DDoS Attacke

  • Frage

  • Daniel
  • 1505 Aufrufe 6 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • DDoS Attacke

    Hallo FSBler

    ich hab schon öfter gehört, das irgendwelche Dienste, Foren z.B. durch DDoS Attacken ausser gefecht gesetzt wurden.

    Jetzt meine Frage, ist es wirklich so schwer, solche Angriffe abzuwehren, ich kenne da ein Forum, das im moment ganz massive Probleme damit hat, sie es aber einfach nicht schaffen, sowas mit Hilfe einer Firewall o.ä. zu blocken.

    Wo liegt das Problem, oder ist es doch gar nicht so schwierig etwas dagegen zu unternehmen?
  • Versuch das mal:
    Als erstes sollte man seine Log-Files auswerten um die Angreifer-IPs ausfindig zu machen.

    Die Angreifer-IPs erkennt man daran, dass sie mehrere Requests, in der Sekunde, auf die Domain starten. Nicht selten über zehn Requests in der Sekunde auf die eine und die selbe Seite.

    Hat man die IPs entdeckt, dann sollte man diese mittels .htaccess aussperren. .htaccess deswegen, weil das Editieren recht schnell geht und das Sperren wirkungsvoll ist.

    In die .htaccess sollten dann folgende Zeilen eingetragen werden:

    order allow,deny
    deny from xxx.xxx.xxx.xxx
    deny from xxx.xxx.xxx.xxx
    allow from all

    Das "xxx.xxx.xxx.xxx" steht hierbei für die IPs, die geblockt werden sollen. Die Liste kann endlos fortgeführt werden.

    An dieser Stelle sieht man auch schon den Nachteil. Bei einem großen Angriff müssen die vielen IPs rausgesucht und eingetragen werden, was sehr aufwendig ist.

    Hinweis:
    Um nicht aus Versehen einen Google-Bot auszuschließen empfiehlt es sich die IPs vorher zu prüfen, wo sie herkommen.

    Das geht unter Windows recht einfach. Man startet die Eingabeaufforderung und gibt folgende Zeile in die Konsole ein:
    tracert xxx.xxx.xxx.xxx

    tracert versucht dann eine Rückverfolgung der IP durchzuführen. Die erste Zeile reicht meistens schon aus um zu sehen, woher die IP kommt. Der Google-Bot sollte nicht übersehen werden können, da die IP entsprechend aufgelöst wird.

    Diese "Abwehr-Maßnahme" dient lediglich der Abwehr in einer Not-Situation. Sie ist kein Heilmittel, aber kann unter Umständen den Betrieb am Laufen halten.

    Nachdem die Attacke überstanden ist, sollten die IPs wieder ausgetragen werden, da die Wahrscheinlichkeit besteht, auch wenn sie gering ist, dass ein normaler User eine dieser IPs zugewiesen bekommt und dieser sollte nicht grundlos geblockt werden.

    Grundsätzlich gilt, Vorsorge ist der beste Schutz. Wer also mit Angriffen rechnet, sollte Vorsorgemaßnahmen treffen, die am besten mit dem Provider abgesprochen werden sollten.
  • Vielen dank, für deine Hilfe,
    wie ich gesehen habe, wurde der Vorschlag von dir bereits an das entsprechende Forum weitergegeben, hoffentlich können sie etwas damit Anfangen und diesen möchtegern Hackern endlich das Handwerk legen!

    Wie es sich anhört, scheint das mit der DDoS Abwehr gar nicht so leicht zu sein, weil du von Not-Lösung sprichst, also entsprechende Firewalls o.ä. scheint es wohl noch nicht zu geben, die solche Attacken Wirkungsvoll blocken könnten?!

    Du sprichst von Google-Bot, warum wäre es so schlimm, wenn man einen davon blocken würde, die "Spionieren" doch auch nur im Forum herum, oder?
  • Daniel schrieb:

    Jetzt meine Frage, ist es wirklich so schwer, solche Angriffe abzuwehren, ich kenne da ein Forum, das im moment ganz massive Probleme damit hat, sie es aber einfach nicht schaffen, sowas mit Hilfe einer Firewall o.ä. zu blocken.

    Wo liegt das Problem, oder ist es doch gar nicht so schwierig etwas dagegen zu unternehmen?


    Kommt immer drauf an wer der Angreifer ist, kenn einige Leute bei denen es schwer wird sowas zu blocken.

    Allein schon wenn man Apache nutzt, kann DDoS sehr effektive Wirkungen erzielen, da Apache schnell "aufgibt".

    Es gibt sehr viele verschiedene Arten von DDoS.

    - TCP SYN Flood
    - TCP SYN-ACK Reflection Flood (DRDoS)
    - TCP ACK Flood
    - UDP Flood Attack (Trinoo)
    - Tribe Flood Network and Tribe Flood Network 2000
    - HTTP Flood Attack
    - ICMP Echo Request Flood
    - UDP Flood Attack
    -...

    Es zu blocken kann je nach Angreiferzahl sehr schwierig sein. Und gute DDoS Protection ist wirklich teuer (hardware firewall, ...)

    Kenn nen guten DDoS Protection Anbieter, bei dem kostet es 499$ / Monat

    luwi schrieb:

    Hat man die IPs entdeckt, dann sollte man diese mittels .htaccess aussperren. .htaccess deswegen, weil das Editieren recht schnell geht und das Sperren wirkungsvoll ist.


    Ist schonmal ein kleiner Schritt in die richtige Richtung, aber htaccess vermindert nur Belastung bis zu nem bestimmten Punkt. Allein schon wenns nen Botnetz mit x IP Adressen pro Sekunde ist, ist nichts mehr mit htaccess.

    Wenn jemand eine 100k Armee Bots auf dich loslaesst, dann hilft htaccess nichts mehr, wenn dann noch etwa 50k SYN Flood und 50k ICMP,TCP & UDP gleichzeitig kommen, dann ist ganz schluss fuer jeden Server.

    Und Hardwarefirewall wirkt auch nicht sofort sondern nach einer bestimmten Zeit.

    Daniel schrieb:

    Wie es sich anhört, scheint das mit der DDoS Abwehr gar nicht so leicht zu sein, weil du von Not-Lösung sprichst, also entsprechende Firewalls o.ä. scheint es wohl noch nicht zu geben, die solche Attacken Wirkungsvoll blocken könnten?!


    Ist es auch nicht, wenn der Angreifer genug Power hat. Hardware Firewall ist ne gute Loesung, kostet aber auch einiges.

    Wollt noch was sagen, aber das faellt mir grad nicht mehr ein.. :/
  • Von Privatpersonen war hier auch eigentlich nicht die Rede.

    Es wird auch in Zukunft keine Softwareseite hundertprozentige Lösung gegen DDoS geben, ein Webserver/Mailserver/... ist nunmal darauf eingestellt Verbindungen von außen anzunehmen, ansonsten kann er nicht funktionieren.

    Effektive Filter (in Form von den erwähnten Hardware-Firewalls) überprüfen den Inhalt der ankommenden Pakete und wenn der für sie keinen Sinn ergibt oder geblacklistet ist wird es gefiltert, dementsprechend groß ist auch der Aufwand für so etwas.
  • Die attacken werden meist über bots ausgeführt dies ist so was ähnliches wie ein trojaner nur daser sich selber verteilt und wenn der Boss sagt ihr verbindet euch alle auf einen Server das hat mein eine doss akktacke gemacht und wenn der bots sich 3 mio mal verteilt hat und zu gleichen zeit 3 mio leute auf einen server zugreifen hat mean ein Problem :)