massive DDos Attacke !!

  • ich wurde einmal mit einer TCP Flood Attacke angegriffen:


    Code
    1. Threshold Packets: 30000 packets/s
    2. Sum Packets: 24317700 packets/300s (81059 packets/s)
    3. Sum Bytes: 1,007.82 MByte/300s (26.88 MBit/s)


    Und einmal mit einer UDP Flood Attacke:

    Code
    1. Threshold Packets: 30000 packets/s
    2. Sum Packets: 300411600 packets/300s (1001372 packets/s)
    3. Sum Bytes: 90.7 GByte/300s (2.42 GBit/s)



    Also dass hier sind keine 5 GBit/s

  • Es hängt davon ab, was der Angriff veranstaltet; sind es wahllos irgendwelche Ports, bleibt einzig nur die Mglkt. die IP vom Netz zu trennen; handelt es sich hingegen gezielt um den Angriff auf einen bestimmten Dienst, kannst Du z.B. bei einem Router das vorher schon z.B. per iptables od. ip6tables blockieren ... und der Rest bleibt ganz normal im Zugriff ...


    hinzu kommt bei einem solchen Angriff, daß die andere Richtung unter umständen sogar mehr Traffic verursachen kann, was meist bei Ausnutzung irgendwelcher Bugs z.B. zum Zwecke des illegalen Mailversands entsteht ...


    daher ein Tipp: bei der Firewall defaultmäßig alles mit DROP zu beantworten; kein REJECT;


    meine iptables sieht so aus


  • Aber was nützt es bei einer DDos wenn die Firewall (iptables) auf dem Server greift? Der Traffic geht dann bereits bis zu dem einzelnen Server durch und belastet die vorgeschaltete Infrastruktur, wodurch wiederum andere Kunden in Mitleidenschaft gezogen werden. Ab einem bestimmten Punkt bleibt dem Provider (in diesem Fall Netcup) nur die Möglichkeit "den Stecker zu ziehen". Über die Firewall kann das eigene System geschützt werden, damit kein Einbruch möglich ist, und kleinere Attacken können abgewehrt werden, aber mehr ist da wohl nicht drin.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Das Thema an sich ist ziemlich spannend, weil durch die Meldung hier im Forum Transparenz in die Sache gebracht werden kann. Auch andere Kunden können so vielleicht einschätzen, welche Angriffe noch gefiltert werden, und welche nicht.


    Allerdings sind die Begrifflichkeiten hier ein wenig schwammig verwendet worden. Eine IP-Adresse wird nicht "gesperrt", sondern wenn dann "nullrouted" (https://en.wikipedia.org/wiki/Null_route). Hast du dazu eine entsprechende Mail des DDoS-Filters bekommen, der dir ein solches Nullrouting angekündigt oder bestätigt hat?


    Edit/Ergänzung: Ich habe hier einen DDoS-Angriff vom August 2015 vorliegen. Dabei wurden 2.5Gbps ohne Probleme von netcup gefiltert. Zeitraum: 3:45 - 09:40 Uhr.

  • Ja und Nein, wenn bei IPtables an Stelle von REJECT ein DROP verwendet wird,

    und die Default-Regel ebenfalls DROP an Stelle von ACCEPT(!) ist,

    dann hat das z.B. die Konsequenz, daß EIN(!) nmap-Angriff nur ein Bruchteil

    des Traffics in der Zeit verursacht, weil er wegen der DROPs eben keine Antwort bekommt

    sondern auf ein Timeout wartet ...


    und "Stecker ziehen" ist nur dann notwendig, wenn es ein DDoS mit wahllosen Portzugriffen ist,

    betrifft es hingegen gezielt z.B. den HTTP-Server,

    dann kann der Provider mittels so einer Regel auf seinem Router bereits den Traffic von seinem Netz ableiten;

    und der Server bleibt z.B. mit SSH im Zugriff ...

  • mazeman23 Ich würde mal den Support fragen; ich habe das Gefühl du wirst hier nicht mehr weiterkommen bzw. nur noch erklärt bekommen wie man ipTables konfiguriert, was dir für deine ursprüngliche Anfrage nicht weiterhilft.

    ---

    und "Stecker ziehen" ist nur dann notwendig, wenn es ein DDoS mit wahllosen Portzugriffen ist

    Kann ich nicht bestätigen bzw. ist für den netcup DDoS-Filter so nicht korrekt.

    Ich habe 2015 einen Angriff gehabt:

    Code
    1. Direction: IN
    2. Treshold Packets: 30000 packets/s
    3. Sum Packets: 92612000 packets/300s (308706 packets/s)
    4. Sum Bytes: 27.85 GByte/300s (760.42 MBit/s)

    der an wahllose Ports ging

    Code
    1. 69.1.24.0:1900 -> 37.120.0.0:15642 UDP 2000 638000
    2. 69.1.24.0:1900 -> 37.120.0.0:15642 UDP 2000 638000
    3. 89.169.195.0:1900 -> 37.120.0.0:481 UDP 1000 339000
    4. 24.226.137.0:1900 -> 37.120.0.0:50183 UDP 1000 335000
    5. 92.246.179.0:1900 -> 37.120.0.0:4251 UDP 1000 345000
    6. 96.51.231.0:1900 -> 37.120.0.0:50646 UDP 1000 345000
    7. 24.242.53.0:1900 -> 37.120.0.0:45643 UDP 1000 335000
    8. 174.114.194.0:1900 -> 37.120.0.0:15642 UDP 1000 335000
    9. 62.118.28.0:1900 -> 37.120.0.0:50183 UDP 1000 335000

    und relativ sauber gefiltert wurde. (TeamSpeak ist dann aufgrund erhöhter Latenzen (geht ja alles über den DDoS-Filter) trotzdem praktisch unnutzbar, aber die Webseite ging zum Beispiel).

    Mir ist durchaus klar, dass auch hier eine Regel erstellt werden kann (alles, was von Port 1900 kommt, blocken); ich wollte nur zeigen, dass deine Aussage so nicht korrekt ist.

  • Ich habe 2015 einen Angriff gehabt:

    der an wahllose Ports ging

    aber von einem bestimmten Port ausging, und darum ging auch die Website noch;

    ein "Stecker ziehen" hätte den ganzen Server und somit auch die Website vom Netz genommen ....

    wie der DDoS Filter tatsächlich funktioniert wissen wir nicht, aber wie gesagt, wenn

    ein "Stecker ziehen" gemacht wird, ist es schon was gröberes ...

  • Also Nullrouten sollte dann aber so auch genannt werden, nur hier steht es anders, auch wurde einmal der TS angegriffen zu erkennen am Port 9987 und einmal der Remote Desktop zu erkennen am port 3389. Unten habe ich 2 Ips der Angreifer aufgelistet, die jetzt sowieso nicht mehr verfolgbar sind.



  • Will hier Netcup nichts dauzsagen ? Oder wird das ausgesessen ?

    Das ist hier immer noch ein User-to-User-Forum. Man bekommt zwar meistens (fast immer) auch ein Statement seitens Netcup, aber eine Garantie dafür gibt es nicht.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.