Server Support Forum
Anzeige:
DDoS Verhalten

Zurück   Server Support Forum > >

Anzeige:

Antwort
 
Themen-Optionen Bewertung: Bewertung: 2 Stimmen, 1,00 durchschnittlich.
  #1  
Alt 15.12.2014, 21:31
Daretar Daretar ist offline
PHP Entwickler
 
Registriert seit: 08.2014
Beiträge: 61
DDoS Verhalten

Ich habe nun auch zum ersten mal das Vergnügen seit 19:05 Uhr von Netcups DDoS Filter gefiltert zu werden.
Der Angriff geht offensichtlich auf Port 80. Und Pakete an diesen Port werden auch vorbildlich von Netcup gefiltert.

Gibt es irgendwas was ich noch tun kann um das ganze zu beschleunigen oder heißt es abwarten?


Zitat:
Guten Tag Justus Theis,

vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt v22012121******* statt. Wir routen daher die betroffene IP-Adresse **.**.***.** über unseren kostenlosen DDoS-Filter. Dieser filtert alle Pakete, die den DDoS verursachen. So bleiben die Dienste Ihres Servers die nicht Angegriffen werden, weiterhin erreichbar. Bedingt durch die Filterung kann es zu etwas längeren Paket-Laufzeiten kommen.

Wir prüfen in regelmässigen Abständen, ob die Angriffe nachgelassen haben. Sobald dieses passiert ist, werden wir die IP-Adresse **.**.***.** wieder direkt auf Ihren Server routen.

Hier finden Sie Logauszüge, die den Angriff darstellen:

Direction: IN

Destination IP: **.**.***.**

Treshold Packets: 30000 packets/s

Sum Packets: 15480000 packets/300s (51600 packets/s)

Sum Bytes: 590.55 MByte/300s (15.75 MBit/s)

Log:
Detail Output:



Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes

57.232.**.**:34676 -> **.**.***.**:80 TCP 1000 40000

57.232.**.**:34676 -> **.**.***.**:80 TCP 1000 40000

35.131.***.*:24455 -> **.**.***.**:80 TCP 1000 40000
etc.pp
__________________
Wir. schaffen. Marken.

Geändert von Thorsten (16.12.2014 um 12:04 Uhr) Grund: Quote Tags gesetzt.
Mit Zitat antworten
Anzeige:

  #2  
Alt 15.12.2014, 23:00
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Sieht nach Layer7 DDoS, konkret HTTP GET / POST Flood aus.

Gerade in letzter Zeit wächst die Anzahl derartiger Angriffe enorm - zur Filterung bedarf es intelligente Lösungen welche zwischen realen Besucher und Fake unterscheiden.

Evtl. kannst du ja mal einen Auszug aus dem Access Log deines Webservers posten?
Mit Zitat antworten
  #3  
Alt 15.12.2014, 23:19
Daretar Daretar ist offline
PHP Entwickler
 
Registriert seit: 08.2014
Beiträge: 61
Danke für die Antwort.
Logauszug kurz vor der Sperre
Code:
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:10 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:14 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:15 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:47 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:04 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:05 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:06 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:07 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 87.167.178.167 - - [15/Dec/2014:18:46:18 +0100] "-" 408 0 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:36 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 87.167.178.167 - - [15/Dec/2014:18:46:36 +0100] "-" 408 0 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:37 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 66.249.65.14 - - [15/Dec/2014:18:47:23 +0100] "GET /robots.txt HTTP/1.1" 404 501 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
SERVERNAME_WEG.de:80 46.38.241.30 - - [15/Dec/2014:18:47:24 +0100] "GET /layout.css HTTP/1.1" 200 2340 "http://djmandm.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"
SERVERNAME_WEG.de:80 66.249.65.16 - - [15/Dec/2014:18:47:24 +0100] "GET / HTTP/1.1" 200 1385 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
SERVERNAME_WEG.de:80 46.38.241.30 - - [15/Dec/2014:18:47:24 +0100] "GET /logo.png HTTP/1.1" 200 10727 "http://djmandm.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:47:30 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:18:49:47 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:18:49:47 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:18:49:47 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:18:49:48 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:52:57 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:52:58 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:53:20 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:54:09 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:54:10 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:42 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:43 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:44 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:45 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:46 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:47 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:48 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:49 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:50 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:51 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:52 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:53 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:54 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:55 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:56 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:57 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:07 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:07 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:08 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:08 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.145 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.145 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 31.7.57.198 - - [15/Dec/2014:19:17:48 +0100] "\x16\x03\x02\x01o\x01" 501 302 "-" "-"
SERVERNAME_WEG.de:80 59.152.251.203 - - [15/Dec/2014:19:29:16 +0100] "\x80g\x01\x03\x01" 501 301 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 62.210.90.60 - - [15/Dec/2014:19:51:07 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:30 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:31 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:20:05:28 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:20:05:28 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:20:05:29 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:20:05:29 +0100] "\x16\x03" 501 298 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03" 501 289 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03" 501 289 "-" "-"
__________________
Wir. schaffen. Marken.

Geändert von Thorsten (16.12.2014 um 12:03 Uhr) Grund: Code Tags gesetzt.
Mit Zitat antworten
  #4  
Alt 15.12.2014, 23:53
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Mehr gibts nicht?
Mit Zitat antworten
  #5  
Alt 16.12.2014, 00:05
Daretar Daretar ist offline
PHP Entwickler
 
Registriert seit: 08.2014
Beiträge: 61
lustigerweise nicht. Nein. Habe geschaut in access.log (die beinah leer ist)
other_hosts_access (oder so ähnlich ->froxlor)
und syslog

in der syslog habe ich was interessantes gefunden. OSSEC hat ein paar zugriffe gesperrt von einer Seite namens "maximumstresstester.net"

Die Seite und die dazugehörige IP sind aber aktuell offline.
__________________
Wir. schaffen. Marken.
Mit Zitat antworten
  #6  
Alt 16.12.2014, 02:23
Benutzerbild von bad_brain
bad_brain bad_brain ist offline
Registered User
 
Registriert seit: 01.2007
Beiträge: 462
Also in dem von dir geposteten Logauszug ist keinerlei DDoS Aktivität ersichtlich.
Aber eine Fehlkonfiguration (oder das OS ist steinalt)...denn Google Crawlern einen 501 zu servieren ist alles andere als normal.
__________________
~~suck-o.com~~
Hacking ~ Coding ~ Development
Mit Zitat antworten
  #7  
Alt 16.12.2014, 16:23
Daretar Daretar ist offline
PHP Entwickler
 
Registriert seit: 08.2014
Beiträge: 61
Das OS ist nicht steinalt. Es handelt sich um Debian wheezy.

Der Angriff ist mittlerweile vorbei. Ich wurde gestern Nacht gegen 2 Uhr entsperrt. Was ich sehr merkwürdig finde ist, dass der Angriff ja offensichtlich stattgefunden hat, es aber keine Log Meldungen davon gibt.

Wo kann ich denn da den Fehler vermuten?


ok. Habe nicht mitgedacht. Da läuft ja Froxlor. Der loged nach
/var/customers/logs/*access.log
War dann doch schon spät gestern
__________________
Wir. schaffen. Marken.

Geändert von Daretar (16.12.2014 um 16:28 Uhr)
Mit Zitat antworten
  #8  
Alt 16.12.2014, 21:16
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Ist dort nun was zu finden?
Mit Zitat antworten
  #9  
Alt 16.12.2014, 22:00
Benutzerbild von Lord Gurke
Lord Gurke Lord Gurke ist offline
Nur echt mit 32 Zähnen
 
Registriert seit: 05.2008
Ort: Wuppertal
Beiträge: 1.591
Könnten auch SYN-Reflection sein.
Dabei wird mit gespoofeter Source-IP ein TCP-SYN-Paket mit Source-Port 80 an irgendeinen Server im Internet geschickt, der auf das SYN-Paket mit SYN-ACK antwortet. Und weil er keine Antwort bekommt, antwortet er halt mehrfach.
Du erreichst damit keine hohe Bandbreite aber brachiale Paketraten, die im Zweifel ebenfalls den Server unerreichbar machen.
Dein Server erhält nur SYN-ACKs, die er nie angefordert hat. Das wird - wenn überhaupt - irgendwo im Firewall-Log vermerkt. Da aber dadurch keine Verbindung zustande kommt und dein System sich nur über SYN-ACKs wundert, die es nicht zuordnen kann, findest du im Logfile des Webservers eher nichts dazu.
__________________
"Beißen ist wie Küssen. Nur dass einer gewinnt!" TARDIS
Mit Zitat antworten
  #10  
Alt 16.12.2014, 22:06
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
51kpps ist nicht wirklich brachial, vielmehr Kindergarten - ab 15mpps wirds brachial

Was mich etwas stutzig macht ist die Tatsache, dass je Verbindung bzw. Paket "nur" 1000 Pakete / 40000 Bytes gesendet wurden. Erweckt für mich etwas den Eindruck eines Synfloods oder eben SYN-ACK Flood - könnte aber auch genauso gut HTTP POST Flood sein.

Gewissheit wirst du aber auch erst haben, wenn dir dein Provider (Netcup) einen vollständigen Auszug vom netflow / sflow dump geschickt hat (falls möglich).
Mit Zitat antworten
  #11  
Alt 17.12.2014, 07:22
Daretar Daretar ist offline
PHP Entwickler
 
Registriert seit: 08.2014
Beiträge: 61
Ja da ist schon etwas zu finden, obwohl ich das nicht in Verbindung mit einem Angriff sehen würde.

Zitat:
95.91.228.4 - - [15/Dec/2014:18:32:16 +0100] "GET /favicon.ico HTTP/1.1" 200 11186 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0"
**.**.****.** - - [15/Dec/2014:18:32:16 +0100] "GET /img/back_fb.png HTTP/1.1" 200 17131 "http://eine-seite.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"
95.91.228.4 - - [15/Dec/2014:18:32:16 +0100] "GET /img/xback_fb.png.pagespeed.ic.ERApwVI6od.png HTTP/1.1" 200 17156 "http://eine-seite.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0"
95.91.228.4 - - [15/Dec/2014:18:32:16 +0100] "GET /img/xback.jpg.pagespeed.ic.VAne6EllUs.jpg HTTP/1.1" 200 1198874 "http://eine-seite.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0"
112.111.184.39 - - [15/Dec/2014:18:42:32 +0100] "GET /index.php?site=news_comments&newsID=9&commentspage =160&sorttype=ASC/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:43:38 +0100] "GET /index.php?site=news_comments&newsID=9/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:45:30 +0100] "GET /index.php?site=news_comments&newsID=38/ HTTP/1.1" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:47:10 +0100] "GET /index.php?site=news_comments&newsID=9&commentspage =172&sorttype=ASC/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:48:40 +0100] "GET /index.php?site=news_comments&newsID=34/ HTTP/1.1" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:54:05 +0100] "GET /index.php?site=news_comments&newsID=9&error=captch a/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
98.126.45.138 - - [15/Dec/2014:18:57:04 +0100] "GET /index.php?site=news_comments&newsID=10&lang=uk HTTP/1.1" 404 509 "http://www.eine_seite.com/" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.52 Chrome/28.0.1500.52 Safari/537.36"
98.126.45.138 - - [15/Dec/2014:18:57:05 +0100] "GET / HTTP/1.1" 200 3315 "http://www.eine_seite.com" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.52 Chrome/28.0.1500.52 Safari/537.36"
112.111.184.39 - - [15/Dec/2014:18:57:51 +0100] "GET /index.php?site=news_comments&newsID=12/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:57:59 +0100] "GET /index.php?site=news_comments&newsID=10/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:58:00 +0100] "GET /index.php?site=clanwars_details&cwID=3/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:58:29 +0100] "GET /index.php?site=news_comments&newsID=9&commentspage =159&sorttype=ASC/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:19:00:26 +0100] "GET /index.php?site=news_comments&newsID=11/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:19:00:48 +0100] "GET /index.php?site=news_comments&newsID=9/ HTTP/1.1" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
**.**.****.** - - [16/Dec/2014:01:29:56 +0100] "GET /favicon.ico HTTP/1.1" 200 11130 "http://eine-seite.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"
die geforderten Ressourcen gibt es nicht.
__________________
Wir. schaffen. Marken.
Mit Zitat antworten
  #12  
Alt 17.12.2014, 13:23
PHP-Friends PHP-Friends ist gerade online
verifizierter Anbieter
 
Registriert seit: 08.2014
Ort: Oberhausen
Beiträge: 502
Zitat:
Zitat von virtual2 Beitrag anzeigen
Sieht nach Layer7 DDoS, konkret HTTP GET / POST Flood aus.
Nein, überhaupt nicht. Das sind 0815-Attacken mit kleinen Paketen statt großer Bandbreite, ansonsten normaler SYN-Flood. Kann man in der Form auch noch halbwegs gut auf dem Zielsystem in den Griff kriegen - vielleicht nicht mehr unbedingt auf einem vServer, das gebe ich gerne zu. Da ist direkter Zugriff auf die Netzwerkkarte(n) und Treiber doch besser.
Mit Zitat antworten
  #13  
Alt 17.12.2014, 19:54
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Die Erkenntnis nimmst du woher?

Ne mal ernsthaft, ohne Zugriff auf das System während einem Angriff oder eben flow dumps kann man leider nur raten. Dementsprechend leuchtet es auch ein, dass es sich hierbei um HTTP GET / POST Flood handelt.
Mit Zitat antworten
  #14  
Alt 17.12.2014, 20:21
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.186
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
Die Erkenntnis nimmst du woher?
Ich würde mal auf den Fakt tippen dass keine solche Anfragen in den Serverlogs auffindbar zu sein scheinen. Genau das ist aber bei HTTP-Flooding immer der Fall da hier im Gegensatz zu Synflooding oder Slowloris die Verbindungen _gewollt_ zu Ende gebracht werden um den Server zu belasten.
Demnach; HTTP Flooding ist aus zu schliessen. Aus dem Fakt dass das Rechenzentrum überhaupt den Angriff mitbekommen hat auch Slowloris. Es bleibt also mehr oder weniger nur Paket-Flooding wo Syn-Flood die üblichste Methode ist.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #15  
Alt 17.12.2014, 20:34
Benutzerbild von virtual2
virtual2 virtual2 ist offline
Registered User
 
Registriert seit: 10.2010
Ort: /bin/csh
Beiträge: 1.318
Wir wissen ja nicht, ob es sich hierbei um die vollständigen Logs handelt. Deshalb gehe ich weiterhin davon aus, dass es sich hierbei auch um Applikationsbasierten DDoS, konkret Layer7 DDoS handelt.
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
ddos, netcup

Anzeige:

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Unhaltbares Verhalten von OVH silentiumest Smalltalk 11 18.01.2014 15:41
Unerklärliches (rsync-)Verhalten s24! Dedizierte Server 4 02.08.2013 01:35
Seltsames PHP verhalten dragon001 Perl / PHP / Python / bash 1 09.08.2012 00:08
Seltsammes verhalten von SASL I_Maruko_I Mail 12 25.05.2007 15:53
Seltsames Verhalten bei include_path lixx Webserver 5 13.05.2007 11:46


DDoS Verhalten
DDoS Verhalten
DDoS Verhalten DDoS Verhalten
Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.