DDoS über Tor

  • Hallo,


    Heute wurde mein Tor Exit Node dazu missbraucht, um Angriffe auf andere Server zu starten (DDoS). Ich bin mir relativ sicher, dass mein Server nicht kompromittiert wurde, habe ihn jetzt nach der Sperre der Internetverbindung trotzdem heruntergefahren und werde nachher prüfen, ob Malware im System ist. Wenn nein, wie verhindere ich dann die DDoS-Angriffe von meinem Server aus? Hier wird ja echt alles versucht, um einen Tor Exit Node am Boden zu sehen. Meine Abuseliste ist mittlerweile richtig voll mit Benachrichtigungen über eingehende Angriffe. Die Bandbreite betrug um die 120 Mbit/s, allerdings waren es sehr viele Pakete. Wie kämpfe ich gegen ausgehende Angriffe an? Ich traue mich ferner nicht, netcup zuzusichern, dass kein erneuter Verstoß gegen die AGBs stattfindet, wenn ich die Ursache nicht kenne.


    Grüße,

    Florian

  • Es gehört sich für einen Exit-Node Betreiber eigentlich nicht, den darüber laufenden Traffic in irgendeiner Form zu filtern. Das widerspricht den Grundsätzen des Tor-Netzwerkes. Ich habe für meine damaligen Exit-Nodes das unten stehende Template für Antworten auf Abuse-Meldungen verwendet, zumindest bei He**ner viele Male ohne Probleme.


    Zusätzlich fand ich es angemessen, den ausgehenden Traffic auf die im Web verwendeten Ports zu beschränken, also HTTP, HTTPS und DNS. Dadurch lassen sich viele Dienste erreichen, du sperrst allerdings unkonventionelle Services wie z.B. Torrents aus.

  • Ich will eigentlich auch nicht filtern, aber wie bekomme ich denn sonst ausgehende Angriffe unterbunden? Mein Server wird dann vom Internet getrennt, wenn wieder jemand einen DoS über meinen Server startet.

    Ich hab das bisher so verstanden, dass das nunmal das Risiko ist, wenn man eine Tor-Node betreibt..

    Meine (Netcup) Produkte: VPS 1000 G7 SE, S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Ich hab das bisher so verstanden, dass das nunmal das Risiko ist, wenn man eine Tor-Node betreibt..

    Ich nehme als Risiko ja gerne in Kauf, dass mein Server aufgrund eines eingehenden Angriffs mal für 2 min weg ist, allerdings muss es doch für ausgehende Angriffe eine Lösung geben. Ist man dem einfach so ausgesetzt? Ich werde den Server unabhängig von einem Malwarefund neuinstallieren, um keine unnötigen Risiken einzugehen, wenn aus irgendwelchen Gründen das Ding doch gehackt worden ist (was ich aber wirklich nicht glaube).

  • Es gibt verschiedene Abuse-Kulturen bei den Hosting-Anbietern. Anscheinend geht netcup hier relativ strikt vor, was die vollständige Blockierung der Maschine angeht. Das hat den Vorteil, dass so die gesamte, restliche Infrastruktur geschützt wird. Solltest du auf dem Node noch weitere Dienste von dir hosten, so ist das nicht empfehlenswert. Wie weiter oben schon gesagt, kann es immer vorkommen, dass ein Exit-Node für mehrere Stunden gesperrt wird.


    Um noch mal einen anderen Hoster aufzuführen: Dort wird eine Abuse-Meldung versendet, der Node allerdings noch nicht gesperrt. Das passiert erst, nachdem auch nach mehreren Stunden noch nicht auf die Meldung geantwortet wurde. Ist für uns als Serverbetreiber natürlich eine komfortablere Situation.


    Fazit: Sperrung der Maschine ist aus Sicht des Anbieters vollkommen korrekt, für dich jedoch nervig. Entweder du musst dich damit abfinden, oder für Exit-Nodes einen anderen Hoster auswählen.

  • Es gehört sich für einen Exit-Node Betreiber eigentlich nicht, den darüber laufenden Traffic in irgendeiner Form zu filtern. Das widerspricht den Grundsätzen des Tor-Netzwerkes. Ich habe für meine damaligen Exit-Nodes das unten stehende Template für Antworten auf Abuse-Meldungen verwendet, zumindest bei He**ner viele Male ohne Probleme.


    Zusätzlich fand ich es angemessen, den ausgehenden Traffic auf die im Web verwendeten Ports zu beschränken, also HTTP, HTTPS und DNS. Dadurch lassen sich viele Dienste erreichen, du sperrst allerdings unkonventionelle Services wie z.B. Torrents aus.

    Sehr schöne Vorlage. Dazu hätte ich mal eine Frage.

    Kann es den gefährlich sein einen einen Exit-Node zu betreiben? Habe irgendwo mal von [Netcup] Felix gelesen, das er schon gesehen hat wie dadurch manche die Existenz verloren haben...

    Theoretisch für mich als Privatperson, der auf dem Server nichts anderes am laufen hat außer einen Exit-Node, dürfte doch grundsätzlich nichts passieren?

    Oder wäre es hilfreich, zumindest in irgendeiner Form abgesichert zu sein, z.B. durch eine Rechtschutzversicherung?

  • Quote

    Kann es den gefährlich sein einen einen Exit-Node zu betreiben?

    Das hängt davon ab, welche "Gefahren" Dir wie bedrohlich erscheinen.


    Angenommen es werden schwere Straftaten (z.B. Terrorismus, Bombendrohungen etc...) begangen, die auf eine IP-Adresse welche Dir zugeordnet wird zurückgeführt werden können. Dann bist Du erst einmal frontal in der "Schuss-Linie", musst dich de-fakto "freibeweisen", dass die Maschine nicht von Dir sondern von beliebig vielen dir gar nicht bekannten Personen als Exit-Node verwendet wurde. Wenn die Gefahr noch aufrecht ist (z.B. Bombendrohung) dann haben die Ermittlungsbehörden auch entsprechend starken Druck - da prüft man nicht erst ob ein Indiz stimmig ist, da wird jedem Verdacht nachgegangen. Der Provider rückt Deinen Namen raus und eine halbe Stunde später läutet es bei Dir an der Türe (sofern überhaupt geläutet und nicht gleich geöffnet wird).


    Ich denke es könnte den meisten Menschen erstmal sehr unwohl dabei sein, wenn Polizisten mit schwerer Bewaffnung die Wohnung stürmen, durchsuchen, eventuell auch alle Datenträger und IT-Geräte in der Wohnung beschlagnahmen... So eine Hausdurchsuchung verursacht eventuell Schäden, jedenfalls aber große Unannehmlichkeiten. Du wirst dir vermutlich - auch wenn Du unschuldig bist - rechtliche Unterstützung organisieren, das kostet Geld. Im Best-Case klärt sich die Sache in wenigen Tagen auf und Du bekommst Dein Zeug unversehrt wieder. Wenn es schlecht läuft tut man Deine Behauptungen erst mal als Schutzbehauptungen ab, wird dich stundenlang befragen und Du bekommst Dein Zeug erst Monate später zurück.

  • Hay,

    Das hängt davon ab, welche "Gefahren" Dir wie bedrohlich erscheinen.


    Nun, das ist der strafrechtliche Teil. Da kommt man gut Glück mit einem leichten Waterboarding davon und wenn man dabei stirbt, war man unschuldig (siehe die Wasserprobe bei Hexen). Und wer jetzt einen halben Herzinfarkt bekommen hat: Fünkchen Ironie dabei.


    Theoretisch für mich als Privatperson, der auf dem Server nichts anderes am laufen hat außer einen Exit-Node, dürfte doch grundsätzlich nichts passieren?

    Oder wäre es hilfreich, zumindest in irgendeiner Form abgesichert zu sein, z.B. durch eine Rechtschutzversicherung?


    Es gibt dann allerdings noch den zivilrechtlichen Teil. Angenommen, es erwischt mit dem DDoS einen großen Onlinehändler, der für eine Stunde keine Geschäfte mehr machen konnte. Aus irgendeinem Zufall wurde nur diese eine IP-Adresse mitgeschnitten (wenn man eine Quadrillionen Pakete bekommt, sucht man sich halt nur ein paar heraus). Über den Umweg Strafbehörden und Staatsanwaltschaft bekommt die juristische Abteilung dieses Onlinehändlers auf Antrag Deine Kontaktdaten und nimmt Dich auf Schadensersatz ins Visir.


    Zum Schadensersatz gehören die entfallene Geschäfte der Stunde, ein angenommener Imageschaden mit wirtschaftlichen Folgen, Schaden durch Bearbeiten des Ausfalls und Gegenmaßnahmen sowie der Schaden, der durch die eigenen Ermittlungen und die Anwaltskosten entstehen. Optimistisch 6-stelliger Euro-Betrag.


    Es spielt jetzt interessanterweise keine Rolle, ob Du grundsätzlich STRAFRECHTLICH freigesprochen wirst. Denn Ausgangspunkt ist immer noch Dein Server und egal, von wem die Pakete ursprünglich kommen, Du hängst erstmal als direkter Verusacher drin. Zivilrechtlich funktioniert es nämlich so, dass Du dann Deinerseits Deinen Schaden (zB. das Begleichen des Schadensersatzes des Onlinehändlers) gegenüber dem echten Verusacher geltend machen kannst, so dass Du (rein theoretisch) komplett neutral dastehst. So, jetzt ist ein lautes SCH........SSSEEEEEEEE angesagt, denn wen willst Du Deinerseits in Regress nehmen? Und traust Du Dir zu, dass ein Zivilrichter sich wirklich über das Thema Tor-Exitnode informiert? Sobald er bei eigener Recherche zum ersten Mal über den Begriff Darknet stolpert, hilft Dir möglicherweise kein Sachverständiger der Welt mehr weiter.


    Rechtsschutzversicherung übernimmt nur Deine Verteidigung, nicht die Begleichung des Schadens, letzterer wäre ein Fall für die Haftpflicht. Aber beide freuen sich darüber, für Dich trotz pünktlicher Gebührenzahlung nicht tätig werden zu müssen, denn grobe Fahrlässigkeit ist nicht versichert. Die Tatsache, dass sich ein Exit-Node nicht so einfach auf Deinem Rechner installiert, sondern Du das mit vollem Bewußtsein und dem Wissen darum getan hast, ist weit jenseits einfacher Fahrlässigkeit. Insofern bringt Dir eine Absicherung möglicherweise gar nichts.


    CU, Peter

  • Ich verweise immer wieder gerne auf den Beitrag 😂


    Andererseits stelle ich mir die Frage, gerade da einige hier sich intensiver mit dem Thema befassen, wie man sich denn dagegen absichert? Mir würde jetzt der Weg über das ISP-Seins einer Person/eines Vereins in den Sinn kommen...?