DDOS Attacke - Fragen

B

bla123

New Member
Hallo Community,

ich werde ich den folgenden Tagen ein (für meine Verhältnisse sehr großes Projekt) online stellen. Eine Art "Existenzgründung".

Das Thema DDos Attacken machen mir ein wenig Sorgen.

a) Wie hoch ist die Wahrscheinlichekeit Opfer von "Script-Kiddies" zu werden?
Gibt es "managed" Lösungen?

b) Was ist zzt. das gängigste Verfahren? UDP?

c) Angenommen ich hätte einen "100euro root"
Beispiel: http://www.hetzner.de/de/hosting/produkte_rootserver/px90

Wie viele "100Euro Server" bräuchte ein Angreifer? Kann man das grob sagen?
Also: Kann ein gleichwertiger Server den anderen attackieren? Oder würde man 5 / 10 oder gar 100 brauchen?

d) Gibt es hier im Forum jemanden, der mir das "dossen" beibringen könnte?
- Nein, ich habe nichts illegales vor. Ich möchte die Attacken nur verstehen können, bevor ich mir den Kopf zerbreche wie ich dagegen vorgehe.

An irgendwelche "Hacker-OS" mit irgendwelchen vorinstallieren Programmen bin ich nicht interessiert.
 
Last edited by a moderator:
Zu a)
Das ist eine Frage, die niemand beantworten kann.
Es kann dich zufällig treffen oder weil Leute auf Dich aufmerksam werden -> persönliches Risiko.

zu c)
Du kannst das nicht in Euro rechnen. Hat das Scriptkiddie ein paar Zombies unter Kontrolle reicht das oft schon und dank schlecht gesicherter Server gibt es davon mehr als genug.

zu d)
Was Du suchst ist ein Grundverständnis für die Netzarchitektur, das hat mit DDOS rein gar nichts zu tun. Abgesehen davon wirst Du selbst sowieso fast nichts ausrichten können sondern brauchst einen kompetenten Hoster.
 
zu dem, was der Angreifer braucht: Meist reicht für einen erfolgreichen DOS-Angriff auf einen ded. Server heute schon ein einigermaßen ordentlicher DSL-Anschluss.
 
Danke, für die raschen Antworten

a) wirst du wohl recht haben

c) Also kann ich mit 2 roots -> 1 root "locker" attackieren?!
Bei dem Beispiel geht es nur um gleichwertige "gemietete" Server.
Keine Zombies, Victims oder was es noch alles gibt...

d) ist natürlich auch eine Kostenfrage.
Gewisses Grundverständnis möchte ich trotzdem haben :)
 
DDoS Bots / Tools kann sich heutzutage jedes Kind für 5-10€ Taschengeld von Mammi mieten.

Los geht es bei sog. Bootern, welche fadenscheinig dem Test der eigenen Infrastruktur dienen sollen. Zumeist ist das etwas in der Kategorie NTP / SSDP / DNS Reflection DDoS (UDP) oder in letzter Zeit sehen wir auch gespooften TCP Control Traffic, in welchem wahllos TCP Flags kombiniert werden - z.B. RST + ACK. Diverse Massenanbieter und Rechenzentrumsbetreiber in FFM, welche DDoS Schutz anbieten, kommen damit nicht klar (darunter renommierte Firmen - ja, ist getestet).

Zu C): Einen einzigen mit diversen Gegebenheiten seitens der Netzwerkinfrastruktur des Anbieters und schwups hat man ein hübsches "Botnet" mit mehreren Gigabit "Attack Bandwith". Stichwort Spoofing.
 
Ich betreibe ein Portal das regelmäßig mit DDOS konfrontiert wird. Als es damit los ging war ich noch recht grün hinter den Ohren und musste viel Lehrgeld zahlen.

Hauptaugenmerk solltes du darauf legen für welchen Hoster du dich entscheidest. Es gibt Anbieter die bei kleinsten Anomalien deinen Server für mehrere Stunden vom Netz nehmen. Das ist natürlich ein gefundenes Fressen für Angreifer, da sie so mit einem kurzen Angriff deinen Webauftritt längere zeit offline bekommen (Hetzner gehörte da glaube ich dazu).

Ich fahre inzwischen am besten mit einer Lösung bei der sich mein Hoster um den DDOS Schutz kümmert. Das ist ein automatisches System welches den Netzwerkverkehr überwacht und bei Anomalien eingreift in dem es die Pakete stoppt. Meist dauert es 1 bis 10 Minuten bis ein Angriff so abgewehrt wurde, womit ich aber wunderbar leben kann.

Der letzte Angriff war vor wenigen Tagen mit knapp 20 gbit/s.
 
Danke für die Antworten.

Was ist denn von Diensten ala Akamai etc. zu halten?
Bei mir geht es in die Richtung e-commerce, da wäre ein Ausfall von 10-15min schon kritisch.
Kann mir jemand Webseiten empfehlen, die ich studieren kann?
Ich stelle fest, dass ich mit 90% der "Abkürzungen" nichts anfangen kann. Ich brauche wohl zunächst eine Grundlage.
(Sollte so aktuell wie möglich sein. )

Ich kann ich mir die "20 gbit/s" vorstellen?
z.B. im Bezug mit einem 100 Euro root von hetzner.
Waren es 20 oder gar mehr am Werk?
(Und bitte den Vergleich mit dem Root ziehen- keine Zombie/Victim XXX Betnetze )
 
Wenn ich an der Stelle etwas sagen darf: lass das mit dem eigenen Server erst einmal. E-Commerce an dem Deine Existenz hängt sollte auch entsprechend redundant aufgesetzt werden und das können spezialisierte Hoster durchaus leisten, ggfls. inklusive DDOS-Schutz.
Wenn Du selbst Server mietest müsstest Du dort alleine für Redundanz sorgen: mehrere Server, am besten an verschiedenen Standorten (falls das gesamte RZ ausfällt) und dann noch dafür sorgen, dass die Daten konsistent bleiben, was keineswegs trivial ist.
Dann skaliert das erst einmal relativ schlecht, da Du immer Server dazu mieten müsstest, obwohl Du den Großteil der Leistung nur zu Stoßzeiten benötigst, etc....

Da würde ich persönlich eher im Forum unter Suche mal bei den Hostern hier anfragen, ob nicht jemand so etwas anbieten kann.
 
Last edited by a moderator:
Sei dir bewust das die meisten Angreifer keinen einzigen Cent für DDoS ausgeben müssen.

Viel mehr ergibt sich DDoS durch falsch oder unsicher konfigurierte Server.

Wenn du 100 Server mit so einer Fehlkonfiguration findest bzw. unter Kontrolle hast würde es reichen von jedem Server lediglich 200mbps zu Senden um auf 20Gbit zu kommen, hast du 1000 server brauchst du von jedem nur noch 20mbps. Daraus wird auch ersichtlich warum DDoS quellen so schwer ab zu schalten sind. Im RZ eines angreifenden Servers fallen 200 oder gar 20mbp erst gar nicht als Suspekter Traffic auf.


Wenn du unbedingt über Geld reden willst;
Es kommt nicht auf die komplette Hardware des Servers an oder dem Preis des Servers sondern lediglich wie der Server an das Netzwerk angebunden ist.
Da mitlerweile auch die viele vServer an 1gbps shared hängen kannst du 20Gbit im Idealfall mit weit unter $100 stämmen.
Akamai, Cloudflare und dergleichen funktionieren auf Grund derer überskalierten Perrings auch wärend eines DDoS weiterhin. Akaimai hat Zugriff auf Kapazitäten die bei über 15 Tbits (2013) liegen.

Die größten Attacken liegen derzeit im Berreich von bis zu 300gbits. Das sind dann jene die auch mit durch Botnetzte angetrieben werden.
Die größte bis dato ist AFAIK immer noch die 400gbps NTP reflection attack gegen CloudFlare.
 
Last edited by a moderator:
@Orebor, danke für den Tipp. Die Daten sind bestens "gesichert".

@MadMakz
Was heisst Fehlkonfiguration? Wenn ich einen frischen Root miete, sind standardmäßig Schwachstellen offen? Falls ja, warum wird so etwas nicht gefixt?

Ich stelle die Frage mal anders: Wie viel Schaden/Stärke (z.B. gemessen in gbits) schafft der von mir verlinkte Root (oder vergleichbar für 100euro)?
(in der Standardeinstellung - und was müsste ich hinzufügen um in leistungsfähiger zu machen?)
 
bla123 said:
@MadMakz
Was heisst Fehlkonfiguration? Wenn ich einen frischen Root miete, sind standardmäßig Schwachstellen offen? Falls ja, warum wird so etwas nicht gefixt?
Click to expand...


Ein gutes Beispiel für eine "schlechte" Standartkonfiguration ist oder war die NTP Problematik
http://www.heise.de/security/meldung/Kommt-Zeit-kommt-DDoS-Angriff-2087846.html
http://blog.ip-projects.de/ntp-reflection-attack/

bla123 said:
Ich stelle die Frage mal anders: Wie viel Schaden/Stärke (z.B. gemessen in gbits) schafft der von mir verlinkte Root (oder vergleichbar für 100euro)?
(in der Standardeinstellung - und was müsste ich hinzufügen um in leistungsfähiger zu machen?)
Click to expand...
Siehe Anbindungsbeschreibung der Hetzner Server. 200mbits garantiert/1gbps peak. Wie gesagt, du kannst per Server maximal nur so viel raus blasen wie die Anbindung / das Netzwerk zulässt.
Ob der Server dabei jetzt 100€ oder 20€ Kostet spielt hier keine große Rolle.
 
Last edited by a moderator:
Spielt die Hardware denn keine größere Rolle?
die 100Euro waren als Indikator gedacht.

Auto Neuwagen zwischen 13.000 - 15.000 denkt man ja auch nicht an einen Porsche..


Theoretisch könnte ich doch demnach ganz viele kleine/mittellre Instanzen (aws ec2) aufsetzen und dann wie ein Wilder durch die Gegend "schiessen".

Bin davon ausgegangen, dass der Ausgangsserver gewisse Power braucht.
 
bla123 said:
Wie viel Schaden/Stärke (z.B. gemessen in gbits) schafft der von mir verlinkte Root (oder vergleichbar für 100euro)?
(in der Standardeinstellung - und was müsste ich hinzufügen um in leistungsfähiger zu machen?)
Click to expand...

Für mich klingt das ein wenig so, als ob du bereit bist, 100€ auszugeben, um jemanden ärgern zu können und nun wissen willst, wieviel Schaden du in 'deiner Preisklasse' effektiv anrichten kannst...:rolleyes:
Oder anders ausgedrückt: Es gibt nicht zwangsläufig eine direkte Korrelation zwischen deinen Kosten und der Größe des möglichen Schadens. Es kommt dabei auf viele Faktoren an, welche die Rahmenbedingungen deines Angriffs-Szenarios beeinflussen können.
Um die von dir hinterfragten Zusammenhänge richtig verstehen zu können, solltest du dich intensiver mit Netzwerktechnik, Protokollen, etc. beschäftigen. Tante Google ist da sehr hilfreich ;)
 
Für eine Reflection-Attacke von 1GBit/s bis 10GBit/s brauche ich lediglich eigene Kapazitäten von umgerechnet circa 5 SMS, also quasi Nix. So schnell kann ich die SMS gar nicht tippen, wie der angegriffene Host offline ist.

Für rund $5-$10 kann ich mir auch ein Botnet mit 10GBit/s Feuerkraft mieten. Davon 10-50 Stück und ich zwinge selbst Giganten wie Google, Facebook oder Microsoft zumindest teilweise in die Knie. Investiere ich $1000, dann kann ich geschätzt 98% aller Webdienste für mindestens eine Stunde offline nehmen, die meisten wohl eher tagelang oder gar wochenlang.

Soviel zur Theorie.


In der Praxis kommen heute die meisten kleineren DDoS (<10GBit/s) aus dem Tor-Netzwerk, daher solltest Du einen Hoster wählen, der Tor-Trafic bereits vor Deinem Server ausfiltern und nullrouten kann.
Gleiches gilt für Trafic von Cloudflare und den diversen Cloudanbietern. Von dort ist ohnehin kein clientseitiger Trafic zu erwarten.
Damit bist Du gegen die meisten Script-Kiddies und Mitbewerber gewappnet.

Bleiben noch die professionelleren Angreifer und gegen die kann man sich langfristig kaum schützen. Irgendwann finden sie immer eine Schwachstelle und DDoS gehört bei denen eher selten zum Handwerkszeug.


Der beste Schutz vor DDoS ist noch immer, sich online wie offline vernünftig zu benehmen und so einem potentiellen Angreifer erst gar keinen Grund zum Angriff zu liefern.


BTW: Sich hinter Cloudflare zu verstecken ist relativ dumm, denn damit macht man sich erstrecht zum Angriffsziel...
 
Joe User said:
Für rund $5-$10 kann ich mir auch ein Botnet mit 10GBit/s Feuerkraft mieten. Davon 10-50 Stück und ich zwinge selbst Giganten wie Google, Facebook oder Microsoft zumindest teilweise in die Knie. Investiere ich $1000, dann kann ich geschätzt 98% aller Webdienste für mindestens eine Stunde offline nehmen, die meisten wohl eher tagelang oder gar wochenlang.
Click to expand...

Google hat definitiv etwas mehr Kapazität als 500G - deren Edge Router sind größtenteils mit 100G (Linecards) an die großen Tier I Carrier wie Level3, Telekom, usw. oder auch IXPs wie AMS-IX / DE-CIX angebunden. Zuletzt habe ich dort die *etwas* größeren Juniper MX2010 gesehen. Sind gut und gerne so groß wie ein Fullrack und fassen einige 100G Linecards.

Typischer DDoS bewegt sich im Bereich von 5-10Gbit. So meine Erfahrung mit entsprechenden Kunden.
 
Last edited by a moderator:
virtual2 said:
Google hat definitiv etwas mehr Kapazität als 500G
Click to expand...
Und? Für einzelne Google-Dienste können 500GBit/s durchaus ausreichen, für mehrere Dutzend Google-Hosts definitiv. Und spätestens wenn man die 500GBit/s als Ursprung einer Reflection-Attacke nutzt, bekommt auch Google ernste Probleme, zumindest in den jeweils betroffenen Geolocations.

Ich schrieb nicht grundlos "teilweise"...


Die Aussenanbindung sagt absolut gar nichts über die Kapazitäten einzelner Dienste aus.
 
Joe User said:
Und? Für einzelne Google-Dienste können 500GBit/s durchaus ausreichen, für mehrere Dutzend Google-Hosts definitiv. Und spätestens wenn man die 500GBit/s als Ursprung einer Reflection-Attacke nutzt, bekommt auch Google ernste Probleme, zumindest in den jeweils betroffenen Geolocations.

Ich schrieb nicht grundlos "teilweise"...
Click to expand...

Und? Dann wird eben per flowspec eine ACL deployed, welche sämtlichen UDP Traffic auf Sourceport XYZ dropped :)

Ich erinnere hierzu gerne mal an einen 800Gbit DDoS welcher von einem Nürnberger Carrier problemlos ausgefiltert wurde. Das Google hierzu nicht die notwendigen Kapazitäten bzw. die notwendige Infrastruktur haben soll, halte ich für ein Gerücht.

Die Aussenanbindung sagt absolut gar nichts über die Kapazitäten einzelner Dienste aus.
Click to expand...

Du weißt ja nicht, welche Layer2 Verbindungen zwischen besagten Diensten bestehen - daher kann man das kaum pauschalisieren.
 
virtual2 said:
Und? Dann wird eben per flowspec eine ACL deployed, welche sämtlichen UDP Traffic auf Sourceport XYZ dropped :)
Click to expand...
Dürfte sich beispielsweise beim Google-DNS als schwierig erweisen, vom Kollateralschaden mal ganz abgesehen.

Google ist letztendlich genauso verwundbar wie jeder Andere, es ist nur eine Frage des Kosten-Nutzen-Faktors.
 
You must log in or register to reply here.
Back
Top