50Gbit Angriff auf Hetzner

Huiii, da werden die aber Spass gehabt haben von Hetzner heute ^^
 
Wir hatten kurzzeitig ma 1-2 ms verlängerte Antwortzeit der Server aber so wirklich abgelutscht war keiner von unseren, Hetzner sind und bleiben halt die besten :D :D :D :D
 
Hallo Zusammen,

Wir sind jetzt fast komplett mit der Problembehebung fertig. Daher wollte ich mal schnell schreiben was los war.

Wir hatten gegen 13:56 gemerkt das unsere Uplinks in Frankfurt komplett ueberlastest sind. Als wir uns das Trafficbild genauer angeschaut haben uns aufgefallen wir ca 50Gbit mehr incomming Traffic hatten als normal ist. Das Ziel des Traffics war ein Server im Rechenzentrum 10.

Durch diese Extreme Trafficmenge die einige Uplinks zum ueberlaufen gebracht hat sind auch einige BGP-Sessions down gegangen.

Wir haben die Attacke dann durch prepends auf andere Uplinks verlagern, was aber nur bedingt Besserung gebracht hat. Danach haben wir die Attacken durch unsere Uplinks filtern lassen. Die Attacke ist aber noch immer aktiv.

Momentan filtern Lambdanet 15Gbit , init7 8Gbit , level3 11 Gbit und telia 8Gbit. Der Filter von der DTAG dauert leider etwas. (daher kann es da noch etwas holpern).

Im Peek hatte die Attacke sogar knapp ueber 100 Gbit.

Gruss Martin
Click to expand...

Oha , hat jemand sich aber Feinde gemacht ^^
 
Bis auf ein instabiles VPN über den großen Teich (Was über Level3 geroutet wird) haben wir auch nichts Großes festgestellt.
 
Laut Monitoring dauerten die Störungen insgesamt etwa 20 Minuten - inbegriffen auch solche, die durch fehlerhaftes Routing entstanden sein könnten.
Wenn da jemand tatsächlich dauerhaft 50GBit/s gegengedrückt hat, dann waren das mal eben
6.710.886.400 Bytes = 6,25 GByte pro Sekunde.
Das macht insgesamt gute 7,5 Terabyte (für 20 Minuten), die nur für irgendeinen hirnlosen Angriff durch die Gegend geschoben wurden. :eek:
Das sind 5.592.405.333.334 3,5"-Disketten! :p
 
Welche Botnetze sind aktuell ueberhaupt kapabel solche Bandbreiten zu belegen??
Oder sind das eher einzelne Server in Rechenzentren? Ueber DSL sollte es ja schliesslich 50'000 Uplinks belegen...
 
Laut deren Webseite kam der Angriff durch die Peering/Transit rein, also nix intern. Dazu wuerde man uebrigens 500 Server mit 100Mb/s brauchen...

Aber mal so als Ueberlegung... wenn Hetzner den Angriff erst erkannte und unterdrueckte weil er das gesamte Netz kompromittierte - waere es fuer den Angreifer dann nicht klueger gewesen mit weniger Bandbreite zu ballern?
Zumals das ja um einiges billiger werden wuerde...
 
Ich glaube kaum dass der Angreifer für den Traffic zahlt ;) Das werden halt viele kompromitierte Maschinen sein die da angegriffen haben.

Dazu ein paar Daten ;) Ich mein teuer ist das für den Angreifer nicht.
Der IT-Sicherheitsexperte Gunter Ollmann erläutert in seinem Blog (engl.), wie groß ein für eine DDos-Attacke genutztes Botnetz eigentlich sein muss und vor allem, was die Betreiber der Netze verlangen, wenn sie anderen Cyber-Kriminellen die Infrastruktur für eigene Attacken zur Verfügung stellen. Zu finden sind die Angebote offenbar sehr leicht per Internetsuchmaschine. Ollmanns Forschungsergebnis: Typischerweise sind pro Tag und 10.000 Zombie-PCs etwa 200 US-Dollar fällig. Die Preise variieren je nach Besonderheiten des Botnetzes – beispielsweise eine garantierte Bandbreite oder eine garantierte Anzahl Zombies in einem bestimmten Land. Das Angebot und somit der Wettbewerb scheint offenbar sehr groß zu sein, was sich unter anderem in gegenseitigen Schmähungen ausdrückt, mit denen sich die Botnetz-Betreiber gegenseitig in den Online-Marktplätzen überziehen.
Click to expand...

Von:
http://www.microsoft.com/germany/technet/sicherheit/newsletter/sep09/art5.mspx
 
d4f said:
Oder sind das eher einzelne Server in Rechenzentren? Ueber DSL sollte es ja schliesslich 50'000 Uplinks belegen...
Click to expand...
Man nehme 1000 vServer kann ich theoretisch schon 100GBit erreichen. Jetzt lass es halt mal 5000 sein die maximal 20MBit bekommen und voila da haste dein im Übrigen sehr kleines Botnet. ;) Zur Größe von Botnetzen:
http://www.heise.de/security/meldung/Sturm-Wurm-Botnetz-mit-ueber-1-7-Millionen-Drohnen-160663.html
blupp1 said:
Es war glaube ich ein interner Angriff....
Click to expand...
Mal wieder ein fundierter Beitrag... Wer liest, dass der Traffic über die Carrier die mit Hetzner Verträge haben sollte eigentlich merken, dass es sicherlich nicht intern ist... :rolleyes:
 
Dazu ein paar Daten
Click to expand...
Hmm, die waren mal teurer ^^ Do lohnt es sich ja schon fast auch ein bisschen Pillenwerbung zu verschicken.
(Bevor ich gesteinigt werde: das war ein Scherz :P )

Man nehme 1000 vServer kann ich theoretisch schon 100GBit erreichen
Click to expand...
Ich hab irgendwie das Bauchgefuehl dass du damit meinst WINDOWS-vServer.... Nichts gegen WIndows aber die Mieter nehmen es meist weil sie "von Linux keine Ahnung" haben und glauben dass sich eine Windowsmachine wie ein Desktop administriert - was ja auch halbwegs stimmt; die Viren sind genau so schnell da :P

Ich bin irgendwie froh wenn ich solche HOrrormeldungen lese dass alle bisherigen 'Angriffe auf meine Roots maximal ~100 Angreifer beinhalteten...

Ich hatte uebrigens gestern auf einem der Hostingserver 3 verseuchte Kundenkonten gefunden welche mittels PHP TCP-Floods sendeten... und eine Routine zur Ausnutzung des 'echo'-Ports inne hatte (gibts den noch immer?!?!)
Der Angriff koennte also -theoretisch- auch ueber geklaute FTP-Daten oder infizierte Webseiten gestartet worden sein, genug Leistung haben solche ja mittlerweile.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top