LösungenProjekteUnternehmenPresse
Deutsch
English

Company Blog

knallgrau aktuell

DDoS-Attacke auf Knallgrau [3. Aug, 15:32]
Leider steht unser Knallgrau-Server seit mehreren Tagen unter "Dauer-Beschuss". Wir wurden Opfer einer sogenannten Distributed-Denial-of-Service Attacke, einem Angriff welcher mir bis dato in diesem Ausmaß noch nicht untergekommen ist, und offensichtlich zum Ziel hat unseren Server in die Knie zu zwingen.

Die gute Nachricht ist, dass wir jedenfalls mittlerweile die entsprechenden Massnahmen treffen konnten, so dass die Performance unseres Servers nicht mehr dadurch beeinträchtigt wird.

Die schlechte Nachricht ist, dass es anscheinend nicht möglich ist den Urheber dieses Angriffs ausfindig zu machen. Der Angriff selbst zeichnet sich durch eine Unzahl an (zufälligen) HTTP-Requests aus, welche zu Spitzenzeiten bis zu 30.000 Requests pro Stunden, bzw bis zu 400.000 Requests pro Tag erreichten. Die Requests selbst kommen von über 7.000 verschiedenen Rechnern, welches die Vermutung zu lässt, dass es sich hierbei um gefälschte IP Adressen handelt. Auch unser Provider Inode kann uns bei der Ausforschung des Angreifers anscheinend nicht weiter unterstützen, darum hier meine Bitte um Hilfe/Hinweise wie man bei einem solchen Angriff weiter vorgehen sollte? Gibt es Behörden/Institute bei denen man diesen Vorfall melden kann? Wird eine Anzeige gegen "anonym" empfohlen? Kann jemand vielleicht etwas aus den Logfiles ablesen: spam-log (gz, 3,646 KB), bzw aus der Liste der "Angreifer"-Rechner: spam-ip-log (gz, 30 KB)

Danke jedenfalls für jederlei Hinweise im Voraus !

Nachtrag: Ich wurde soeben darüber aufgeklärt dass ein Fälschen von IP-Adressen in diesem Ausmass nicht möglich sei, bzw nur unter sehr hohen (nicht vertretbaren) Aufwand. Es handelt sich also anscheinend um erfolgreich "gehijackte" Rechner. Der Server-Ausfall von vorhin hatte übrigens nichts mit der Attacke zu tun, sondern viel mehr mit einem kleinen Missgeschick (nicht unsererseits *räusper*) in den Untiefen der Serverräume.
Michael Platzer   Kommentar verfassen
daniel (Gast) meinte am [4. Aug, 13:26]
Solche DDos-Attacken sind wirklich aergerlich.Leider ist es sehr schwer bis unmoeglich den Taeter zu erwischen. Heise hatte das Problem auch vor nicht all zu langer Zeit.

http://www.heise.de/newsticker/meldung/55870

In einer der letzten iX gab es einen Artikel mit Hinweisen und Strategien gegen DDos Angriffe. Das koennte eventuell interessant sein.

Eine spontane Idee waere auch einen Host mit thttpd zwischen zu schieben falls die Angriffe auf eine Domain passieren. Der steckt das eher weg.

Deine Idee mit dem rejecten ist aber auch sehr gut.

lg,
daniel 
Antworten
Michael Platzer antwortete am [4. Aug, 13:30]
Das entscheidende am rejecten ist vor allem dass Apache die Connection zum Client gleich wieder schließt, und somit Apache nicht nach einiger Zeit blockiert.

Aber das selbst Heise anscheinend nicht die Täter ausfindig machen konnte (trotz 10.000€ Ergreifunsprämie), stimmt einen nicht gerade positiv. Und ich wollte schon einen Mac-Mini ausschreiben dafür :-) 
mjy (Gast) meinte am [17. Aug, 11:00]
Proxy-Requests?
Habt ihr da etwa einen offenen Proxy ("ProxyRequests On")? Die Log-Einträge scheinen ja nur Proxy-Requests zu enthalten (sofern die Log-Konfiguration nicht eine eher ungewöhnliche ist):

spam.at 72.4.161.56 - - [01/Aug/2005:20:53:36 +0200] "GET http://www.alexa.com:80/data/details/traffic_details?q=&url=REDXEROPHYTE.COM HTTP/1.0" 403 281 "-" "-"

In diesem Fall könnte es sein, daß genau das zu den Zugriffen geführt hat - weil irgendeine besonders einfallsreiche "Anonymisierungssoftware" offene Proxies einsetzt... (z.B. http://www.stayinvisible.com/index.pl
Antworten
Michael Platzer antwortete am [17. Aug, 12:21]
Ja, dass wir als proxy-server missbraucht wurden, war auch eine Vermutung. Dies würde auch die Vielzahl an verschiedenen Requests und IP-Adressen erklären. Aber offene proxy-anweisungen lassen wir eigentlich nur für bestimmte URLs zu. Vielleicht gabs da aber doch ein Schlupfloch welches ausgenutzt wurde.
Mittlerweile trudeln nur noch vereinzelte Requests ein (rund 5 pro Minute), welche aber nun alle mit einem 403 abgewiesen werden. 

Unternehmen

Letzte Aktivitäten

[Manuel Zechner - 30.08.]
Make Up und Video im BIPA Tutorial ...
Das schönste und gleichzeitig schwierigste bei der Arbeit mit sozialen Medien ist es, über die Grenzen ...

[Banu Bikeev - 20.08.]
15. Deutscher Trendtag: Flow.Control. ...
Der fortwährend bestehende Kommunikationswandel hat für neue Begriffe gesorgt, die auch die Arbeit mit ...

[Dieter Rappold - 16.08.]
Alexander Johmann und die Integration ...
Seit vergangenem Oktober 2009 haben wir die Chance uns mit dem spannenden Thema der Integration von 2 ...

[Michael Schmidt - 02.08.]
@Oliver
Hier die URLs aus dem Blogpost: http://blog.wie nenergie.at http://www.fa cebook.com/WienEnergie ht tp://twitter.com/wienenerg ie und ...

[Oliver (Gast) - 02.08.]
url
hast du die url dazu?

[Petra Koestinger - 28.07.]
Hotel Edelweiss: Tourismus-Unternehmen ...
Immer mehr Tourismusregionen, Reiseveranstalter und Hotelketten drängen sich auf Facebook. Wie aber können ...
 
vi knallgrau GmbH   pezzlgasse 7/1   1170 wien   t ++43.1.522 76 37   f ++43.1.522 76 38   office@knallgrau.at Impressum