DDoS Angriffe erkennen, protokollieren und abwehren

[mathiasr]

Hallo,

dieses Thema wurde hier schon oft diskutiert aber noch keine Lösung gefunden. Daher stelle ich hier mal einen Vorschlag zur Diskussion:

Ã?ber einen täglichen Cronjob protokolliere ich sämtliche Paketheader mit tcpdump mit (täglich eine neue Datei). Die Dateigröße lässt Rückschlüsse auf den gesamten Tages-Traffic zu.

Code: Select all

killall tcpdump
day=`date +"%d"`
mv -f /var/log/tcpdump/today /var/log/tcpdump/$day
tcpdump -npli any -s 64 -w /var/log/tcpdump/today

Ã?ber einen zweiten Cronjob kann ich entsprechende Gegenmaßnahmen einleiten, sobald meine tcpdump-Datei eine bestimmte Größe überschreitet. Sinnvoll ist erst eine Nachricht auf mein Handy, beim nächsten Limit Netzwerk herunterfahren.

Damit sollte man doch hoffentlich die meisten Angriffe rechtzeitig erkennen, um den Schaden gering halten zu können.
Die gesicherten Dumps dienen weiterhin der Beweissicherung, um auch eine juristische Verfolgung des Angreifers zu ermöglichen.
Der Platzbedarf ist etwa 5% des Traffic (3,5 GB bei 75 GB Traffic), lässt sich aber durch Komprimierung noch weiter verkleinern auf 1,5% des Traffic (ca. 1 GB / 75 GB Traffic).

Sollte jemand Zugangsdaten eines Users erlangt haben und den Server für SPAM oder als FTP-Hub missbrauchen würde auch das auf die gleiche Weise unterbunden werden.

[darkspirit]

Wie schon in zig Threads gesagt nutzt dir das absolut überhaupt nichts, außer der Tatsache, dass du früh informiert wirst. Damit, dass du das Netzwerk runterfährst, verhinderst du nichts, da der Traffic normalerweise ab dem Switch berechnet wird. Der andere Schaden ist evtl. ein derartiges Zumüllen deines Servers, so dass "echte" Clients in Timeouts laufen.. Wenn du dein Netzwerk runterfährst, ist der Effekt der gleiche ;)
Ob damit Spam-Verkehr entdeckt wird, ist schwer zu sagen.. ich weiß nicht, wieviel Traffic so eine Spamschleuder macht, aber damit du das mit den Mitteln hier merkst, muss schon einiges durchgehen..
Und wenn bei dir ein unerwünschter FTP-Dienst läuft, solltest du das recht schnell selbst merken..

[mathiasr]

Nach einem Herunterfahren des Netzwerkes wird hoffentlich meine IP nicht mehr gefunden und es läuft kein Traffic mehr über den Switch. Notfalls müsste ich den Server auch ganz herunterfahren (abschalten), damit meine MAC-Adresse verschwindet. Ich habe diesbezüglich beim Support von 1 und 1 nachgefragt und wir werden ja sehen, was die dazu meinen.

[captaincrunch]

Nach einem Herunterfahren des Netzwerkes wird hoffentlich meine IP nicht mehr gefunden

Sorry, TCP/IP besteht eben nicht nur aus TCP und IP. Spätestens, da Switches auf Layer 2 arbeiten, bist du auf ARP-Ebene.

Notfalls müsste ich den Server auch ganz herunterfahren (abschalten), damit meine MAC-Adresse verschwindet.

Dazu müsste der Router, der noch vor dem Switch steht ein ICMP Destination Unreachable an den Angreifer rausjagen. So lange die MAC-Adresse aber noch im ARp-Cache vorhanden ist, düfrte dir das herzlich wenig bringen.

Wenn es so einfach wäre, wären sicherlich auch schon einige andere Köpfe, die in manchen Fällen mehr Fachwissen enthalten, als hier jemals vorhanden sein wird auf diese Idee gekommen. ;)

Noch etwas : wieso habt ihr alle solch eine Panik vor DDOS ? Wer sich an die Netiquette hält, braucht sich IMHO keine Sorgen machen, wer sich zusätzlich noch durch das Trafficfax absichert, kann auch ohne solche Maßnahmen ruhig schlafen.

[mathiasr]

Während der Supportzeiten hilft noch ein vorbereitetes Fax an den Kundenservice mit der Bitte um Sperrung, der Vertragsnummer, IP-Adresse, Servicepasswort sowie einer Unterschrift.

Natürlich ist man nicht davor gefeit, dass anschließend die Reserveserver attackiert werden, aber in diesem Falle ist die Rechtslage dann ziemlich eindeutig.

Wer sich an die Netiquette hält, braucht sich IMHO keine Sorgen machen

Das ist etwas kurzsichtig gedacht, denn diese Angriffe treffen zwar den ISP, aber richten sich doch meistens gegen die Kunden.

Du hostest vermutlich weder die Seiten von politischen Parteien, noch größeren Wirtschaftsunternehmen. Diese Seiten sind um ein Vielfaches höher gefährdet als "normale" Seiten, vermutlich durch Gegnern oder Konkurrenten. Selbst die Seiten christlicher Kirchen unterliegen deutlich höheren Angriffszahlen.

[captaincrunch]

Während der Supportzeiten hilft noch ein vorbereitetes Fax an den Kundenservice mit der Bitte um Sperrung, der Vertragsnummer, IP-Adresse, Servicepasswort sowie einer Unterschrift.

Auch danach hilft (bei 1&1) das Trafficfax.

Du hostest vermutlich weder die Seiten von politischen Parteien, noch größeren Wirtschaftsunternehmen.

Nein, da diese im Normalfall mehr als genug Geld im Budget haben, ihren Auftritt im Web nicht bei irgend einem kleinen "Günstig-Hoster" (nichts gegen dich) zu lagern. Daher sehe ih die Gefahr für einen DDOS auch beim besten Willen nicht.
Um da mal ganz kurz etwas einzustreuen : beruflich befasse ich mich (u.A.) mit einer Firma, die in einem sehr stark umkämpften Markt arbeitet, und seit mittlerweile über einem Jahr war nicht im entferntesten etwas von einem solchen "Konkurrenzkampf" zu spüren. Wir leben hier schließlich nicht im Wilden Westen. ;)

Aber auch von der technischen Seite her sehe ich die "große Lösung" des Problems nicht.

[mathiasr]

Wenn Du mit Billig-Hostern vergleichst ist das sicher etwas anderes.

Wie Du richtig bemerkst erwarten unsere Kunden das Gegenteil - redundante Server mit permanenter Datensicherung und Abwehr von Angriffen - und kommen deshalb zu uns. Daher versuche ich hier anzusetzen und die Sicherheit zu erhöhen.

Innerhalb des letzten Jahres hatte ich schon diverse Störungen, z.B. wurde eine SPAM-Mail versendet und einer unserer Kunden als Absender angegeben - dieser Account wurde mit den Antworten zugemüllt und ich musste ihn auf einen anderen Mailserver verlagern.

Ein anderer Kunde mit einem mittlerem Tages-Traffic um die 200 kB hatte plötzlich mehrere GB innerhalb weniger Stunden durch permanente Anforderung immer der gleichen Datei durch die gleiche IP (bis wir diese geblockt hatten).

Natürlich werden wir auch "Normalkunden" nicht verprellen, aber auch keine Aquise in diesem Bereich fahren, denn diese Kunden sind mit den Hostingpaketen der großen Anbieter sicher ebenso gut bedient und wir wollen keinen Preiskampf im Cent-Bereich.

[rootmaster]

wenn du in einem ISP-umfeld arbeitest, dann solltest du dir dies mal hier zu gemüte führen ;)

http://www.sans.org/rr/papers/70/1212.pdf

"back to the roots"