Attacke auf Server, seit 4 Tagen Down

adrian.d

New Member
Hallo zusammen,

ich bin neu hier und ich heiße Adrian.

Im Januar hatte ich mit eine Webseite erstellt. Ich habe vor, irgendwann damit auch Geld zu verdienen. Aber im Moment ist das noch nicht so, den die Nutzerzahlen sind noch zu gering.

Derzeit bei etwa 1350 pro Tag, es handelt sich um einen Blog.

Zuerst hatte ich mir ein Webhosting Packet genommen, um die Seite voran zu bringen, nach 6 Monaten habe ich mir einen VServer gemietet, da lagen die Nutzerzahlen bei etwa 800.

Jetzt ist es allerdings passiert. Seit letzten Montag Mittag werde ich aus dem Tor Netzwerk Attackiert. Zuerst dachten wir es ist ein DDOS, aber es hat sich später herausgestellt das der Angreifer direkt die IP Adresse Attackieren um den Server in die Knie zu bekommen.

Ich würde gern einmal mehr über die Möglichkeiten erfahren die am besten geeignet sind, was ich jetzt tun könnte.

Das nimmt mir einfach den letzten Nerv im Moment.
 
Last edited by a moderator:

Lord Gurke

Nur echt mit 32 Zähnen
Ein DDoS richtet sich auch explizit gegen eine IP-Adresse - das ist kein Unterscheidungskriterium ;)

Die spannende Frage ist, WIE die Attacken aussehen.
Werden da einfach extrem viele Webseitenzugriffe generiert? Dann kann es helfen, Seiten durch einen Proxy auszuliefern, der diese im Cache hält (reduziert die Serverlast) oder die Request-Rate pro IP zu beschränken.

Oder werdet ihr da einfach mit Unmengen an UDP-Paketen beworfen, die dann die Netzwerkanbindung des Servers überlasten? Das wäre für das TOR-Netzwerk dann aber zumindest sehr untypisch.
Da kann man dann selbst eher wenig gegen machen, da müsste dann der Hoster kooperieren und entsprechende Filter davorstellen.
 

adrian.d

New Member
Hi, danke für die Antwort ;)

Also der Hoster meinte eben das es kein DDOS ist, eher dann UDP-Pakete. Die Filter sind aktiv, aber der Server kommt einfach nicht auf die Beine.

Muss ich abwarten bis die irgendwann aufhören oder schaffen es die Filter irgendwann die Pakete alle zu sperren?

Das war eben die letzte Nachricht dazu von meinem Hoster.


Mitarbeiter 08.09.2015 20:06

der Angreifer attackiert direkt unsere IP-Adresse inzsichen mit HTTP Post Statements von tausenden von IPs (keine SYN Attacke mehr), welche wir aktuell alle erfolgreich nach dem ersten Versuch wegblocken.
Syncookies laufen sind konfiguriert, bringt nur nichts, da er versucht den Webserverprozess abzuschiessen, bzw. zu überfluten.

Mit Syncookies reagiert in der Regel der Server etwas träger.

Vermeiden lässt sich sowas in der Regel nicht, da der Angreifer auch inzwischen direkt auf die IP geht, bringt auch Cloudflare oder ein anderer DDOS Schutz wenig (vorallem bieten die wenigsten Schutz für Layer 7)
Man kann nur das Muster heraussuchen und wegfiltern.


Mit freundlichen Grüssen,
 
Last edited by a moderator:

MadMakz

Member
...bringt auch Cloudflare oder ein anderer DDOS Schutz wenig..
DNS auf cloudflare umstellen.
Traffic durch CF routen ("orangene wolke")
MX von HTTP trennen.
Danach IP wechsel des Servers beantragen.
Neue IP in CF eintragen.
Fertig.

Solange dann keine Fehlerseiten auf dem HTTP die IP-Adresse preisgeben ist es unmöglich die IP hinter CF zu finden.

Aber eben nur wenn das routing immer über CF geht und die IP vorher nicht im DNS ersichtlich war.
 
Last edited by a moderator:

Lord Gurke

Nur echt mit 32 Zähnen
Dran denken, dass falls du E-Mails von diesem Server aus verschickst, die originale IP den Mailheadern steht. Da solltest du ggf. eine zweite IP auf den Server binden (lassen), mit der du dann ausschließlich den Mailverkehr machst.
 

nexus

Active Member
Da solltest du ggf. eine zweite IP auf den Server binden (lassen), mit der du dann ausschließlich den Mailverkehr machst.
Alternativ könnte man auch den Mailverkehr über einen Smarthost eines etablierten Mailanbieters abwickeln.
 

virtual2

Registered User
Layer7 DDoS aka HTTP Request Flood, nichts neues - Kinderkram :)

Wir hatten in der Vergangenheit Attacken mit rund 60.000 Requests pro Sekunde ausgefiltert, bei Interesse einfach mal melden ;)
 

PHP-Friends

Blog Benutzer
Nicht ganz "on topic", aber: virtual2 kann ich hinsichtlich seines Know-hows in Sachen DDoS-Protection (Layer3-7) absolut weiterempfehlen :)
 

Top