zu filtern.
Und alleine mit syn-paketen eine Leitung wie die oben genannten vollzumachen ist definitiv ausserhalb der reichweite des angreiffers denn er macht normale anfragen (siehe log-auszug oben).

Waere es ein DDoS, dann wuerden dritt-computer verwendet um einzelne ack-rst antworten an den server zu schicken (Wikipedia hilft weiter) und es kaeme gar nicht zu einem ganzen Verbindungsaufbau, und somit auch nicht zu den oben genannten 404 anfragen.

Also alles in allem, entweder du verklagst hunderte Ahnungslose internet user die von einem obskuren Virus befallen sind, oder du kuemmerst dich darum dass du moeglichst viele von ihnen dropst!

As always: no offense intended.
Aber wenn man versucht meine gutgemeinten ratschlaege als charlatanerie darzustellen muss ich mich wehren!
 
Snyke, ich glaube, ihr redet aneinander vorbei ;).

Der Flaschenhals sind in den aktuellen Fällen nicht die Ressourcen auf dem Server selbst, sondern lediglich seine Anbindung. Angegriffen wird auch nach eigenen (leidvollen) Erfahrungen zu 90% via UDP - und ja, Frau Rieger, wie TCP funktioniert ist bekannt :p.

Außerdem hindert ein verworfener SYN auch niemanden daran, einfach weitere Daten zu schicken. SYN-Flooding zu unterdrücken ist das kleinere Problem - wenn das Datenvolumen aber zu hoch wird, dann hilft das alles nix.

Eine Sanduhr funktioniert auch nur, weil der Sand nicht auf einmal durch die Öffnung passt. Nichts anderes passiert hier mit der Bandbreite ...
 
Na da bin ich dann mal gespannt was fuer eine Anbindung ihr habt :ugly:

Aber darauf bekomm ich ja eh keine Antwort da dass wohl als trade-secret gehandelt wird...
 
Snyke schrieb:
Na da bin ich dann mal gespannt was fuer eine Anbindung ihr habt :ugly:
Zum Vergrößern anklicken....
dann möge der Kleinkrieg beginnen :ugly:

ein normaler Server, und da wird deiner kein Ausnahme sein, ist i.R. mit 100Mbit/s angebunden, also was willst du in Herrgottesnahmen machen wenn auf deinen Server UDP-Packete mit mehreren hundert Mbit/s bis zu mehreren Gbit/s einprasseln, da reicht nichtmal die Netzwerkverbindung zu deinem Server (was der Sinn eines DDoS ist :!:) und selbst wenn du jedes Packet sinnlos droppen würdest, wärst du noch down, weil sich vor deinem Server alles staut und DAS ist ein DDoS.

Schau dir mal an was DDoS-Protection Services kosten, und das schon bei wenigen Mbit/s (bis zu 500 - 800 Mbit/s) dann wirst du vllt nachvollziehen können, dass du einem DDoS nur mit teurer Netzwerkinfrastruktur und keiner Software entgegentreten kannst.

Achso und was meinst du wohl wofür diese HTTP-Anfragen da sind? Na? Na?
Diese dienen einfach nur dem Feststellen ob der Server noch erreichbar ist, denn wer einen Webdienst betreibt, wird den Port 80 nicht sperren, also ein perfektes Indiz um festzustellen, ob man Erfolg hat.
 
Ich dachte eigentlich dass ich genug beweise gebracht haette dass es kein DDoS ist sondern "nur ein DoS", aber das sollte jetzt mal nicht das Problem sein, giebt es bessere ansaetze die DoS wellen zu stoppen als ewig rumjammern und darauf hoffen dass die infizierten User sich irgendwann eine Antiviren software zulegen die zufaellig den Zombie-Virus entdeckt? Oder bin ich hier der einzige der ne Loesung finden will, und nicht nur jammern mag?
 
Snyke schrieb:
Oder bin ich hier der einzige der ne Loesung finden will, und nicht nur jammern mag?
Zum Vergrößern anklicken....

Gibt doch schon zig User, welche das Problem bei sich in den Griff bekommen haben :)

Glaube sogar hier im Thread wurde von einem User auch schon angeboten, das man sich bei ihm melden kann, um eine Lösung zu bekommen ;)

LG

edit: Zwischenzeitlich gabs ja auch sql-floods bei einigen Servern.. aber dem beizukommen war ja äußerst einfach :)
 
Snyke schrieb:
Ich dachte eigentlich dass ich genug beweise gebracht haette dass es kein DDoS ist sondern "nur ein DoS"
Zum Vergrößern anklicken....
8O :roll: :mrgreen:
auch wenn ich von meinem Standpunkt kaum zurückweichen werde, würde ich dich mal bitten, dass du mal erklärst, was deiner Meinung nach an diesem DDoS kein DDoS ist und worin sich ein echter DDoS von diesem "nicht echten" unterscheiden soll.
Denn was momentan stattfindet ist genau die Situation eines DDoS: viele Bots greifen einen Server ein und verstopfen dessen Bandbreite, weshalb ein Eingreifen mit Software direkt auf dem Server nichts mehr bringt.

Snyke schrieb:
aber das sollte jetzt mal nicht das Problem sein, giebt es bessere ansaetze die DoS wellen zu stoppen als ewig rumjammern und darauf hoffen dass die infizierten User sich irgendwann eine Antiviren software zulegen die zufaellig den Zombie-Virus entdeckt? Oder bin ich hier der einzige der ne Loesung finden will, und nicht nur jammern mag?
Zum Vergrößern anklicken....
dann nenn uns doch mal deine Lösung :!:
Sicherheitssoftware auf dem Server ist viel zu spät, denn sie kann nur Dinge blocken die schon auf dem Server angekommen sind, und die TCP-Verbindungen (Syn-Flooding), was sowieso in diesem Angriff kaum getan wird und das UDP-Flooding (was der Haupttraffic ist) findet ja trotzdem noch statt und verbraucht die Bandbreite zu deinem Server, dass du sie dann auf deinem Server direkt mit Snort, iptables oder sonstwas blockst ist ja egal, die Bandbreite ist schon zugestopft, so dass die guten Anfragen nimmer durchkommen

Und DAS ist die Definition eines DDoS und der Grund warum man dem nicht mit Software sondern nur mit Netzwerkinfrastruktur entgegentreten kann.
Die ersten 1-2 Wochen fand kein echter DDoS statt, da waren es nur wenige Mbit, die man leicht mit Software blocken konnte, aber nun übersteigt die Bandbreite des DDoS locker die eines Servers.
 
Mich interessieren nach euren interessanten Ausführungen derzeit noch zwei Dinge, über die wir gerne philosophieren können:

- Wieso wurde Nannok gesperrt? Nur weil er ein Post verfasste, bei dem man annehmen könnte, dass er diesen Angriff initierte? Welche Forenregel greift da? Mich hätte ein Kontaktweg mit ihm, z.B. im Thread direkt, interessiert.
- Welche Seiten werden derzeit angegriffen, haben das Problem aber in den Griff bekommen? Ein erster Angriff vor einiger Zeit konnten paar Seiten mit einfachen Mitteln erfolgreich abwehren, welche Qualität haben die aktuellen Angriffe bei den betroffenen Loseseiten?
Betroffen waren unter anderem Losomat, Arthurkings, Infernoslots, klamm-spielbank. Alle Seiten laufen nun einwandfrei. Laufen da keine Angriffe mehr?
 
Jipii schrieb:
- Wieso wurde Nannok gesperrt? Nur weil er ein Post verfasste, bei dem man annehmen könnte, dass er diesen Angriff initierte? Welche Forenregel greift da? Mich hätte ein Kontaktweg mit ihm, z.B. im Thread direkt, interessiert.
Zum Vergrößern anklicken....
Ganz einfach: Du kannst mir nicht erzählen, dass jemand solche Angriffe ausführt, ohne hier schon User (gewesen) zu sein. Das passt einfach nicht ;).

Insofern haben wir hier wenigstens deswegen den Verdacht auf Mehrfachaccounts, was eine Sperrung rechtfertigen würde. Alles weitere ist Interna.
 
XFuture-Media.de schrieb:
Korrekt. Die Angriffe sind seit Weihnachten weg. Anscheind im Weihnachtsurlaub ;)
Zum Vergrößern anklicken....
Weil nämlich heute noch klamm-spielbank betroffen war und am Abend wechselte es direkt zu Casinofreude. Ich vermute, dass immer nur eine Seite gleichzeitig angegriffen wird. Und sobald das wieder läuft weil die Angriffe weg sind, ist vermutlich wieder Infernoslots o.ä. dran.
Also habt ihr einfach Glück dass es wieder läuft, abwehren konnte keiner bisher was (weniger Kiddieangriff, sondern größere Dimension)?
 
Jipii schrieb:
Weil nämlich heute noch klamm-spielbank betroffen war und am Abend wechselte es direkt zu Casinofreude. Ich vermute, dass immer nur eine Seite gleichzeitig angegriffen wird. Und sobald das wieder läuft weil die Angriffe weg sind, ist vermutlich wieder Infernoslots o.ä. dran.
Also habt ihr einfach Glück dass es wieder läuft, abwehren konnte keiner bisher was (weniger Kiddieangriff, sondern größere Dimension)?
Zum Vergrößern anklicken....

Wir könnten den Traffic bisher nur vom RZ her blocken lassen, sodass in der Zeit die Seite nicht erreichbar war. Ansonsten wurden die Uplinks mit der Menge an traffic massiv überlastet. Der Server selber hat davon kaum was mitbekommen, da die Uplinks zu schnell vollgelaufen waren. Also nix Kiddie Angriff.

Die Seiten die bei uns liegen sind seit Weihnachten ruhig. Was bei anderen Providern ist, kann ich nichts zu sagen.

mfg X Future Media
 
Jipii schrieb:
Also habt ihr einfach Glück dass es wieder läuft, abwehren konnte keiner bisher was (weniger Kiddieangriff, sondern größere Dimension)?
Zum Vergrößern anklicken....
eine Seite (Namen darf ich nicht nennen) hat es zusammen mit einem RZ in den Griff bekommen:
Der DDoS wird direkt vom RZ mit deren Infrastruktur geblockt, da nen RZ mit dutzenden Gbit angebunden ist, haben die deutlich mehr Möglichkeiten und sollten die kompetent sein, dann bekommen die das auch ohne Probleme in den Griff.
 
Snyke schrieb:
Ich dachte eigentlich dass ich genug beweise gebracht haette dass es kein DDoS ist sondern "nur ein DoS"
Zum Vergrößern anklicken....
Es ist - für das was ich sehen durfte - sowohl als auch. Wenn es immer statisch und/oder immer nur eine DoS/Brute wäre würde dieser Thread hier gar nicht existieren - denn das wäre einfach nur Tagesgeschäft eines Servers. Blackholing - wie hier im Thread genannt - durch den Uplink-Betreiber wird nur im "Notfall" gemacht.

Hier macht sich jemand bzw einige auf jeden Fall viel Mühe.
 
... und es geht weiter - anscheinend haben die Spielkinder wieder Ferien :roll: :evil:

Klamm (merkt man aber eher weniger) und Webmasterlose sind z.Zt. Ziele... mal schauen, wer in den nächsten Tagen auch alles Besuch bekommt.

Grüße!
 
umweltpolizeisb schrieb:
... mal schauen, wer in den nächsten Tagen auch alles Besuch bekommt.
Zum Vergrößern anklicken....

Bei ArthurKings.de musste ich die Zugriffe heute auch schon wieder arg einschränken, da Unmengen an Zugriffen aus Asien dem Server zu schaffen machten.

Ist lästig für die User, da man nicht mehr viele Slots nebeneinander laufen lassen kann, aber der Server bleibt am leben. ;)

Lieben Gruss

wichtel
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

News-Bot
News Putin: Kann Angriff auf Europa schriftlich ausschließen
Antworten
2
Aufrufe
579
Klamsy
K
M
Loseseiten mit Sportwetten
Antworten
3
Aufrufe
2K
dalewilson
dalewilson
Zurück
Oben