[Crack David]

Jetzt würde mich Intresieren wie stark gefährdet ist mein Apache Server vor (D)DOS Atacken?

Läßt sich eine Atacke im LAN Auf das netz übertragen und womit wird wie getestet

[Noop]

Zitat:

Zitat von Crack David 

Jetzt würde mich Intresieren wie stark gefährdet ist mein Apache Server vor (D)DOS Atacken?

Gegen DoS kannst du was machen, indem du Patcht usw., gegen DDoS kann man gar nichts machen, wenn genug Angreifer da sind, die einen überschwemmen

[Souplex]

macht man dann eigentlich eine Anzeige bei der Polizei?
wenn du dennen sagst du hattest einen DDoS-Angriff, stecken die dich doch in die Gummizelle? Die haben doch keine Ahnung von sowas, oder?

[Greg5000]

Also ganz so inkompetent sind die auch nicht. Klar, wenn Du das dem 08/15-Streifenpolizisten erzählst versteht der das vermutlich nicht. Aber die haben auch Leute die sich damit auskennen.

[UpInSmoke]

Also momentan nimmt es ja immer größere Ausmaße. Diverse große Seiten neben Gulli wurden ebenso mit DDoS-Angriffen teilweise "lahm gelegt".
Ich will mich nur wiederholen, nur den meisten hier zustimmen, dass ich so etwas absolut schwachsinnig finde und es auf stärkste verurteile. Absolute Kinder-Kacke.

[xxxstereoxxx]

Ich hab mal gehört das sich Syn-Flood Attacken über sogenannte Syn-Cookies vermeiden lassen

[onkelchen]

Mit SYN-Flood bringst du heute keinen Server mehr zum Absturz, Linux hat schon lange einen Schnutz dagegen, ja selbst Windows hat den.

Heute gehts übrigens wieder richtig rund.

[vmk]

Zitat:

Zitat von onkelchen 

Heute gehts übrigens wieder richtig rund.

mhm, magst du mal ein paar Infos reichen was ihr gerade so auf den Switches verkraften müßt?

[onkelchen]

Nur soviel, IPX hat schon angerufen, wir sollen nicht mehr REJECTen, sondern DROPen.

[linux_blAcky]

hi,
gehts da jetzt eigentlich rein um port 80 - aufrufe?

auf meiner hitliste ist heute mal statt port 445 als #1 auf einigen hiports jede menge los...

[l0calh0st]

Zitat:

Zitat von onkelchen 

Nur soviel, IPX hat schon angerufen, wir sollen nicht mehr REJECTen, sondern DROPen.

Das heißt...?


Edit: Englisches Wikipedia sagt mir in etwa sowas:
Rejecten heißt ihr würdet noch auf die normalen Requests antwortetn...
Dropen heißt es wird alles abgelehnt...

Richtig?

[r4z0r.b4ck]

Ich will mal Onkelchen entlasten:

Die Daten werden in einem Netz von dem sendenden Host in Datenpakete verpackt und versendet. Jedes Paket, welches den Paketfilter passieren will, wird untersucht. Anhand der in jedem Paket vorhanden Daten, wie Absender- und Empfänger-Adresse, entscheidet der Paketfilter aufgrund von Filterregeln was mit diesem Paket geschieht. Ein unzulässiges Paket, welches den Filter nicht passieren darf, kann entweder ignoriert (im Fachjargon DENY oder DROP genannt), an den Absender zurückgeschickt werden, mit der Bemerkung, dass der Zugriff unzulässig war (REJECT) oder weitergeleitet werden (FORWARD oder PERMIT).

[Drosan]

www.gulli.com, www.blabla.ath.cx, www.blabla.bla

die 3 setien werden heute ddossed

[onkelchen]

+ www.dialerschutz.de
+ www.computerbetrug.de
+ http://www.antispam.de

ansonsten noch meinen Dank an r4z0r.b4ck für die richtige Erklärung.

[Yoshi_S]

Zitat:

Zitat von Drosan 

www.gulli.com, www.blabla.ath.cx, www.blabla.bla

die 3 setien werden heute ddossed

files.to hällt sich noch

Also ich erreiche xREL über die de.vu Domain ganz normal.
MfG
Yoshi_S

[SeriousK]

soger mein www.imgup.de ist erstmal closed worden ...... war schon der 2. Ankriff innerhalb von einer Woche.....so wie mir der Kolega des servers das mittteilte!

[LordMat]

wuerde da roundrobin was helfen?

so fern es genuegend server mit gespiegelten platten und ips gibt?

obwohl das waere ja eher fataler da dann gleich mehrer server angeriffen werden koennten

[]![nferno]

:t :t :t

[boggyboe]

Zitat:

www.gulli.com, www.xrel.ath.cx, www.blabla.bla

die 3 setien werden heute ddossed

blabla.bla hällt sich noch

Werden alle Seiten vom gleichen Netz angegriffen? Dann isses ja schon ein recht starkes Bot-Netz wenn man es sich erlauben kann mehrere Seiten gleichzeitig lahmzulegen.

Gibt es bei so etwas generell eine Möglichkeit herauszufinden wer für eine solche Attacke verantwortlich ist? Was kam damals raus als heise.de lahmgelegt wurde?

Sry wenn ich hier dumme Fragen stell, aber ich hab halt keine große Ahnung bei solchen Themen und es interessiert mich halt ^^

cya

[Newbert]

Zitat:

Zitat von boggyboe 

Gibt es bei so etwas generell eine Möglichkeit herauszufinden wer für eine solche Attacke verantwortlich ist? Was kam damals raus als heise.de lahmgelegt wurde?

wenn du dir mal die letzten 5 Seiten anguckst, dann wirkst du merken dass die Chance die Übeltäter zu finden auf legalem Wege gegen 0 tendiert

[mcreed]

Also eine Sache ist mir noch unklar, ich habe jetzt den gesamten Thread durchgelesen, obwohl ich eiegtnlich was ganz anderes wollte. Sehr interessant alles, nur:
Die Pakete sind nicht als "böse" zu identifizieren weil sie normale "Hallo, ich will was"-Anfragen darstellen. Also so als würden einfach nur extrem viele Leute gleichzeitig auf www.gulli.com gehen... warum dann "reject" oder gar "drop"?

Gibt es denn überhaupt lösungsansätze?
Hier mal meine Theorie:
Man bekommt also Pakete und weiß nicht woher, der Absender muss nicht stimmen.
Wenn nun eine Anfrage kommt, könnte der Server die angeblichen Absender-IP in eine "neu" Liste packen und dann ganz normal antworten.
-> Kommt nun innerhalb einer Minute nichts mehr zurück verschiebt er die IP in die Liste "verdächtig".
-> Kommt aber eine konkrete Pr0n Anfrage dann kommt die IP für ein paar Stunden in die Liste "vertrauenswürdig".

Nach den beiden Listen steuert der Server sein Verhalten:
Anfragen von angeblichen Absendern die in "vertrauenswürdig" stehen werden bevorzugt behandelt. Danach neue und danach verdächtige.
Antwortet eine IP aus "verdächtig" ein zweites Mal nicht auf die Erwiderung kommt die IP für ein paar Stunden in eine Liste "geblockt", jene Pakete werden gedropt.

Wäre soetwas vorstellbar oder ist das alles Mumpitz?
Der Server muss natürlich immer erstmal in die Pakete reinschauen und irgendwann ist die Leistngsgrenze einfach immer erreicht aber man könnte sie so vielleciht weiter nach oben verschieben, so wird es schwieriger genug Pakete zusammenzukriegen um einen solchen Angriff mit Erfolg durchzuführen...

Mein Senf dazu
Grüße

[vmk]

Die Absender-Adressen sind zufällig -> Du kannst [eigentlich] nichts machen außer die Sachen aussitzen. Das was du machen kannst ist relativ wenig und kostet sehr viel Arbeit und dafür müssen diverse Stellen zusammenarbeiten. Würden die Provider alle vernünftig sein, dann wäre solche Attacken gar nicht möglich.

[onkelchen]

Du bist auf den springenden Punkt selbst gekommen, es ist keine Zeit nur annähernd in ein Paket hineinzuschauen, allein in der Zeit, die du brauchst so ein Paket zu öffnen kommen tausende weitere Anfragen.
Heute hatten wir zeitweise 50.000 Pakete (nicht Requests) pro Sekunde, da bist du schon froh, wenn die Load nicht dreistellig wird.

[]![nferno]

:t :t :t

[gulli]

Zitat:

Zitat von Drosan 

www.gulli.com, www.blabla.ath.cx, www.blabla.bla

die 3 setien werden heute ddossed

blabla.bla hällt sich noch

nur um das klarzustellen. gedDoSt werden derzeit nur
www.gulli.com
www.dialerschutz.de
www.computerbetrug.de
www.antispam.de
und es gibt Hinweise, dass evtl. eine weitere bekannte .de Domain, deren Betreiber auf meine diesbezügliche Anfrage leider nicht reagieren, ebenfalls attackiert wird.

Dass hier ein Vollidiot versucht sein Projekt zu pushen, indem er behauptet, es würde ebenfalls angegriffen werden, spricht am ehesten für die mindere Qualität des Projekts. Wir sprechen hier über ein ernsthaftes Thema und keine Kindergartenspiele.