Amazon AWS Server DDoS

[Eve]

Abend, beobachtet hier jemand ähnliches?

http://pastebin.com/raw.php?i=yYjBtKUf

Ich stehe immer wieder unter massigen Angriffen aus dem AWS Netz führt dazu das ich das ganze netz aussperren musste...

Kommt das hier jemandem bekannt vor? oder gibt es einen aktuellen Exploit der das ermöglicht ? Die Angriffe richten sich nicht mal gegen ein bestimmtes ziel völlig random

LG

 

[tomasini]

Kenne ich aus meinen Logs. Ignoriere ich aber einfach.

 

[Joe User]

Wieso sollten das keine normalen Zugriffe sondern Angriffe sein?

Da Du den Zeitraum Deiner "Statistik" verschweigst, könnte man auch entgegnen, dass Du dem Server eine bessere Anbindung und Hardware spendieren solltest, wenn er mit den paar Paketen nicht klar kommt.



Oder kurz: Stinknormales Hintergrundrauschen welches man einfach ignoriert, fertig.

 

[Eve]

Wieso sollten das keine normalen Zugriffe sondern Angriffe sein?

150391 pkts/s der Letzte; Messung bis Null Route.

 

[Joe User]

Dein pastebin sprach von max 8550 Pkt und nicht von >150000 Pkt

Wobei auch 150000 Pkt nicht gleich auf einen Angriff hindeuten.

Was genau wollte denn der AWS-Host mit den 150000 Pkt von Deinem Server?
Und was genau wollen die anderen AWS-Hosts von Deinem Server?

Es laufen mitlerweile sehr viele legitime und erwünschte Dienste über AWS, so dass man AWS nicht komplett blocken möchte.

Du solltest in diesem Fall besser auf App-Ebene filtern.

 

[Eve]

Was genau wollte denn der AWS-Host mit den 150000 Pkt von Deinem Server?
Und was genau wollen die anderen AWS-Hosts von Deinem Server?

Mich mit völlig random UDP Paket Size, quell & Source Port angreifen.

Betroffen sind immer wieder einzelne Server in unserem Netz, in Wochen bis Monats Abständen; soweit möglich wurde UDP schon Deaktiviert es sind hauptsächlich Kunden Server - richtig Strange es ergibt sich eben absolute kein Muster deshalb die nachfrage ob hier jemand gleiches oder ähnlich erlebt.

Man könnte meinen jemand hat es auf "Uns" abgesehen

Es kommt immer mal wieder Angriffe rein Nullroute und ruhe jedoch bin ich überfragt wie mann das mit den AWS Kiste handhaben soll :/ Filter Möglichkeiten stehen aktuell nicht zur Verfügung außer auf der Maschine selbst ergo NULL zum Route ^^

 

[Joe User]

Keine wirkliche Lösung, aber IMHO dennoch etwas hilfreich:
Immer nur einzelne aus dem Ruder laufende AWS-Hosts (bspw. >120000pkts/s) temporär droppen/nullrouten und parallel Amazons Abusedesk mit entsprechenden Logs/tcpdump füttern, damit die die Hosts abschalten und ihre Kunden abstrafen können.
Hilft zwar nur bedingt, aber es hilft.

AWS komplett zu dropppen/nullrouten verursacht zu viele Kolleteralschäden, da etliche erwünschte Dienste ebenfalls per AWS laufen.



Das Problem betrifft letztendlich alle "Cloud Anbieter" nicht nur AWS und lässt sich auch nie zufriedenstellend lösen (ausser durch Abschaffung der "Clouds").



BTW: Diese Probleme werden künftig deutlich zunehmen, dank fallender Preise und steigender Bandbreiten...

 

[MadMakz]

Versuche kosten ja nix https://aws.amazon.com/forms/report-abuse

Da EC2 Micro Instanzen ein Jahr kostenfrei sind würde es mich nicht wundern wenn davon ein paar als "Terroristen" ausgenutzt werden.

Sollte mir so etwas unterkommen hätte ich keine Probleme ganz EC2 vor der Tür zu lassen. Welche legitime Dienste meinst du denn z.B, Joe? Mir persönlich würde keines einfallen das mich direkt oder indirekt an meinen Servern betrifft.

EC2 IP's https://forums.aws.amazon.com/ann.jspa?annID=1701
Amazon, EC2, Cloudfront IP's als JSON https://ip-ranges.amazonaws.com/ip-ranges.json

 

[Joe User]

Mobile Apps, (spezialisierte) Crawler und Spider, Monitoring Services, (Big)Dataverarbeitung, Backupsysteme, etc.

Letztendlich Alles was auch auf "normalen Servern" läuft und per TCP/IP kommunizieren kann.
Es liesse sich beispielsweise auch die Datenbank des SSF in die Cloud legen und der Rest bleibt wo er gerade ist. Wenn nun der Anbieter des SSF-Servers den Traffik von AWS plötzlich vollständig droppen/nullrouten würde, statt nur den einen einzelnen amoklaufenden AWS-Host, dann wäre das SSF völlig grundlos down.
Eine nicht unübliche Konstellation...

 

[danton]

Mir würden da auch so Sachen einfallen wie VPN-Server oder Tor-Exit-Nodes - womit man sich bei Sperrung der AWS auch normale Webseitenbesucher vom Hals hält. Die Anzahl solcher mag zwar nicht besonders groß sein, aber wenn ich eine Webseite bei einem Hoster hätte, der solche pauschalen Sperrungen vornimmt, fände ich das nicht so toll.
Oder mal andersherum gefragt: DSL & Co. werden immer schneller, so dass man über Botnetze auch diese für Angriffe nutzen könnte - wollt ihr dann auch ganze Einwahl-IP-Bereiche oder Provider sperren?

 

[MadMakz]

Oh, ich meinte nicht pauschal als RZ Betreiber, das würde wirklich wenig Sinn machen.
Ich meinte das auf mich bezogen, lediglich an meinem Server/meiner Firewall, also weiß das ich keinen legitimen Traffic aus EC2 zu erwarten habe.
Und ich würde es ja nur machen wenn mir plötzlich 40 IP's mit Müll ankommen.

 

[virtual2]

Hatten da in der Vergangenheit ganz witzige Angriffe von Amazon EC2 Instanzen, darunter auch Attacken mit 1,5mpps und 5G/s. Seitdem limitieren wir die Netzbereiche auf unseren Edges, den Rest machen die DDoS Filter ohne dass der Großteil des Schmutraffics dort ankommt =)