Kann mir bitte jemand sagen wie das passieren kann und warum unsere IP gesperrt wird ?
massive DDos Attacke !!
- mazeman23
- Geschlossen
- Erledigt
-
-
Wenn dich jemand angreift kannst du dagegen garnichts machen. Und ab einem gewissen Level muss netcup deine IP nullrouten. Das ist keine böse Absicht.
Genaueres kann dir aber nur der Support sagen.
-
Aus persönlicher Erfahrung werden vor allem Dienste aus dem Gaming-Bereich gerne angegriffen: TeamSpeak, Gameserver etc.
-
Aus persönlicher Erfahrung werden vor allem Dienste aus dem Gaming-Bereich gerne angegriffen: TeamSpeak, Gameserver etc.
Voll ins schwarze
-
Server ist wieder da wir koennen aber nicht mehr auf unseren TS verbinden...auf einem anderen Server geht der TS einwandfrei
-
Ok es geht wieder...ich wuerde gerne wissen was fuer ein DDos Schutz netcup betreibt! Einfach meine IP deaktivieren kanns ja nicht sein als DDos Schutz...ich wuerde fuer einen gescheiten Schutz sogar zahlen....
-
Bis 5 Gbit/s wird hier relativ zuverlässig rausgefiltert ohne Nullrouting. Danach ist irgendwann Ende für Otto-Normalos. Du bekommst in der Regel eine Nachricht im CCP bereitgestellt aus der du noch weitere Infos zum Angriff bekommst.
Hier allgemeine Infos zum Netcup DDoS-Filter: https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php
-
ich wurde einmal mit einer TCP Flood Attacke angegriffen:
CodeThreshold Packets: 30000 packets/s Sum Packets: 24317700 packets/300s (81059 packets/s) Sum Bytes: 1,007.82 MByte/300s (26.88 MBit/s)
Und einmal mit einer UDP Flood Attacke:
CodeThreshold Packets: 30000 packets/s Sum Packets: 300411600 packets/300s (1001372 packets/s) Sum Bytes: 90.7 GByte/300s (2.42 GBit/s)
Also dass hier sind keine 5 GBit/s
-
Hm, ja. Dann sollte während des Angriffes andere Dienste noch erreichbar gewesen sein: SSH, ggf. Webserver und Co...
Das war nicht so?
-
es war alles offline, da Netcup einfach die Ip gesperrt hat bis der Angriff vorbei war...dass ist kein DDos Schutz!
-
Es hängt davon ab, was der Angriff veranstaltet; sind es wahllos irgendwelche Ports, bleibt einzig nur die Mglkt. die IP vom Netz zu trennen; handelt es sich hingegen gezielt um den Angriff auf einen bestimmten Dienst, kannst Du z.B. bei einem Router das vorher schon z.B. per iptables od. ip6tables blockieren ... und der Rest bleibt ganz normal im Zugriff ...
hinzu kommt bei einem solchen Angriff, daß die andere Richtung unter umständen sogar mehr Traffic verursachen kann, was meist bei Ausnutzung irgendwelcher Bugs z.B. zum Zwecke des illegalen Mailversands entsteht ...
daher ein Tipp: bei der Firewall defaultmäßig alles mit DROP zu beantworten; kein REJECT;
meine iptables sieht so aus
Code
Alles anzeigen# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] # ICMP-packettypes: extra chain -N RESTRICT-ICMP -A RESTRICT-ICMP -p icmp --icmp-type destination-unreachable -j ACCEPT -A RESTRICT-ICMP -p icmp --icmp-type time-exceeded -j ACCEPT -A RESTRICT-ICMP -p icmp --icmp-type parameter-problem -j ACCEPT -A RESTRICT-ICMP -p icmp --icmp-type echo-request -m limit --limit 2/sec --limit-burst 4 -j ACCEPT -A RESTRICT-ICMP -p icmp --icmp-type echo-reply -m limit --limit 2/sec --limit-burst 4 -j ACCEPT -A RESTRICT-ICMP -p icmp -j DROP # Allow anything on the local link -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT # Block scanner -I INPUT -i eth0 -m string --to 60 --algo bm --string "GET /w00tw00t.at." -p tcp --dport 80 -j DROP # Allow anything out on the internet -A OUTPUT -o eth0 -j ACCEPT # Allow established, related packets back in -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Only pings with restricted icmp are allowed -A INPUT -i eth0 -d #server-ip# -j RESTRICT-ICMP # Enable restricted TRACEroute to me -A INPUT -i eth0 -p udp --sport 32769:65535 --dport 33434:33523 -m limit --limit 2/sec --limit-burst 4 -j ACCEPT # Enable SSH (private) -A INPUT -i eth0 -s #ip-at-home# -m tcp -p tcp --dport 22 -m state --state NEW -j ACCEPT -A INPUT -i eth0 -m tcp -p tcp --dport 22 -m state --state NEW -j DROP # Enable SMTP -A INPUT -i eth0 -m tcp -p tcp --dport 25 -m state --state NEW -j ACCEPT # Enable DNS -A INPUT -i eth0 -m tcp -p tcp --dport 53 -m state --state NEW -j ACCEPT -A INPUT -i eth0 -m udp -p udp --dport 53 -j ACCEPT # Enable HTTP/HTTPS -A INPUT -i eth0 -m tcp -p tcp --dport 80 -m state --state NEW -j ACCEPT -A INPUT -i eth0 -m tcp -p tcp --dport 443 -m state --state NEW -j ACCEPT COMMIT
-
Aber was nützt es bei einer DDos wenn die Firewall (iptables) auf dem Server greift? Der Traffic geht dann bereits bis zu dem einzelnen Server durch und belastet die vorgeschaltete Infrastruktur, wodurch wiederum andere Kunden in Mitleidenschaft gezogen werden. Ab einem bestimmten Punkt bleibt dem Provider (in diesem Fall Netcup) nur die Möglichkeit "den Stecker zu ziehen". Über die Firewall kann das eigene System geschützt werden, damit kein Einbruch möglich ist, und kleinere Attacken können abgewehrt werden, aber mehr ist da wohl nicht drin.
-
Das Thema an sich ist ziemlich spannend, weil durch die Meldung hier im Forum Transparenz in die Sache gebracht werden kann. Auch andere Kunden können so vielleicht einschätzen, welche Angriffe noch gefiltert werden, und welche nicht.
Allerdings sind die Begrifflichkeiten hier ein wenig schwammig verwendet worden. Eine IP-Adresse wird nicht "gesperrt", sondern wenn dann "nullrouted" (https://en.wikipedia.org/wiki/Null_route). Hast du dazu eine entsprechende Mail des DDoS-Filters bekommen, der dir ein solches Nullrouting angekündigt oder bestätigt hat?
Edit/Ergänzung: Ich habe hier einen DDoS-Angriff vom August 2015 vorliegen. Dabei wurden 2.5Gbps ohne Probleme von netcup gefiltert. Zeitraum: 3:45 - 09:40 Uhr.
-
Ja und Nein, wenn bei IPtables an Stelle von REJECT ein DROP verwendet wird,
und die Default-Regel ebenfalls DROP an Stelle von ACCEPT(!) ist,
dann hat das z.B. die Konsequenz, daß EIN(!) nmap-Angriff nur ein Bruchteil
des Traffics in der Zeit verursacht, weil er wegen der DROPs eben keine Antwort bekommt
sondern auf ein Timeout wartet ...
und "Stecker ziehen" ist nur dann notwendig, wenn es ein DDoS mit wahllosen Portzugriffen ist,
betrifft es hingegen gezielt z.B. den HTTP-Server,
dann kann der Provider mittels so einer Regel auf seinem Router bereits den Traffic von seinem Netz ableiten;
und der Server bleibt z.B. mit SSH im Zugriff ...
-
mazeman23 Ich würde mal den Support fragen; ich habe das Gefühl du wirst hier nicht mehr weiterkommen bzw. nur noch erklärt bekommen wie man ipTables konfiguriert, was dir für deine ursprüngliche Anfrage nicht weiterhilft.
---
und "Stecker ziehen" ist nur dann notwendig, wenn es ein DDoS mit wahllosen Portzugriffen ist
Kann ich nicht bestätigen bzw. ist für den netcup DDoS-Filter so nicht korrekt.
Ich habe 2015 einen Angriff gehabt:
CodeDirection: IN Treshold Packets: 30000 packets/s Sum Packets: 92612000 packets/300s (308706 packets/s) Sum Bytes: 27.85 GByte/300s (760.42 MBit/s)
der an wahllose Ports ging
Code69.1.24.0:1900 -> 37.120.0.0:15642 UDP 2000 638000 69.1.24.0:1900 -> 37.120.0.0:15642 UDP 2000 638000 89.169.195.0:1900 -> 37.120.0.0:481 UDP 1000 339000 24.226.137.0:1900 -> 37.120.0.0:50183 UDP 1000 335000 92.246.179.0:1900 -> 37.120.0.0:4251 UDP 1000 345000 96.51.231.0:1900 -> 37.120.0.0:50646 UDP 1000 345000 24.242.53.0:1900 -> 37.120.0.0:45643 UDP 1000 335000 174.114.194.0:1900 -> 37.120.0.0:15642 UDP 1000 335000 62.118.28.0:1900 -> 37.120.0.0:50183 UDP 1000 335000
und relativ sauber gefiltert wurde. (TeamSpeak ist dann aufgrund erhöhter Latenzen (geht ja alles über den DDoS-Filter) trotzdem praktisch unnutzbar, aber die Webseite ging zum Beispiel).
Mir ist durchaus klar, dass auch hier eine Regel erstellt werden kann (alles, was von Port 1900 kommt, blocken); ich wollte nur zeigen, dass deine Aussage so nicht korrekt ist.
-
Ich habe 2015 einen Angriff gehabt:
der an wahllose Ports ging
aber von einem bestimmten Port ausging, und darum ging auch die Website noch;
ein "Stecker ziehen" hätte den ganzen Server und somit auch die Website vom Netz genommen ....
wie der DDoS Filter tatsächlich funktioniert wissen wir nicht, aber wie gesagt, wenn
ein "Stecker ziehen" gemacht wird, ist es schon was gröberes ...
-
Also Nullrouten sollte dann aber so auch genannt werden, nur hier steht es anders, auch wurde einmal der TS angegriffen zu erkennen am Port 9987 und einmal der Remote Desktop zu erkennen am port 3389. Unten habe ich 2 Ips der Angreifer aufgelistet, die jetzt sowieso nicht mehr verfolgbar sind.
Code
Alles anzeigenGuten Tag ............., vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt vxxxxxxxxxx statt, der erhebliche Netzwerkressourcen beansprucht hat und zu einer starken Beeinträchtigung unseres Netzwerks führte. Wir mussten aus diesem Grund die IP-Adresse xxx.xx.xx.xxx Ihres Servers sperren. Wir prüfen in regelmässigen Abständen, ob die Angriffe nachgelassen haben. Sobald dieses passiert ist, werden wir die IP-Adresse xxx.xx.xx.xxx wieder freischalten. Hier finden Sie Logauszüge, die den Angriff darstellen: Direction: IN Destination IP: xxx.xx.xx.xxx Threshold Packets: 30000 packets/s Sum Packets: 300411600 packets/300s (1001372 packets/s) Angriff 1: Sum Bytes: 90.7 GByte/300s (2.42 GBit/s) Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes 27.188.9.246:51488 -> xxx.xx.xx.xxx:9987 UDP 150 53850 Angriff 2: Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes 189.94.228.240:3389 -> xxx.xx.xx.xxx:3389 TCP 150 6000
-
Will hier Netcup nichts dauzsagen ? Oder wird das ausgesessen ?
-
Will hier Netcup nichts dauzsagen ? Oder wird das ausgesessen ?
Das ist hier immer noch ein User-to-User-Forum. Man bekommt zwar meistens (fast immer) auch ein Statement seitens Netcup, aber eine Garantie dafür gibt es nicht.
-
[bitte löschen]