CwCity Board >>> Internet >>> Eigener Server & Netzwerk >>> Profi-DDoS-Angriffe abwehren
Profi-DDoS-Angriffe abwehren

Seiten: 1, 2
Ratgeber
Verfasst am: 17.01.2016 um: 14:34 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 10010
SPAM:
0% Spam
Einer meiner User hat eigene (V) Sever. Darüber lässt er ein Game laufen.

Seit einigen Tagen meldet er solche Massen an DDoS , dass Netcup schon reagieren muss um sie abzuwehren. Die DDoS richten sich ganz gezielt auf bestimmte Ports und "wandern weiter" zum nächsten Port, wenn er den Port dicht gemacht wird.

Es handelt sich dabei nicht um einzelne und geringe Floodings , sondern um massives Aufkommen.
Um mal eine Zahl zu nennen:
Sie branden mit bis zu 3,25 GBit/s an und enthalten bis zu 416720 packets per sec.


Fakt ist, dass die Angriffe nur IPs von ganz bestimmten Kabel-TV-Anbieter aus den USA, GB und Polen aufweisen.
Diese ganz gezielte Auswahl erweckt bei mir die Annahme , dass er es wohl mit einem Angreifer-Profi zu tun hat  und nicht mit einem "blöden Script-Kiddie" das sich einfach irgendwo ein Botnet gemietet hat.
Auch dass der jeweils neue geöffnete Port immer schnell entdeckt und angesteuert wird , gehört wohl zu einem, der mehr Aufwand als ein Kiddie betreiben würde.

Der Angriff hält nun seit rund 1 Woch an. Der User hat zwar jetzt Unterstützung bekommen , di ihm Redundenzen zur Verfügung stellen können und wollen ...
Hat der Angreifer aber wirklich die Absicht ihm dauerhaft zu schaden, wird er später auch die redundanten Server parallel angreifen. Dann sind weitere Betreiber direkt betroffen.

Ich hoffe , ich habe die Problematik einigermaßen klarstellen können.

Welche Möglichkeiten hat dieser User, um die Angreifer zu packen , stillzulegen oder sich ihrer möglichst dauerhaft zu entledigen ?

Rechtliche Möglichkeiten können wir glatt vergessen.
Anzeigen sind sinnlos bei Angreifern im Ausland. Man müsste sie in ihrem eigenem Land anzeigen und dort die Behörden und Gerichte einschalten. Zudem wird es im Nachhinein auf eine Zivilklage hinauslaufen.
Weiterhin ist einer der Kabelnetzbetreiber schon dafür bekannt, dass er es mit der Netzneutralität nicht so genau nimmt und wurde deshalb auch schon im eigenem Land verurteilt.

Tipps und Hinweise zum Hacken (oder so) müssen wir leider auch vergessen.
Schon der Hinweis darauf stellt eine Aufforderung zu einer Straftat dar. Die braucht der Angreifer nur zu entdecken und hat was in der Hand um seinerseits gleich mit dem "dicken Hammer zu kommen".
Gerechtigkeit hat eben nichts mit richtig zu tun. Wer etwas beweisen kann, ist im Recht  ... egal was er selbst (unbewiesenerweise) selbst an Straftaten begeht , die ausschlaggebend für das eigene Handeln waren.

Es geht also vorangig um Tricks, Kniffe und Psychologie, wie man einen ISP dazu bringt, die Datenpakete nicht weiter durchzuschleusen und dass er "irgendwei dazu bewegt wird" , seine User einmal daraufhin zu kontrollieren, ob sie einer "Angreiferrotte" angehören.

Ich tippe auf ein Bot-Net bei dem die Useer selbst nichts davon wissen , dass ihr PC zum Ghost geworden ist und Angriffe vollführt.
Ich schließe nicht aus, dass die IPs reine Fakes sind.
Der User kann gerne aus Zugriffe aus den betroffenen Netzwerkeb verzichten = Die IPs werden jetzt schon gefiltert... jedoch kommen immer noch die DDoS an


 
Ratgeber---Forum.de ---- Partnerseiten ------ Halle der Ehre ----- zum Forum ---- Ratgeber---Forum.Net ----- Das Ende des Internets
----> Interessante andere Seiten --> Toromino.de 


 



consider
Verfasst am: 17.01.2016 um: 20:36 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 7217
SPAM:
0% Spam
Wenn es wirklich jemand darauf anlegt, kannst du letztlich leider nicht viel machen. Du bekommst den DDoS nur in den Griff, wenn deine Serverfarm den erzeugten Traffic bewältigen kann.

Zwar gibt es ein paar Mittel, die sich nach der Art des Angriffs richten, die das Aufkommen für den Angriff deutlich erhöhen, manche sogar abwehren, es ist dann aber auch wieder nur eine Frage der Ressourcen.

Was genau für ein Angriff wird denn gefahren? Vielleicht kann ich ja zu ersterem etwas beitragen.

Wenn alles nichts hilft, bleibt nur Aussitzen, in dem Bewusstsein, dass so ein Angriff einiges an Ressourcen kostet und damit sicher nicht billig ist.



Letzte Änderung am: 17.01.2016 um: 20:37 Uhr durch: consider
 

Ratgeber
Verfasst am: 17.01.2016 um: 21:03 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 10010
SPAM:
0% Spam
Angriffe laufen über UDP (wenn dir das als Auskunft reicht/hilft ? )


 
Ratgeber---Forum.de ---- Partnerseiten ------ Halle der Ehre ----- zum Forum ---- Ratgeber---Forum.Net ----- Das Ende des Internets
----> Interessante andere Seiten --> Toromino.de 


 

chrwhm
Verfasst am: 17.01.2016 um: 22:13 Uhr
 
Globaler Moderator
0
Beiträge: 6088
SPAM:
0% Spam
hey,

in solchen Fällen kann man zwei Sachen machen: Entweder man wechselt zu einem Anbieter, der ausreichend Erfahrung mit dDoS-Attacken hat und entsprechende Ressourcen "standby" bereit hält; oder man sitzt es aus.

Anbieter, die einmal mit massiven Angriffen zu tun hatten haben die entsprechende Erfahrung und können und werden schnell reagieren; auch um den Schaden im eigenen Netz gering zu halten. Wenn ein Anbieter mit solchen Angriffen noch nicht konfrontiert war, wird er uU lange rudern müssen.

lg



www.laptop-kaffee.de

"Normalised data is for sissies."
(Cal Henderson, chief software architect of flickr)

 

consider
Verfasst am: 17.01.2016 um: 22:31 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 7217
SPAM:
0% Spam
Es gibt halt verschiendene Scenarien. Wenn wirklich durch Traffic das Netz an einem Flaschenhals platt gemacht wird hilft nicht viel. Es gibt aber auch Angriffe, die sich gezielt gegen den Server, einen Dienst oder einfach den TCP/IP Stack richten.

So wird zB bei einer SYN Flood Attacke der Drei-Wege-Handschake des TCP Protokolles ausgenutzt. Hier kann man die erforderlichen Ressorcen für den Angreifer recht leicht erhöhen, indem man zu viele SYN Packete vom selben Client von der Firewall verwerfen lässt, ehe sie den Server belasten und evtl die Wartezeit nach einem SYN/ACK des Servers verkürzt um die maximale Anzahl der halboffenen Verbindungen zu reduzieren.
Aber auch hier braucht der Angreifer dann "nur" wieder noch mehr Ressourcen aufbringen und kriegt dich uU doch wieder platt. Und das ist auch nur ein Beispiel von vielen verscheidenen Möglichkeiten. Man mus halt erst mal wissen, was genau da vor sich geht.

Am Ende kannst du dir gewiss sein, dass sowas den Angreifer normalerweise richtig Ressourcen kostet und er das normnalerweise nicht ewig durchhält.



Letzte Änderung am: 17.01.2016 um: 22:37 Uhr durch: consider
 

Ratgeber
Verfasst am: 18.01.2016 um: 06:35 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 10010
SPAM:
0% Spam
Vielen Dank euch beiden für eure Antworten

Hier helfen also nur die "üblichen Lösungen":
- mehr Ressourcen
- Aussitzen der Angriffe

Danke , dass ihr euch die Mühe gemacht habt , es ausführlich zu erläutern.


 
Ratgeber---Forum.de ---- Partnerseiten ------ Halle der Ehre ----- zum Forum ---- Ratgeber---Forum.Net ----- Das Ende des Internets
----> Interessante andere Seiten --> Toromino.de 


 

bw5rws
Verfasst am: 21.01.2016 um: 15:09 Uhr
 
Cw Guru
King
Beiträge: 945
SPAM:
0% Spam
Gehen die Angriffe auf eine IP Adresse oder auf eine Domain.
Falls sie auf eine Domain gehen,koenntest du diese vorruebergehend auf 127.0.0.1 rerouten.
In dieser Zeit ist der Service halt nicht verfuegbar.
Bei den vorliegenden Massen an Aufrufen macht das aber auch nicht mehr wirklich was aus.
Wenn die Aufrufe auf 127.0.0.1 reroutet werden,bekommen die Angreifer ihren Angriff zurueck und legen ihre eigenen Server lahm.
Die werden sich dann drei mal ueberlegen,ob sie sowas nochmal machen.
Ein weiterer Tipp von mir waere die Verwendung von CloudFlare.
Jaja,ich weiss,amerikanischer Service,Datenschutz bla bla...
CloudFlare hat aber weitaus staerkere Server,die durchaus in der Lage sind,geblacklistete IP Adressen abzuwehren.
Im Normalfall gibt es selbst bei massiven Angriffen keine Auswirkungen auf die Ladegeschwindigkeit bei den normalen Nutzern.

 

Ratgeber
Verfasst am: 21.01.2016 um: 21:16 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 10010
SPAM:
0% Spam
Zu deinen Fragen
- Es handelt sich nicht um einzelne Server, sondern die Angriffe kommen aus bestimmten kompletten Kabel-TV-Netzwerken. Hier sind also eher Bot-Nets im Einsatz.

- Der Fall-Back auf den eigenen Rechner ist zwar keine schlechte Idee .. aaaber ...
irgendwann soll die Seite ja wieder erreichbar sein und gnau in dem Moment hast du die Zugriffe doch wieder da.

- Die Angriffe richten sich speziell gegen die IP des Servers. (Umleitung zurück ist also sowieso nicht drin)

- Der User hat durch seinen Anbieter bereits ein Filtersystem, auf das immer wieder umgeleitet wird und das Angriffe abwehrt. Er ist also noch nicht "in Not", rechnet aber damit, dass die Angriffe ventuell ein Lngzeitzustand werden köntnen und ihm dann irgendwann die nötigen Resourcen ausgehen werden.

Bislang ist der Störfaktor noch relativ gering . Da sich das aber jederzeit alles ändern kann, sucht er vorsorglich bereits jetzt nach weiteren Lösungen


 
Ratgeber---Forum.de ---- Partnerseiten ------ Halle der Ehre ----- zum Forum ---- Ratgeber---Forum.Net ----- Das Ende des Internets
----> Interessante andere Seiten --> Toromino.de 


 

a-kuller
Verfasst am: 21.01.2016 um: 23:56 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 4111
SPAM:
0% Spam
Ist das der Kunde mit dem Sauerbraten Server? ;)

Selbst kann ich dem Thema nicht viel beitragen wie Kaffee trinken :)

Mit freundlichen Grüßen

A. Kuller

bzw. UNO-Verbund

Keine Schuld ist dringender, als die, Dank zu sagen.
Cicero

 

Ratgeber
Verfasst am: 22.01.2016 um: 06:37 Uhr
 
Dr. CwCity.de
Community God
Beiträge: 10010
SPAM:
0% Spam
Kunde ? Nö eins meiner Mitglieder. Ich verlange ja keinen Eintritt oder sonstige Zahlungen , habe also keine Kunden.. aber du bringst mich da auf eine Idee *scherz*

Ich möchte nicht sagen was auf dem Server genau läuft.


 
Ratgeber---Forum.de ---- Partnerseiten ------ Halle der Ehre ----- zum Forum ---- Ratgeber---Forum.Net ----- Das Ende des Internets
----> Interessante andere Seiten --> Toromino.de 


 

 
Seiten: 1, 2

Folgende User sind hier gerade aktiv:
-

ANZEIGE