AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

DDoS-Angriff

Ein Thema von Namenloser · begonnen am 2. Apr 2013 · letzter Beitrag vom 2. Apr 2013
Antwort Antwort
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#1

DDoS-Angriff

  Alt 2. Apr 2013, 00:02
So, also ich bin ja nicht so der Server-Experte aber halt trotzdem in die Lage gekommen, den Sysadmin für einen Server spielen zu müssen...

Ich dachte bisher, da es sich lediglich um eine kostenlose Community von und für ein paar Fans handelt, müsste ich mich zumindest mit so Kram wie DoS-Attacken nicht herumschlagen, was für die letzten 2 Jahre auch so war, aber leider falsch gedacht.

Gestern (1. April, aber kein Aprilscherz) gegen 2 Uhr nachts fing es an. Ich hab erst meinen Augen nicht getraut, aber es handelte sich tatsächlich um einen Botnet-Angriff auf eine unserer Domains. Da ich auf so etwas überhaupt nicht vorbereitet war, hab ich den ganzen Tag über relativ unbeholfen versucht, anhand von Logs, iptables und einem selbstgeschriebenen Python-Script die Angriffe einigermaßen abzuwehren, aber da es eben ein Botnet war, war das leider nicht sehr effektiv.

Nun hab ich nach dem wenig erfolgreichen Rumgestocher endlich ein Muster in den abgerufenen URIs erkannt, dieses per nginx direkt geblockt, und jetzt laden die Seiten wieder flüssig. Bei genauerer Betrachtung ist mir dann aufgefallen, dass es sogar nur eine bestimmte URI ist, die immer wieder abgerufen wird, und zwar:

/index.php?title=MediaWiki:Extra-Editbuttons.js&action=raw&ctype=text/javascript

(Es handelt sich um ein Wiki). Sogar der Referrer ist immer gleich, und zwar ist es immer die gleiche Seite von einer unserer Domains, aber interessanterweise nicht von der Domain, die angegriffen wurde.

Ich bin gerade einfach nur verwirrt... kann sich jemand einen Reim darauf machen, warum gerade dieser Request benutzt wurde? Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige URI raus, die sie auf der Seite finden?

Ich hätte eigentlich damit gerechnet, dass wenigstens ein paar verschiedene URIs aufgerufen werden... deswegen bin ich auch erst gar nicht auf die Idee gekommen, es auf diese Weise zu blocken.

Oder hat der Angreifer (Mensch) einfach die erstbeste URL genommen, die ihm einfiel?

[edit]wenn ihr meint[/edit]

Geändert von Namenloser ( 2. Apr 2013 um 01:10 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Bummi
Bummi

Registriert seit: 15. Jun 2010
Ort: Augsburg Bayern Süddeutschland
3.470 Beiträge
 
Delphi XE3 Enterprise
 
#2

AW: DDoS-Angriff

  Alt 2. Apr 2013, 00:25
Ich würde keine Vermutungen äußern, so etwas kann ganz schnell auf eine Verleumdungsklage hinauslaufen ....
Thomas Wassermann H₂♂
Das Problem steckt meistens zwischen den Ohren
DRY DRY KISS
H₂ (wenn bei meinen Snipplets nichts anderes angegeben ist Lizenz: WTFPL)
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#3

AW: DDoS-Angriff

  Alt 2. Apr 2013, 00:50
Ich würde keine Vermutungen äußern, so etwas kann ganz schnell auf eine Verleumdungsklage hinauslaufen ....
Ich äußere ja auch nichts. Trotzdem habe ich so meine Vermutungen, da niemand sonst einen Grund hätte, sowas zu tun...
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#4

AW: DDoS-Angriff

  Alt 2. Apr 2013, 01:01
Ich würde keine Vermutungen äußern, so etwas kann ganz schnell auf eine Verleumdungsklage hinauslaufen ....
Ich äußere ja auch nichts. Trotzdem habe ich so meine Vermutungen, da niemand sonst einen Grund hätte, sowas zu tun...
Doch, hast du. Und es wäre ratsam deinen ersten Beitrag zu editieren ... bevor es jemand anderes machen muss

... OK
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)

Geändert von Sir Rufo ( 2. Apr 2013 um 01:17 Uhr)
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#5

AW: DDoS-Angriff

  Alt 2. Apr 2013, 01:19
Kann da keine Äußerung erkennen. Ich könnte mich nicht mal verplappern, da ich seinen Namen gar nicht kenne... und ich hab hier noch nicht mal die Domain genannt, um die es geht. Aus dem Post sind überhaupt keine Rückschlüsse möglich.

Ich wollte damit eigentlich eh nur zeigen, dass es ein Motiv gäbe, damit nicht zwanzig Leute kommen und schreiben „War doch bestimmt gar kein DDoS sondern einfach nur mehr Traffic“, aber das war definitiv nicht der Fall. Also beißt euch jetzt bitte nicht daran fest.
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#6

AW: DDoS-Angriff

  Alt 2. Apr 2013, 01:21
Vielleicht habe ich deine Frage falsch verstanden und von DDoS Angriffen verstehe ich überhaupt nichts, aber sollte ich die Frage verstanden haben, weiß ich von eine Trick. Wie gesagt, ich hab nur Kenntnis davon, ich weiß nicht wie das funktioniert. Aber so wie ich den Trick verstanden habe müssen bei z. B. 100 Rechnern (mal als Hausnummer) die an dem Angriff teilnehmen, nicht unbedingt 100 Rechner infiziert sein. Vielmehr wird hier sozusagen über Bande gespielt. Es werden Anfragen an 100 Rechner verschickt, allerdings eine falsch Rückantwort-Adresse gegeben. Die 100 Rechner schicken somit Antworten an deinen Server, obwohl der gar nichts angefordert hat.
  Mit Zitat antworten Zitat
Perlsau
(Gast)

n/a Beiträge
 
#7

AW: DDoS-Angriff

  Alt 2. Apr 2013, 01:22
Und es wäre ratsam deinen ersten Beitrag zu editieren ... bevor es jemand anderes machen muss
In den Postings von NamenLozer konnte ich (auch vor seinem Edit) keinerlei Hinweise entdecken, die auf die Identität des Verdächtigten schließen lassen: Kein Name, nicht einmal der Realname von NamenLozer, keine vollständige URL und somit auch kein Hinweis auf die entsprechenden Seiten bzw. auf den Verdächtigten ... Wo soll da eine Verleumdung formuliert worden sein?

@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#8

AW: DDoS-Angriff

  Alt 2. Apr 2013, 01:29
Ich dachte bisher, da es sich lediglich um eine kostenlose Community von und für ein paar Fans handelt, müsste ich mich zumindest mit so Kram wie DoS-Attacken nicht herumschlagen, was für die letzten 2 Jahre auch so war, aber leider falsch gedacht.
DDoS-Attacken gibt es mittlerweile von der Stange:
Zitat von krebsonsecurity.com:
Booter sites are perhaps most popular among online gaming enthusiasts, who like to use them to knock opponents offline; but they are frequently also used to launch debilitating attacks on Web sites.
Anscheinend so günstig, das es sich für Gamer lohnt


Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige URI raus, die sie auf der Seite finden?
Vermutlich werden Requests genutzt, die serverseitig viel kosten.
Vielleicht wird das nicht gecached oder irgendetwas in der Art
Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#9

AW: DDoS-Angriff

  Alt 2. Apr 2013, 03:28
@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.
Grundsätzlich hast du recht, allerdings glaube ich nicht, dass man damit sehr gute Erfolgsaussichten hat, schon gar nicht, wenn man keine Firma ist, die einen finanziellen Verlust beziffern kann. Wenn das jetzt wirklich über lange Zeit so weitergehen sollte (gehe ich aber nicht von aus), können wir es uns dennoch überlegen, aber gerade ist mir wichtiger, dass die Seite wieder erreichbar ist. Inzwischen habe ich es ja im Griff, es geht wieder alles so schnell wie vorher. Ich hoffe, dass es so bleibt... aber deswegen auch meine Frage, denn ich wollte die Attacke besser verstehen, damit ich die richtigen, technischen Gegenmaßnahmen ergreifen kann.

Vielleicht habe ich deine Frage falsch verstanden und von DDoS Angriffen verstehe ich überhaupt nichts, aber sollte ich die Frage verstanden haben, weiß ich von eine Trick. Wie gesagt, ich hab nur Kenntnis davon, ich weiß nicht wie das funktioniert. Aber so wie ich den Trick verstanden habe müssen bei z. B. 100 Rechnern (mal als Hausnummer) die an dem Angriff teilnehmen, nicht unbedingt 100 Rechner infiziert sein. Vielmehr wird hier sozusagen über Bande gespielt. Es werden Anfragen an 100 Rechner verschickt, allerdings eine falsch Rückantwort-Adresse gegeben. Die 100 Rechner schicken somit Antworten an deinen Server, obwohl der gar nichts angefordert hat.
Ich glaube, das geht aber nur auf niedrigeren Schichten, also konkret auf TCP-Ebene. Bei uns ist es aber HTTP-Spam, wodurch der Apache-Server überlastet wurde. War auch nicht ganz meine Frage, aber trotzdem Danke für die Info

Ist es einfach Zufall? Suchen Botnetze sich vielleicht einfach irgendeine zufällige URI raus, die sie auf der Seite finden?
Vermutlich werden Requests genutzt, die serverseitig viel kosten.
Vielleicht wird das nicht gecached oder irgendetwas in der Art
Hätte ich auch gedacht, aber die URI scheint mir nicht besonders „teuer“ zu sein. Da gäbe es eigentlich effektivere Möglichkeiten, z.B. kann man bei MediaWiki einfach an die URL hinten &action=purge anhängen und so erzwingen, dass der Cache umgangen wird.

Ich habe das Rätsel aber jetzt halb gelöst – anscheinend ist das, was ich gefunden habe, tatsächlich nur der Nebenrequest eines anderen Seitenaufrufs, und zwar von der Seite, die auch im Referrer angegeben war. Weil diese von einer anderen Domain kommt, habe ich das im Log nicht gleich gesehen. Allerdings enthält die Verursacher-URL zufällig das gleiche Muster, auf das ich in nginx matche und dann blockiere. D.h. ich hatte ein bisschen Glück beim Schreiben des RegEx

Sieht für mich nun so aus, als hätte wirklich jemand einfach die erstbeste URL als Ziel eingegeben...
  Mit Zitat antworten Zitat
Benutzerbild von cookie22
cookie22

Registriert seit: 28. Jun 2006
Ort: Düsseldorf
936 Beiträge
 
Delphi XE2 Professional
 
#10

AW: DDoS-Angriff

  Alt 2. Apr 2013, 12:53
@NamenLozer: Davon abgesehen sollten Verdächtige statt öffentlich besser den Ermittlungsbehörden genannt werden, denn diese Äußerung wäre strafrechtlich absolut nicht relevant und könnte u.U. sogar zur Ermittlung des Täters führen. Denn eigentlich kann dir hier niemand wirklich weiterhelfen, du solltest daher besser zur Polizei gehen und Anzeige erstatten. Die Beamten werden dich dann vermutlich von sich aus fragen, ob du Feinde oder jemanden in Verdacht hast.
Mit solchen Beschuldigungen sollte man mehr als vorsichtig sein. Damit kann man schnell mal jemandem die Existenz ruinieren. Stell dir mal vor jemand behauptet Du wärest Urheber einer solchen Attacke und zeigt dich an. Die daraus entstehende Beschlagnahmung der Rechner kann gerade Selständigen schnell das Genick brechen.

Also wenn man nicht weiß woher es kommt, sollte man sich tunlichst zurück halten. Auch gerade, weil sich die Ermittlungsbehörden in der BRD nicht gerade mit Ruhm bekleckern, wenn es um solche Fälle geht.
Gruß
Cookie
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:46 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz