Ab wann DDoS?

mkraemer

mkraemer

New Member
Hi!

Ich betreibe einen kleinen Server bei Strato für das Freeware-Programm Spamihilator. Dieses Programm hat eine automatische Update-Funktion. Bisher hatte ich damit noch keine Probleme, aber seit ca. 24.12. ist die Anzahl der Zugriffe auf das Update-Skript so sehr angestiegen, dass ich mich frage, ob es ein DDoS-Angriff ist. Zuletzt hatte ich ca. 500 HTTP-Anfragen pro Sekunde auf diese Datei. Dann hat Strato meinen Server gesperrt (V-PowerServer A, 500 GB Traffic, diesen Monat bisher nur 80 GB verbraucht). Mehr Informationen kann ich seitdem nicht mehr bekommen, da ich per SSH auch nicht mehr an den Server komme. Im Anhang ein Auszug aus der Log-Datei (vor der Sperrung).

Meine Frage ist nun: Kann es wirklich sein, dass mein Programm diese Anfragen verursacht? Im Grunde ist es sehr bekannt und hat mehrere Millionen Benutzer weltweit. Oder könnte das schon eine DDoS-Attacke sein? Dafür dauert sie aber schon ziemlich lange! Wie lange dauern solche Attacken denn?

Gruß
Michel
 

Attachments

Tach auch.

mkraemer said:
Meine Frage ist nun: Kann es wirklich sein, dass mein Programm diese Anfragen verursacht? Im Grunde ist es sehr bekannt und hat mehrere Millionen Benutzer weltweit. Oder könnte das schon eine DDoS-Attacke sein?
Click to expand...

Da muss ich jetzt ein wenig schmunzeln, Du versuchst Aepfel von Aepfeln zu differenzieren, wenn die Millionen Clients halbwegs zeitnah versuchen von ein und demselben System/Dienst ein update zu ziehen, dann ist das genau das, was der Begriff DDoS-Attacke beschreibt.

mkraemer said:
Dafür dauert sie aber schon ziemlich lange! Wie lange dauern solche Attacken denn?
Click to expand...

Solange, bis die Anfrager aufhoeren zu Fragen; Da stellt sich jetzt die Frage an den Autor des Update-Mechanismus :D , inwiefern dort vorgesehen ist die Anfragen bei nicht-Erfolg irgendwann einzustellen, Lastverteilung zu implementieren (z.B. erst kleine Anfrage "darf ich" mit Antwort "ja", "nein", "nein, erst wieder in N-Minuten"-> damit kann man auch die Last auf einem einzigen Anbieter steuern).

Was noch interessant waere ist, warum genau Dein Provider den Host gesperrt hat?

Ciao,
Mercy.
 
Hi!

Erstmal danke für die Antwort!

Mercenary said:
Da muss ich jetzt ein wenig schmunzeln, Du versuchst Aepfel von Aepfeln zu differenzieren, wenn die Millionen Clients halbwegs zeitnah versuchen von ein und demselben System/Dienst ein update zu ziehen, dann ist das genau das, was der Begriff DDoS-Attacke beschreibt.
Click to expand...
Naja, du hast schon recht, aber der "automatische" Updatemechanismus fragt nur einmal alle 10 Tage. Bei 500 Zugriffen pro Sekunde wären das aber echt ne Menge Benutzer (hochgerechnet).

Der Update-Mechanismus benutzt die normalen HTTP-Funktionen des Internet Explorers. Es könnte natürlich sein, dass der IE7 neuerdings die Anfragen wiederholt, wenn keine Verbindung aufgebaut hat. Das fällt mir gerade ein und wäre eine gute Erklärung für den Traffic.

Warum der Provider gesperrt hat, weiß nur er. Ich habe mehrfach per E-Mail angefragt, aber nur Standardantworten erhalten. Strato eben. Was will man da noch sagen. :-( Zum Glück kann ich bis Ende des Monats kündigen. Hoffentlich habe ich mit einem anderen Provider mehr Glück und kann das Problem selbst aus der Welt schaffen (immer vorausgesetzt, es ist keine Attacke).

Mit "Wie lange dauert ein Angriff" meinte ich "So in der Regeln". Normalerweise doch nur ein paar Tage, meisten sogar mit Pausen, oder? Und nicht 24 Tage am Stück.

Gruß
Michel
 
Hallo,

wir hatten hier einen Fall im Forum, bei dem über mehrere Tage konsequent ge-DoSt wurde. Das LKA hat dazu dann wohl angemerkt, dass im Anschluss dann eine Mail kommt: "Wenn Sie wollen, dass es aufhört, zahlen."

Ergo scheint es schon DoS-Attacken zu geben, die ununterbrochen draufhauen. Wobei 500 Zugriffe / Sekunde nicht wirklich ein DoS sein muss....

Grüße
Sinepp
 
You must log in or register to reply here.
Back
Top