Server Support Forum
Anzeige:
DDoS Verhalten

Zurück   Server Support Forum > >

Anzeige:

Antwort
 
Themen-Optionen Bewertung: Bewertung: 2 Stimmen, 1,00 durchschnittlich.
  #16  
Alt 19.12.2014, 00:52
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.186
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Bei genauer Betrachtung der Email durch den Anbieter fällt folgendes auf:
Zitat:
Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes
57.232.**.**:34676 -> **.**.***.**:80 TCP 1000 40000
Die durchschnittliche Paketgröße ist also genau 40k/1k = 40Byte. 40 Byte ist auch die minimale TCP-Paketgröße ohne jeglichen Inhalt und Optionen, es kann sich also hierbei ausschliesslich um eine sehr kleine Anzahl von Paketen handeln, generell (Syn)Ack, RST oder FIN. In diesem Szenario ergibt nur SYN-ACK sinn. QED
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
Anzeige:

  #17  
Alt 19.12.2014, 09:01
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Joar, das liegt nahe - darauf hatte ich im ersten Moment nicht geachtet.

Schade dass der Anbieter die TCP Flags nicht collected, somit wäre es auf einen Blick sichtbar ob es sich z.B. wie in dem Fall um Syn-Ack (Reflection) Flood handelt oder eben Applikationsbasierten (Layer7) DDoS, welcher "2014" enorm zugenommen hat
Mit Zitat antworten
  #18  
Alt 19.12.2014, 14:24
Daretar Daretar ist offline
PHP Entwickler
 
Registriert seit: 08.2014
Beiträge: 61
vielen, vielen Dank für Eure Mühe und die Diskussion hier. Echt ein super Forum.

Könnt ihr mir tipps geben, wie ich beim nächsten mal besser Handeln kann, oder habe ich da gar keine Möglichkeiten.

Installiert habe jetzt noch mod_evasive, habe OSSEC besser eingestellt und Fail2Ban richtig konfiguriert.
__________________
Wir. schaffen. Marken.
Mit Zitat antworten
  #19  
Alt 19.12.2014, 15:25
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Deine Maßnahmen sind gegen Layer4 DDoS nutzlos. Die "bad" Packets bomben dir die virtuelle NIC zu und der Server ist tot. Ich würde mal mit Netcup reden, ob sie nicht ggf. ein Eigeninteresse daran haben derlei DDoS Angriffe künftig besser bzw. sinnvoller zu filtern.

Ansonst -> Next! Es gibt genügend Anbieter die dir für nen Apple und nen Ei DDoS Schutz kostenfrei mit anbieten - manche besser, manche weniger besser.
Mit Zitat antworten
  #20  
Alt 19.12.2014, 17:08
vb-server vb-server ist offline
Registered User
 
Registriert seit: 07.2009
Beiträge: 1.324
Apple wird aber teuer
Mit Zitat antworten
  #21  
Alt 19.12.2014, 17:27
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Zitat:
Zitat von vb-server Beitrag anzeigen
Apple wird aber teuer
Ich glaub du weißt was ich damit sagen wollte
Mit Zitat antworten
  #22  
Alt 20.12.2014, 09:44
Benutzerbild von infinitnet
infinitnet infinitnet ist offline
Registered User
 
Registriert seit: 05.2012
Ort: localhost
Beiträge: 334
infinitnet eine Nachricht über Skype™ schicken
Zitat:
Zitat von Daretar Beitrag anzeigen
Könnt ihr mir tipps geben, wie ich beim nächsten mal besser Handeln kann, oder habe ich da gar keine Möglichkeiten.

Installiert habe jetzt noch mod_evasive, habe OSSEC besser eingestellt und Fail2Ban richtig konfiguriert.
Das hilft bei SYN-ACK alles nix. Das Sinnvollste wäre (wobei ich mir nicht sicher bin, ob das bei einem vServer auch zutrifft) legitime Verbindungen zu verfolgen (nf_conntrack) und alles zu droppen, was nicht zu einer vollständigen TCP-Verbindung gehört (--ctstate invalid). Wenn du das Ganze noch in den "mangle"-Table statt den "filter"-Table packst, kannst du so selbst mit einem verhältnismäßig schwachen Linux-Server mehrere Million Pakete in der Sekunde droppen, ohne dass sich das auf die Anwendungen bzw. den Kernel auswirkt.
__________________


JavaPipe LLC ~# Tomcat Hosting, DDoS Protection, Virtual & Dedicated Servers
Mit Zitat antworten
  #23  
Alt 20.12.2014, 12:00
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Solange die Netzwerkkarten die Last mitmachen, was ich stark einzweifle.
Mit Zitat antworten
  #24  
Alt 20.12.2014, 12:13
Benutzerbild von infinitnet
infinitnet infinitnet ist offline
Registered User
 
Registriert seit: 05.2012
Ort: localhost
Beiträge: 334
infinitnet eine Nachricht über Skype™ schicken
Der NIC sollte selbstverständlich ein entsprechend hochwertiger sein, sofern es sich dann echt um mehrere Mpps handelt, was beim TE ja nicht der Fall ist - die 50Kpps sollte jeder annährend aktuelle Onboard NIC ohne Probleme bewältigen können.
__________________


JavaPipe LLC ~# Tomcat Hosting, DDoS Protection, Virtual & Dedicated Servers
Mit Zitat antworten
  #25  
Alt 20.12.2014, 12:36
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Ich hatte in der Vergangenheit mal div. Tests mit einer KVM VM und 10Gbit Uplink durchgeführt.

Der Node lief mit einer Intel X520-DA2 NIC bis ca. 2,5mpps (ohne großes Finetuning) Syn Pakete problemlos. Die VM war ab ca. 50kpps tot, bei ca. 35kpps ergab sich richtig unschöner Packetloss. Getestet sowohl mit virtio als auch Intel E1000 Emulation.

DDoS mit einer VM zu bewerkstelligen halte ich für weniger sinnvoll. Dafür nehme man bitte eine dedizierte Box mit Solarflare NIC. Alternativ gibt es auch Firmen die sich auf die DDoS Mitigation spezialisiert haben - dazu muss man natürlich das notwendige Kleingeld haben
Mit Zitat antworten
  #26  
Alt 20.12.2014, 12:38
Unifex Unifex ist offline
Registered User
 
Registriert seit: 02.2012
Beiträge: 302
Was würde eigentlich passieren wenn man alle Zugriffe über HTTP/1.0 unterbinden würde?
Mit Zitat antworten
  #27  
Alt 28.12.2014, 14:35
Ayano Ayano ist offline
Registered User
 
Registriert seit: 09.2013
Beiträge: 18
Zitat:
Zitat von Unifex Beitrag anzeigen
Was würde eigentlich passieren wenn man alle Zugriffe über HTTP/1.0 unterbinden würde?
die netzwerkpakete erreichen deine Netzwerkkarte trotzdem

das interessiert die nicht ob du die droppst oder nichtm, wenn man angreifen will.

Wenn nur die Webserver Instanz (nicht aber die Netzwerkkarte gestört wird)
kann software-Firewall helfen die Erreichbarkeit wiederherzustellen, sofern nicht die max. Bandbreite überladen wird.


OVH hat eine ziemlich gute Anti-DDoS, die anschlägt, sobald was losgeht.
Und das sogar beim kleinsten vServer Paket für 2,40 Euro im Monat bis hin zu Business Servers.

Grüße
Mit Zitat antworten
  #28  
Alt 29.12.2014, 03:46
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Zitat:
Zitat von Ayano Beitrag anzeigen

OVH hat eine ziemlich gute Anti-DDoS, die anschlägt, sobald was losgeht.
Und das sogar beim kleinsten vServer Paket für 2,40 Euro im Monat bis hin zu Business Servers.
Gut? 500Mbit UDP Flood -> Tot - grandioser DDoS Schutz

Btw. du glaubst gar nicht wieviele Kiddies wissen, wie sie einen OVH Server plätten. Gegen Synflood und übliche Reflection Angriffe mag der DDoS Schutz von OVH wirksam sein. Hast du es mit etwas exotischem zu tun, geht der Traffic volle Möhre durch die Filter durch und legt dir im schlimmsten Falle den Server sofort lahm.
Mit Zitat antworten
  #29  
Alt 29.12.2014, 11:12
Benutzerbild von infinitnet
infinitnet infinitnet ist offline
Registered User
 
Registriert seit: 05.2012
Ort: localhost
Beiträge: 334
infinitnet eine Nachricht über Skype™ schicken
Zitat:
Zitat von virtual2 Beitrag anzeigen
Gut? 500Mbit UDP Flood -> Tot - grandioser DDoS Schutz

Btw. du glaubst gar nicht wieviele Kiddies wissen, wie sie einen OVH Server plätten. Gegen Synflood und übliche Reflection Angriffe mag der DDoS Schutz von OVH wirksam sein. Hast du es mit etwas exotischem zu tun, geht der Traffic volle Möhre durch die Filter durch und legt dir im schlimmsten Falle den Server sofort lahm.
Ich habe zwar noch nie den DDoS-Schutz von OVH getestet, aber bieten die nicht eine Art ACLs an, sodass man die entsprechenden Quell- oder Zielports blocken könnte? Ein solches Vorgehen ist natürlich nicht gerade wünschenswert, aber für 30€ oder wie viel der DDoS-Schutz von OVH kostet schon mehr als man erwarten kann.
__________________


JavaPipe LLC ~# Tomcat Hosting, DDoS Protection, Virtual & Dedicated Servers
Mit Zitat antworten
  #30  
Alt 29.12.2014, 16:49
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Zitat:
Zitat von infinitnet Beitrag anzeigen
Ich habe zwar noch nie den DDoS-Schutz von OVH getestet, aber bieten die nicht eine Art ACLs an, sodass man die entsprechenden Quell- oder Zielports blocken könnte? Ein solches Vorgehen ist natürlich nicht gerade wünschenswert, aber für 30€ oder wie viel der DDoS-Schutz von OVH kostet schon mehr als man erwarten kann.
Tja, denkste. UDP komplett per ACL gesperrt, flux kommt jeder Synflood durch deren Mitigation Equipment durch

Toll oder? Ein Bekannter hat das soweit getrieben, dass er seinen Server per DDoS in's Rescue gebootet hat. Das ist ansich auch ganz easy, man muss eine OVH Kiste einfach nur richtig mit entsprechend viel Traffic bombadieren, bis der Server nicht mehr auf Pings antwortet.
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
ddos, netcup

Anzeige:

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Unhaltbares Verhalten von OVH silentiumest Smalltalk 11 18.01.2014 15:41
Unerklärliches (rsync-)Verhalten s24! Dedizierte Server 4 02.08.2013 01:35
Seltsames PHP verhalten dragon001 Perl / PHP / Python / bash 1 09.08.2012 00:08
Seltsammes verhalten von SASL I_Maruko_I Mail 12 25.05.2007 15:53
Seltsames Verhalten bei include_path lixx Webserver 5 13.05.2007 11:46


DDoS Verhalten
DDoS Verhalten
DDoS Verhalten DDoS Verhalten
Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.