DOS Attacke auf eine Domain?

[helloworld]

Seit 2-3 Tagen haben wir massivie Probleme mit unserem Server.
Habe schon alles mögliche versucht..

der Server ist dauernd überlastet.. ich befürchte es ist eine DDOS Attacke.

mir ist auch was auffälliges in der access_log aufgefallen:

............
81.77.225.207 - - [01/Apr/2007:20:17:09 +0200] "GET / HTTP/1.1" 200 565 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
88.244.91.139 - - [01/Apr/2007:20:17:12 +0200] "GET / HTTP/1.1" 200 565 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
81.77.225.207 - - [01/Apr/2007:20:17:13 +0200] "GET / HTTP/1.1" 200 565 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
88.244.91.139 - - [01/Apr/2007:20:17:17 +0200] "GET / HTTP/1.1" 200 565 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
81.77.225.207 - - [01/Apr/2007:20:17:18 +0200] "GET / HTTP/1.1" 200 565 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
88.244.91.139 - - [01/Apr/2007:20:17:22 +0200] "GET / HTTP/1.1" 200 565 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
81.77.225.207 - - [01/Apr/2007:20:17:22 +0200] "GET / HTTP/1.1" 200 565 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
.............


was hat es zu bedeuten?

[Roger Wilco]

An deiner Stelle würde ich einfach 81.77.225.207 sperren (sofern es immer die gleiche IP-Adresse ist).

[grandcat]

...oder schaue dir mal mod_evasive an, sollte auch etwas bringen

[helloworld]

...oder schaue dir mal mod_evasive an, sollte auch etwas bringen

habe ich bereits installiert.. bringt nichts, da es immer unterschiedliche IPs sind

aber jetzt weiß ich etwas mehr glaub ich..

die situation ist im moment so:

mein server A mit der domain xxx.de ist völlig überlastet (load average ca. 300), deswegen reagiert der apache nicht und verwirft die anfragen.

wenn ich nun die domain xxx.de auf einen anderen server B umleite und dort per script eine weiterleitung auf den server A mache, funktioniert der server A wunderbar und der server B ist sofort überlastet. Die Anzahl der eingehenden pakete steigt um das vierfache. Ausgehende pakete halbieren sich.


DDos Attacke auf die Domain? gibt es sowas?
Wie kann man sich dagegen schützen?


nochwas aus der access_log:


80.145.218.175 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
80.145.218.175 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
164.100.41.26 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
71.246.62.174 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
65.105.224.226 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
65.82.83.226 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
80.134.46.71 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
12.240.2.193 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
85.22.28.68 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
213.65.95.204 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
65.162.123.5 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DigExt)"
208.120.157.153 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
194.105.9.84 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
75.57.138.172 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
80.250.125.162 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.5) Gecko/20031021"
211.247.88.178 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "FAST-WebCrawler/3.8 (atw-crawler at fast dot no; http://i.love.teh.cock/support/crawler.asp)"
85.94.138.198 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.5) Gecko/20031021"
199.216.204.19 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
123.4.143.222 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; DigExt)"
218.24.72.195 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007"
132.252.176.18 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/5.0 (X11; U; Linux i586; de-DE; rv:1.7.5) Gecko/20041122 Firefox/1.0"
172.174.193.200 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
203.84.186.246 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
84.134.177.236 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
80.145.218.175 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.0" 200 175 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
221.203.207.196 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
211.217.174.118 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
84.138.83.253 - - [03/Apr/2007:13:55:16 +0200] "GET / HTTP/1.1" 200 175 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

[Roger Wilco]

DDos Attacke auf die Domain? gibt es sowas?

Ja, wieso sollte es das nicht geben? Es ist allerdings eher ein DoS des Webservers.

[helloworld]

DDos Attacke auf die Domain? gibt es sowas?

Ja, wieso sollte es das nicht geben? Es ist allerdings eher ein DoS des Webservers.

was heißt es genau?

[Roger Wilco]

Dass der Angreifer den A-Record der Domain ermittelt und dann den Webserver flutet.

[helloworld]

Dass der Angreifer den A-Record der Domain ermittelt und dann den Webserver flutet.

und was kann man dagegen tun? :?

[Roger Wilco]

Code: Select all

init 0

Oder du zahlst dem (professionellen) Provider $Viele EUR, damit er die betreffenden Pakete direkt ausfiltert. Sobald die deine Kiste erreicht haben, ist es eh zu spät.

[pf4]

Hallo,

setz den A-Eintrag einfach auf 127.0.0.1 oder 0.0.0.0 und warte bis der Angriff vorbei ist. Mehr ist eh nicht zu machen gegen einen DoS kannst du 0 machen wenn du nicht min keine 5 stellige Summe investieren willst!
Mit der Änderung des Eintrags haste wenigstens den Traffic nicht..

[helloworld]

ist es möglich mit hilfe von iptables IP-Adressen aus dem ausland zu blockieren?

oder gibt es dafür auch irgendeine andere lösung?

[daemotron]

Theoretisch ja (Stichwort: GeoIP).

ABER: Bezogen auf (D)DoS bringt Dir das nur begrenzt etwas, da die Pakete Deine Maschine trotzdem beschäftigen (wenn auch das Filtern auf Layer 3/4 deutlich günstiger ist als ein Bearbeiten des Requests auf Layer 7...). D. h. die Schwelle, um Deinen Server lahm zu legen, liegt halt etwas höher. Ein zuverlässiger Schutz ist das aber nicht.

[helloworld]

Theoretisch ja (Stichwort: GeoIP).

ABER: Bezogen auf (D)DoS bringt Dir das nur begrenzt etwas, da die Pakete Deine Maschine trotzdem beschäftigen (wenn auch das Filtern auf Layer 3/4 deutlich günstiger ist als ein Bearbeiten des Requests auf Layer 7...). D. h. die Schwelle, um Deinen Server lahm zu legen, liegt halt etwas höher. Ein zuverlässiger Schutz ist das aber nicht.

hmm.. ja das habe ich schon oft gelesen, dass man da wenig machen kann.. bzw. sogar dass es gar nichts wirkungsvolles gegen gibt.

heißt es also, dass man überhaupt keine chance hat wenn einen so eine attacke trifft? das kann doch nicht sein.. kann ich mir nicht vorstellen..

wie schützen sich dann andere große webseiten dagegen?

[aquajo]

wie schützen sich dann andere große webseiten dagegen?

Viel (mehrere Gigabit ) Bandbreite, große Servercluster, Firewalls/Loadbalancer, gute Kontakte zum Upstream (um evtl. da schon was filtern zu lassen), oder Sie sind halt auch bei etwas größeren DoS-Angriffen weg.

[flo]

Falls das nich gegen eine bestimmte Domain geht, hilft es auch, den ersten vhost extrem abzuspecken - aber sonst, siehe oben :-)