[naxkay]

Solche Attacken gehören auf sovielen Szene-Boards bereits zum "Alltag", also mich störts schon gar nicht mehr *g

[onkelchen]

Gut dass du das erwähnst, ich hätte das schon fast vergessen. Trotzdem waren die Auswirkungen fürs Board, von den Latenzzeiten mal abgesehen relativ glimpflich.

[cemil]

Das die Server sich die Leitung teilen, ist im aktuellen Fall irrelevant. Die DDOS selbst hatte keine 100Mbit gehabt. Die Art der DDOS ist viel eher entscheidend: Wenn du so viele Pakets pro Sekunde abkriegst die alle auf Port 80 gehen, geht Dein Webserver irgendwann zwangslaeufig in die Knie. Wir haben aktuell uebrigens immer noch DDOS, falls es interessiert.

Wenn das Board zur Zeit langsam ist, hat das viel eher was damit zu tun, dass die Hardware aktuell absolut überlastet ist. Onkelchen macht hier klasse Arbeit, und holt das meiste raus was geht - aber ab einen gewissen Punkt ist schluss mit Optimierung. Demnaechst wird auch dort wieder Hardware nachgeschoben :-)

[Genmutant]

Bin heute früh rein gekommen, wollte zum Gulli-Lexikon.
Nachdem das nicht ging, hab ich erst mal meinen PC neugestartet und mich neu eingewählt... Dann den IE Cache geleert... aber irgendwie hats nix gebracht

[naxkay]

Stimmt, ist momentan etwas langsam. Aber das beruhigt sich auch wieder

[Smith]

ich möchte jetzt hier nochmal die frage in den raum werfen:
wie erkenne ich mit hoher sicherheit, dass ich zu so einem solchen netzwerk gehöre?
reichen die normalen sicherheitsprogramme (virenscanner, firewall im router) aus oder muss ich zusätzlich alle paar tage den entstehenden traffic über ein programm (zb dumeter) untersuchen?
wäre gut wenn mal jemand mit mehr ahnung das beschreiben könnte.

[onkelchen]

Wie Cemil schon angedeutet hat, geht es hier nicht um die effektive Bandbreite. Diese wird kaum signifikant ansteigen. Hier macht es die Masse der Pakete, nicht die Größe.
Gestern berichtete mir Cemil, dass die Pakete alle 40 Byte groß waren. Angenommen du bist in der Lage 10 Pakete à 40 Byte pro Sekunde zu erzeugen, dann macht das pro Tag einen effektiven Traffic von ca. 33 MB up. Der wird dir nicht explizit auffallen - effektiv sind das allerdings eine ganze Menge Pakete mit denen der Webserver bombardiert wird. Je nach Botnetgröße multiplizierst du das noch mit einigen Hundert bis Tausend Rechnern.

Wenn ich bei meinen willkürlichen 10 Paketen pro Rechner pro Sekunde bleibe hätte das Botnet ein Ausmaß von 3000 Rechnern gehabt. Effektiv schafft aber wohl jeder, per Breitband angebundene PC mehr.

Den letzte DDoS-Angriff hat der gesperrte Ex-User The Woman zu verantworten.

Ein echter Spinner und seltsam das eine halbe Stunde, nachdem Xler den Störenfried sperrte das Gullis-Board nicht mehr da war

[knockon]

so isses.. "früher" waren es lediglich die Aussenspiegel oder Antennen der Autos, heute sind die Spinner sogar zu faul aus dem Haus zu gehen, und "befriedigen" sich im Netz. Dazu braucht man auch nur ein sehr geringes Niveau an Mut und viel Masse an Dummheit, den letzlich schaden diese Spinner auch sich selbst, wer andere angreift wird selbst mal angegriffen. Und den Molly rauszuhängen, dass man sowas ja kann, .. naja die Tools gibt es ja haufenweise zum downloaden im Netz, also selbst damit kann man keine Lorbeeren mehr ernten.

Dennoch:

Ein frohes Fest und einen guten Rutsch ins neue Jahr !

[naxkay]

Stimmt, es ist ein leichtes für jedes dieser Script-Kiddis so ne Attacke zu starten. Aber solche Menschen gibt es nunmal, im iNET und auch im Real-Life.

Was solls. Wir lassen uns den Spass nicht verderben

mfg

[Greg5000]

Scripts? Und wie kommen diese Scripts an die ganzen Rechner? Ist ja icht so als könnte ich von hier zuhause mit 'nem Script einen (oder mehrere) von gullis Server in die Knie zwingen. Ein wenig einfallsreicher muss man wohl schon sein.

Zitat:

Zitat von Slaky 

Den letzte DDoS-Angriff hat der gesperrte Ex-User The Woman zu verantworten.

Ein echter Spinner und seltsam das eine halbe Stunde, nachdem Xler den Störenfried sperrte das Gullis-Board nicht mehr da war

wohre weißt du das?

[cemil]

Zitat:

Zitat von -=BraiN=- 

wohre weißt du das?

DAS würde mich allerdings auch interessieren. Einfach nur Beschuldigungen in den Raum werfen, ohne die passenden Beweise zu liefern, bringt niemanden von uns weiter. Wen es interessiert: ddos auf www.gulli.com läuft immer noch. das sind nun mittlerweile bald 12Stunden Dauerfeuer auf die Server...

Grüße,

Cemil

[Greg5000]

Das ist halt Slaky; ist normal, dass der nur Kacke labert

Zitat:

Zitat von cemil 

DAS würde mich allerdings auch interessieren. Einfach nur Beschuldigungen in den Raum werfen, ohne die passenden Beweise zu liefern, bringt niemanden von uns weiter. Wen es interessiert: ddos auf www.gulli.com läuft immer noch. das sind nun mittlerweile bald 12Stunden Dauerfeuer auf die Server...

Grüße,

Cemil

wie kann denn eine solche attacke überhaupt aufhören? es gibt doch so gesehn keinen festen punkt, den man einfach abstellen kann oder?

[Obstel]

Die PCs aus dem Netz von dem der Angriff herkommt müssten ausgeschaltet werden.

Stellt euch das so vor:


Man steht in einer Menge von Leuten und nun gewinnt jemand im Lotto, nun stürzen sich alle auf ihn .

Man müsste jeden einzelnen KO hauen, damit das aufhört oder jemand beendet den Angriff.

Aber je länger ein Angriff läuft desto höher ist die wahrscheinlichkeit aufzufliegen.

Zitat:

Zitat von Obstel 

Die PCs aus dem Netz von dem der Angriff herkommt müssten ausgeschaltet werden.

Stellt euch das so vor:


Man steht in einer Menge von Leuten und nun gewinnt jemand im Lotto, nun stürzen sich alle auf ihn .

Man müsste jeden einzelnen KO hauen, damit das aufhört oder jemand beendet den Angriff.

Aber je länger ein Angriff läuft desto höher ist die wahrscheinlichkeit aufzufliegen.

aber wer soll den auffliegen? Bei deinem Lotto-Beispiel müsste man ja den Menschen finden der geschrien hat "Auf ihn!". Nur wenn man ihn nicht hört, wie will man ihn dann finden?
Selbst wenn man den Verursacher gefunden hat.. die anderen prügeln immer noch weiter!

und aus der Aussage:

Zitat:

Die PCs aus dem Netz von dem der Angriff herkommt müssten ausgeschaltet werden.

schließe ich, das so was gar nicht geblockt werden kann, und das immer so weitergehen wird!

Bai BraiN

Eigentlich ist es doch gar nicht möglich den Verursacher rauszufinden, weil der gar nicht mitangreift und selbst, wenn weiß man ja nicht wer es ist.

Die Leute, die angreifen können ja meist nix dafür.

[LongJohn]

Also kann man scheinbar nur hoffen, daß dem Botnetzbetreiber das zu langweilig wird oder sich nen anderen feind sucht was ?

Aber nochmal auf meine vorige Frage, die ja jetzt auch schon von mehreren anderen gestellt wurde, zurückzukehren, wie kriegt man heraus ob man teil eines Botnetzes ist ?
Kann das wirklich keiner hier beantworten ? Oder sind alle, die dieses Wissen haben zu sehr damit beschäftigt ihre eigenen Botnetze aufzubauen und wollen keine "Teilnehmer" verlieren ??

Ach ja, und schöne Weihnachten an alle Kommerzkinder und Christen

[Obstel]

na das stimmt wohl, aber man kann doch die netze herausfinden, woher der angriff kommt und dann....

kA, irgendwelche möglichkeiten muss es da geben.

[onkelchen]

Eigentlich kann man das bei einem gut(!) geplaten Angriff keineswegs. Könnte man die betroffenen Rechner identifizieren, könnte man die ja auf vielfältige Methoden blockieren.

Wieso das so ist, ist nicht ganz einfach zu erklären, weil man dazu durchaus detaillierte Kenntnisse über das TCP und vor allem das IP Protokoll benötigt. Sehr vereinfacht läuft das im Prinzip so ab, dass du dich hier auf dem Server meldest und sagst "Hallo ich bin die IP 12345 und möchte mal schauen, was es auf Port 80 so interessantes gibt, melde dich auf Port 6789 bei mir". Der Server antwortet daraufhin bei dir auf Port 6789 "Hallo 12345, auf Port 80 habe ich was hübsches für dich, bist du noch interessiert?". Daraufhin antwortest du erneut "Ja, logisch, lass mal den Pr0n rüberwachsen". Das ganze nennt sich TCP Three-Way-Handshake.
Bei einem DDoS-Angriff werden sich die befallenen Rechner allerdings nicht mit ihrer echten IP-Adresse melden, der Server hält Ressourcen frei und schickt Pakete ins Nirwana. Niemand meldet sich und nach einem Timeout schließt der Server den Socket. Wenn das sehr oft und von sehr vielen Rechnern zugleich passiert, erreicht jeder Server irgendann seine Belastungsgrenzen - er fällt aus, der DDos ist erfolgreich.
Da sich diese Anfragen jedoch nicht von regulären unterscheiden, kann man die natürlich auch nicht filtern - Pech gehabt.

[Obstel]

man kann aber jedoch dem Apache sagen, das er bestimmte IP Adressen gar nicht mehr beantwortet.

Vorrausgesetzt man weis ungefähr wo der DDos herkommt, also welcher Provider und die IP Spannen.

So könnte man doch dauernd wiederkehrende Netze sperren, nicht auf dauer versteht sich.

[LongJohn]

Zitat:

Zitat von Obstel 

man kann aber jedoch dem Apache sagen, das er bestimmte IP Adressen gar nicht mehr beantwortet.

Vorrausgesetzt man weis ungefähr wo der DDos herkommt, also welcher Provider und die IP Spannen.

So könnte man doch dauernd wiederkehrende Netze sperren, nicht auf dauer versteht sich.

Aber wenn die Quell-IP's gespooft sind, können diese z.B. Adressen mehrerer unterschiedlicher Netze sein, und ein Filtern wäre dann schlecht möglich. Dann müste man erst den algorithm herausbekommen, wie die gespooften Adressen zustandekommen. Wenn man das dann schafft wird es auch nicht gerade leicht sein diese zu blocken. Oder seh ich da was grundlegend falsch ?

[onkelchen]

Zitat:

Zitat von Obstel 

Vorrausgesetzt man weis ungefähr wo der DDos herkommt, also welcher Provider und die IP Spannen.

Wenn ich mir schon die Mühe mache, dir TCP/IP zu erklären, lies das auch.

[nadine]

lesen und verstehen ....

http://www.dfn-cert.de/infoserv/dib/dib-2000-01.html



durch das arrogante verhalten einiger moderatoren und administratoren seit ihr selber schuld !!!