@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.
Grundsätzlich hast du recht, allerdings glaube ich nicht, dass man damit sehr gute Erfolgsaussichten hat, schon gar nicht, wenn man keine Firma ist, die einen finanziellen Verlust beziffern kann. Wenn das jetzt wirklich über lange Zeit so weitergehen sollte (gehe ich aber nicht von aus), können wir es uns dennoch überlegen, aber gerade ist mir wichtiger, dass die Seite wieder erreichbar ist. Inzwischen habe ich es ja im Griff, es geht wieder alles so schnell wie vorher. Ich hoffe, dass es so bleibt... aber deswegen auch meine Frage, denn ich wollte die Attacke besser verstehen, damit ich die richtigen, technischen Gegenmaßnahmen ergreifen kann.
Vielleicht habe ich deine Frage falsch verstanden und von DDoS Angriffen verstehe ich überhaupt nichts, aber sollte ich die Frage verstanden haben, weiß ich von eine Trick. Wie gesagt, ich hab nur Kenntnis davon, ich weiß nicht wie das funktioniert. Aber so wie ich den Trick verstanden habe müssen bei z. B. 100 Rechnern (mal als Hausnummer) die an dem Angriff teilnehmen, nicht unbedingt 100 Rechner infiziert sein. Vielmehr wird hier sozusagen über Bande gespielt. Es werden Anfragen an 100 Rechner verschickt, allerdings eine falsch Rückantwort-Adresse gegeben. Die 100 Rechner schicken somit Antworten an deinen Server, obwohl der gar nichts angefordert hat.
Ich glaube, das geht aber nur auf niedrigeren Schichten, also konkret auf
TCP-Ebene. Bei uns ist es aber HTTP-Spam, wodurch der Apache-Server überlastet wurde. War auch nicht ganz meine Frage, aber trotzdem Danke für die Info
Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige
URI raus, die sie auf der Seite finden?
Vermutlich werden Requests genutzt, die serverseitig viel kosten.
Vielleicht wird das nicht gecached oder irgendetwas in der Art
Hätte ich auch gedacht, aber die
URI scheint mir nicht besonders „teuer“ zu sein. Da gäbe es eigentlich effektivere Möglichkeiten, z.B. kann man bei MediaWiki einfach an die
URL hinten &action=purge anhängen und so erzwingen, dass der Cache umgangen wird.
Ich habe das Rätsel aber jetzt halb gelöst – anscheinend ist das, was ich gefunden habe, tatsächlich nur der Nebenrequest eines anderen Seitenaufrufs, und zwar von der Seite, die auch im Referrer angegeben war. Weil diese von einer anderen Domain kommt, habe ich das im Log nicht gleich gesehen. Allerdings enthält die Verursacher-
URL zufällig das gleiche Muster, auf das ich in nginx matche und dann blockiere. D.h. ich hatte ein bisschen Glück beim Schreiben des RegEx
Sieht für mich nun so aus, als hätte wirklich jemand einfach die erstbeste
URL als Ziel eingegeben...