Gib DOS keine Chance!

[cgi]

Hallo Leute!

Gibt es denn wirklich keine Möglichkeit sich gegen den Mammut-Traffic einer DOS-Attacke zu wehren? Der Traffic wird schon am Switch gezählt - was nützt mir die beste Firewall und das aktuellste System wenn ich trotzdem hilflos ausgeliefert bin?

Nachdem innerhalb der letzten zwei Tage insgesamt 500GB Traffic an zwei meiner Servern angefallen sind habe ich das ganze Forum umgestülpt und mit meinem Anbieter telefoniert. Er meint es gibt "keinen einzigen Provider, der davor Schutz bietet".

Es muss doch möglich sein, dass der zuständige Switch solche Attacken erkennt - /var/log/messages war voll davon:

Code: Select all

kernel: UDP: bad checksum. From böseIPs:27010 to meineIP:27015 ulen 242

23 Grüße,
Christian

[sascha]

Es gibt durchaus Provider bei denen man ein Traffic Hard-Limit setzen kann. Allerdings solltest du mal die Ursache für die DoS finden und abstellen, denn der ISP bleibt auf den Kosten leider sitzen.

[cgi]

Hi Sascha!

Dieses Hardlimit nützt ja leider auch nichts, wenn 100GB Traffic am zweiten Tag verbraucht sind und der Server danach erstmal einen Tag gesperrt wird.

Wie soll ich denn die Ursache für die Attacke finden? Ich bin ja auf mein System beschränkt - und da schlagen tonnenweise UDP-Pakete auf, gegen die ich - laut meinem Provider - nichts machen kann. Gut - außer beten... :?

Wenn das stimmen würde, hätte ja jeder von uns keine ruhige Nacht mehr.

[nyxus]

wenn Dir die Lösung auch was wert ist ... http://www.digidefense.com/

[kase]

Hallo CGI, das ganze sieht mir sehr nach UDP Paketen eines GameServers des Types Half-Life aus.

Dort gibt es mehrere existierende DDOS Attacken, wenn max_queries_sec_global auf einen unbegrenzten (0) Wert gesetzt ist.

Nun kann es aber sein, dass du aktives Opfer oder passives Opfer bist. Das aktive Opfer hat einen GameServer laufen, und der Angreifer schickt viele kleine Pakete mit dem Inhalt /rules an dich. Dein Server liefert dann bestimmt 10-50 Mal so große Pakete zurück, die IP ist in den meisten Fällen wohl gespooft, so dass der Angreifer nicht mal eine "große" Connection für das Empfangen der Antwortpakete brauch. Diese gespoofte IP ist dann das passive Opfer, wo alle Antworten auf /rules hingeschickt werden. Bist du aktives Opfer (sehr viel Outgoing Traffic) einfach den GameServer runterfahren oder die "böseIP" blocken. Bist du passives Opfer (sehr viel Incoming) hast du keine andere Möglichkeit als zu prüfen, ob an der "böseIP" ein GameServer läuft, und irgendwie eine E-Mail Adresse ausfindig zu machen, um den Server-Administrator anzuschreiben.

So oder so, viel Erfolg.

[cgi]

Ich habe keinen Gameserver laufen. Aber Möglichkeit 2 wäre evtl. denkbar... Verblüffend ist aber, dass dieser Angriff auf zwei völlig unabhängige Server von mir stattgefunden hat.

Code: Select all

Eingehender IP-Traffic: 394,06 GByte 
Ausgehender IP-Traffic: 22,76 GByte 

Die IPs blocken könnte ich schon, allerdings müsste ich dann:

1. für jede neue gespoofte IP eine Firewallregel festlegen
2. Verdammt schnell reagieren, weil der o.g. Traffic in ca. drei Stunden (!) entstanden sein muss
3. aber trotzdem den entstandenen Traffic zahlen, weil die Pakete ja bereits vor meinem Paketfilter den "Accounting-Switch" passiert haben

:roll:

[dodolin]

Es gibt schon Provider, die an einem vorgelagerten Upstream-Router/Switch ganz genau definierten Traffic herausfiltern können. Diesen Service wird es aber sicher nicht in heute üblichen Rootservertarifen geben, da muss man schon deutlich mehr Kohle auf den Tisch legen.

[cgi]

Hm.

Heißt das also tatsächlich, dass wir - was (D)DOS-Attacken angeht - alle im selben Boot (=Titanic) sitzen?
Und dass jeden 1&1/Strato/usw.-Kunden unabhängig von seiner Softwarekonfiguration zwangsläufig das gleiche Schicksal ereilt wenn er angegriffen wird? Das kann doch nicht die traurige Wahrheit sein...

Oder etwa doch? 8O

[captaincrunch]

Doch, du hast es jetzt richtig verstanden. Denkst du wirklich, dass du bei den Preisen echten Service erwarten kannst? (Oha, jetzt schweifen wir ab)

[dodolin]

Ja, so ist es (wie CC ja schon richtig bemerkt hat).

Aber sagmal: Das fällt dir wirklich erst JETZT auf, wo du schon längst nen Rootserver hast?! Das war mir schon längst vorher klar, bevor ich überhaupt überlegt habe, ob ich nen Rootserver haben will oder nicht...

[static]

Hi

Hm.
Heißt das also tatsächlich, dass wir - was (D)DOS-Attacken angeht - alle im selben Boot (=Titanic) sitzen?
Und dass jeden 1&1/Strato/usw.-Kunden unabhängig von seiner Softwarekonfiguration zwangsläufig das gleiche Schicksal ereilt wenn er angegriffen wird?

Naja nicht ganz, die einen müssen den entstandenen Traffic zahlen, den anderen wird einfach der Server bei einer erreichten Grenze abgestellt.

Aber schützen kann sich davor kein Kunde der oben genannten Anbieter.

Allerdings muss man auch beachten, dass man normalerweise nicht ohne irgendeinen Grund Opfer einer grösseren Attacke wird...

.static

[ron]

Allerdings muss man auch beachten, dass man normalerweise nicht ohne irgendeinen Grund Opfer einer grösseren Attacke wird...

guten Tag alle, und @static, kannst Du vielleicht mal andeuten was mit "irgendeinem" Grund gemeint ist?

Gruss Ron

[thorsten]

Den Grund sollte sich jeder in seinem Bekanntenkreis suchen bzw. in den Aktivitäten, die sich auf dem rooty tummeln.
Sei es ein Forum, irc-Aktivitäten oder man ist einfach nur jemandem auf den Schlips getreten, der sich über eine DOS revanchieren will - das ist alles möglich ;)

[mc5000]

Das interessiert mich ja jetzt:

dodolin: Es gibt schon Provider, die an einem vorgelagerten Upstream-Router/Switch ganz genau definierten Traffic herausfiltern können. Diesen Service wird es aber sicher nicht in heute üblichen Rootservertarifen geben, da muss man schon deutlich mehr Kohle auf den Tisch legen.

Es gibt ein Angebot eines Kölner Hoster, der mir neben unterstützenden Managed Services auch Zugriff auf die Firewall gewährt, dort kann ich nach belieben auf meiner IP werkeln - nutz das was??
Geschieht also vor dem Rootserver. Dort könnte ich ja auch bestimmte IP abweisen. Könnte doch so auch den OutgoingTraffik beschränken! So ließen sich auch Angriffe die im schlimmsten Fall von meiner Maschine ausgehen eindämmen - wenn ich nur die minimalen Ports für meine Dienste zulasse ... ??? Ist die Frage ob der Traffik dort auch gezählt wird?!

Auch Monitoring für 25 Port mit Informationen über zu hohe Werte kann man einstellen - wäre in so einem Angriffsfall ja auch nützlich. Abgesehen von den 1500GB Inkl.Traffik :-D - die machen so einen Angriff nicht so schnell so teuer.

Will hier keine Werbung machen - Gott bewahre - doch im Namen der Sicherheit, sind das doch keine schlechten Ansätze??
Ich weiss, dass bekämpft nicht die Wurzel des Ã?bels - aber so manches Risiko, gerade für andere Server, kann so eingeschränkt werden.

Seh ich das falsch?

Noch ne Frage an CGI:

Eingehender IP-Traffic: 394,06 GByte
Ausgehender IP-Traffic: 22,76 GByte

In welcher Zeitspanne hat der Angriff stattgefunden?
Denn mein Rooty hat nur ne 100MBit anbindung und da komm ich auf max. 45GB/Std. - also mehr kann nicht raus - rein ja im prinzip auch nicht - wahrscheinlich ist die Anbindung von aussen schneller ?? wieso ??

MC

[dodolin]

Es gibt ein Angebot eines Kölner Hoster, der mir neben unterstützenden Managed Services auch Zugriff auf die Firewall gewährt, dort kann ich nach belieben auf meiner IP werkeln - nutz das was??

Nicht wirklich viel, vermutlich. Denn die Bandbreite dieses Paketfilters wird vermutlich auch nur 100 MBit betragen.

Was ich oben meinte, war dass der Provider schon viel früher in der Leitung auf seinen Upstream-Routern filtert. Diese haben für gewöhnlich eine deutlich höhere Bandbreite als 100 MBit. Denn es bringt dir nix, zu filtern, wenn dir jemand die 100 MBit per (D)DoS komplett zumacht. Wenn du dann aber auf einem Router davor filterst, der z.B. 1 GBit Bandbreite hat, dann bräuchte ein Angreifer schon 1 GBit und nicht nur 100 MBit, um deinen Rechner lahmzulegen.

Außerdem ist dann abrechnungstechnisch immer noch die Frage, wo der Traffic gezählt wird - vermutlich nämlich immer noch vor diesem Paketfilter, der in deinem Angebot enthalten ist.

[mc5000]

stimmt - das ist die zentrale frage:

wo ist der standort des paketfilters?!

ich vermute aber schon, dass er zentral angestzt ist - also über eine viel höhere bandbreite verfügt als die eigene maschine - wird auch über ein webfrontend gepflegt und ist daher von der auslastung des rootservers unabhängig.

höchstwahrscheinlich wird der traffik dennoch mitgezählt - vielleicht sogar genau über den packetfilter (?) oder noch früher. Und dann stellt sich die Frage :arrow: was hilft es mir, wenn der server noch erreichbar ist, ich aber hunderte von GB an traffik zahlen muss (irgendwann ist auch das größte inklusivpacket aufgebraucht)

naja, ist mal ne Frage für deren Vertrieb kann man mal deren Qualität prüfen !!