DDoS Verhalten

Daretar · Dec 15, 2014

Ich habe nun auch zum ersten mal das Vergnügen seit 19:05 Uhr von Netcups DDoS Filter gefiltert zu werden.
Der Angriff geht offensichtlich auf Port 80. Und Pakete an diesen Port werden auch vorbildlich von Netcup gefiltert.

Gibt es irgendwas was ich noch tun kann um das ganze zu beschleunigen oder heißt es abwarten?

Guten Tag Justus Theis,

vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt v22012121******* statt. Wir routen daher die betroffene IP-Adresse **.**.***.** über unseren kostenlosen DDoS-Filter. Dieser filtert alle Pakete, die den DDoS verursachen. So bleiben die Dienste Ihres Servers die nicht Angegriffen werden, weiterhin erreichbar. Bedingt durch die Filterung kann es zu etwas längeren Paket-Laufzeiten kommen.

Wir prüfen in regelmässigen Abständen, ob die Angriffe nachgelassen haben. Sobald dieses passiert ist, werden wir die IP-Adresse **.**.***.** wieder direkt auf Ihren Server routen.

Hier finden Sie Logauszüge, die den Angriff darstellen:

Direction: IN

Destination IP: **.**.***.**

Treshold Packets: 30000 packets/s

Sum Packets: 15480000 packets/300s (51600 packets/s)

Sum Bytes: 590.55 MByte/300s (15.75 MBit/s)

Log:
Detail Output:

Src IP Addrort Dst IP Addrort Proto Packets Bytes

57.232.**.**:34676 -> **.**.***.**:80 TCP 1000 40000

57.232.**.**:34676 -> **.**.***.**:80 TCP 1000 40000

35.131.***.*:24455 -> **.**.***.**:80 TCP 1000 40000
etc.pp

virtual2 · Dec 15, 2014

Sieht nach Layer7 DDoS, konkret HTTP GET / POST Flood aus.

Gerade in letzter Zeit wächst die Anzahl derartiger Angriffe enorm - zur Filterung bedarf es intelligente Lösungen welche zwischen realen Besucher und Fake unterscheiden.

Evtl. kannst du ja mal einen Auszug aus dem Access Log deines Webservers posten?

Daretar · Dec 15, 2014

Danke für die Antwort.
Logauszug kurz vor der Sperre

Code:

SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:10 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:14 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:15 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:44:47 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:04 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:05 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:06 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:07 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 87.167.178.167 - - [15/Dec/2014:18:46:18 +0100] "-" 408 0 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:36 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 87.167.178.167 - - [15/Dec/2014:18:46:36 +0100] "-" 408 0 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:46:37 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 66.249.65.14 - - [15/Dec/2014:18:47:23 +0100] "GET /robots.txt HTTP/1.1" 404 501 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
SERVERNAME_WEG.de:80 46.38.241.30 - - [15/Dec/2014:18:47:24 +0100] "GET /layout.css HTTP/1.1" 200 2340 "http://djmandm.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"
SERVERNAME_WEG.de:80 66.249.65.16 - - [15/Dec/2014:18:47:24 +0100] "GET / HTTP/1.1" 200 1385 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
SERVERNAME_WEG.de:80 46.38.241.30 - - [15/Dec/2014:18:47:24 +0100] "GET /logo.png HTTP/1.1" 200 10727 "http://djmandm.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:47:30 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:18:49:47 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:18:49:47 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:18:49:47 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:18:49:48 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:52:57 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:52:58 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:53:20 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:54:09 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:54:10 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:42 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:43 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:44 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:45 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:46 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:47 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:48 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:49 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:50 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:51 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:52 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:53 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:54 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:55 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:56 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:18:57:57 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:07 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:07 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:08 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:08 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.153 - - [15/Dec/2014:19:13:12 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.145 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.145 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.73.137 - - [15/Dec/2014:19:16:30 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 31.7.57.198 - - [15/Dec/2014:19:17:48 +0100] "\x16\x03\x02\x01o\x01" 501 302 "-" "-"
SERVERNAME_WEG.de:80 59.152.251.203 - - [15/Dec/2014:19:29:16 +0100] "\x80g\x01\x03\x01" 501 301 "-" "-"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 ::1 - - [15/Dec/2014:19:45:03 +0100] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.2.22 (Debian) (internal dummy connection)"
SERVERNAME_WEG.de:80 62.210.90.60 - - [15/Dec/2014:19:51:07 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:30 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:30 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.55 - - [15/Dec/2014:19:56:31 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:20:05:28 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.53 - - [15/Dec/2014:20:05:28 +0100] "\x16\x03" 501 298 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:20:05:29 +0100] "\x16\x03\x01" 501 299 "-" "-"
SERVERNAME_WEG.de:80 66.249.65.57 - - [15/Dec/2014:20:05:29 +0100] "\x16\x03" 501 298 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:32 +0100] "\x16\x03" 501 289 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03\x01" 501 290 "-" "-"
127.0.0.1:80 80.218.18.218 - - [15/Dec/2014:21:56:33 +0100] "\x16\x03" 501 289 "-" "-"

virtual2 · Dec 15, 2014

Mehr gibts nicht?

Daretar · Dec 16, 2014

lustigerweise nicht. Nein. Habe geschaut in access.log (die beinah leer ist)
other_hosts_access (oder so ähnlich ->froxlor)
und syslog

in der syslog habe ich was interessantes gefunden. OSSEC hat ein paar zugriffe gesperrt von einer Seite namens "maximumstresstester.net"

Die Seite und die dazugehörige IP sind aber aktuell offline.

Deleted member 4401 · Dec 16, 2014

Also in dem von dir geposteten Logauszug ist keinerlei DDoS Aktivität ersichtlich.
Aber eine Fehlkonfiguration (oder das OS ist steinalt)...denn Google Crawlern einen 501 zu servieren ist alles andere als normal.

Daretar · Dec 16, 2014

Das OS ist nicht steinalt. Es handelt sich um Debian wheezy.

Der Angriff ist mittlerweile vorbei. Ich wurde gestern Nacht gegen 2 Uhr entsperrt. Was ich sehr merkwürdig finde ist, dass der Angriff ja offensichtlich stattgefunden hat, es aber keine Log Meldungen davon gibt.

Wo kann ich denn da den Fehler vermuten?

ok. Habe nicht mitgedacht. Da läuft ja Froxlor. Der loged nach
/var/customers/logs/*access.log
War dann doch schon spät gestern

virtual2 · Dec 16, 2014

Ist dort nun was zu finden?

Lord Gurke · Dec 16, 2014

Könnten auch SYN-Reflection sein.
Dabei wird mit gespoofeter Source-IP ein TCP-SYN-Paket mit Source-Port 80 an irgendeinen Server im Internet geschickt, der auf das SYN-Paket mit SYN-ACK antwortet. Und weil er keine Antwort bekommt, antwortet er halt mehrfach.
Du erreichst damit keine hohe Bandbreite aber brachiale Paketraten, die im Zweifel ebenfalls den Server unerreichbar machen.
Dein Server erhält nur SYN-ACKs, die er nie angefordert hat. Das wird - wenn überhaupt - irgendwo im Firewall-Log vermerkt. Da aber dadurch keine Verbindung zustande kommt und dein System sich nur über SYN-ACKs wundert, die es nicht zuordnen kann, findest du im Logfile des Webservers eher nichts dazu.

virtual2 · Dec 16, 2014

51kpps ist nicht wirklich brachial, vielmehr Kindergarten - ab 15mpps wirds brachial

Was mich etwas stutzig macht ist die Tatsache, dass je Verbindung bzw. Paket "nur" 1000 Pakete / 40000 Bytes gesendet wurden. Erweckt für mich etwas den Eindruck eines Synfloods oder eben SYN-ACK Flood - könnte aber auch genauso gut HTTP POST Flood sein.

Gewissheit wirst du aber auch erst haben, wenn dir dein Provider (Netcup) einen vollständigen Auszug vom netflow / sflow dump geschickt hat (falls möglich).

Daretar · Dec 17, 2014

Ja da ist schon etwas zu finden, obwohl ich das nicht in Verbindung mit einem Angriff sehen würde.

95.91.228.4 - - [15/Dec/2014:18:32:16 +0100] "GET /favicon.ico HTTP/1.1" 200 11186 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0"
**.**.****.** - - [15/Dec/2014:18:32:16 +0100] "GET /img/back_fb.png HTTP/1.1" 200 17131 "http://eine-seite.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"
95.91.228.4 - - [15/Dec/2014:18:32:16 +0100] "GET /img/xback_fb.png.pagespeed.ic.ERApwVI6od.png HTTP/1.1" 200 17156 "http://eine-seite.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0"
95.91.228.4 - - [15/Dec/2014:18:32:16 +0100] "GET /img/xback.jpg.pagespeed.ic.VAne6EllUs.jpg HTTP/1.1" 200 1198874 "http://eine-seite.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0"
112.111.184.39 - - [15/Dec/2014:18:42:32 +0100] "GET /index.php?site=news_comments&newsID=9&commentspage=160&sorttype=ASC/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:43:38 +0100] "GET /index.php?site=news_comments&newsID=9/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:45:30 +0100] "GET /index.php?site=news_comments&newsID=38/ HTTP/1.1" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:47:10 +0100] "GET /index.php?site=news_comments&newsID=9&commentspage=172&sorttype=ASC/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:48:40 +0100] "GET /index.php?site=news_comments&newsID=34/ HTTP/1.1" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:54:05 +0100] "GET /index.php?site=news_comments&newsID=9&error=captcha/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
98.126.45.138 - - [15/Dec/2014:18:57:04 +0100] "GET /index.php?site=news_comments&newsID=10&lang=uk HTTP/1.1" 404 509 "http://www.eine_seite.com/" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.52 Chrome/28.0.1500.52 Safari/537.36"
98.126.45.138 - - [15/Dec/2014:18:57:05 +0100] "GET / HTTP/1.1" 200 3315 "http://www.eine_seite.com" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/28.0.1500.52 Chrome/28.0.1500.52 Safari/537.36"
112.111.184.39 - - [15/Dec/2014:18:57:51 +0100] "GET /index.php?site=news_comments&newsID=12/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:57:59 +0100] "GET /index.php?site=news_comments&newsID=10/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:58:00 +0100] "GET /index.php?site=clanwars_details&cwID=3/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:18:58:29 +0100] "GET /index.php?site=news_comments&newsID=9&commentspage=159&sorttype=ASC/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:19:00:26 +0100] "GET /index.php?site=news_comments&newsID=11/ HTTP/1.1" 404 506 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
112.111.184.39 - - [15/Dec/2014:19:00:48 +0100] "GET /index.php?site=news_comments&newsID=9/ HTTP/1.1" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; rv:26.0) Gecko/20100101 Firefox/26.0"
**.**.****.** - - [16/Dec/2014:01:29:56 +0100] "GET /favicon.ico HTTP/1.1" 200 11130 "http://eine-seite.com/" "Serf/1.1.0 mod_pagespeed/1.8.31.5-4307"

die geforderten Ressourcen gibt es nicht.

PHP-Friends · Dec 17, 2014

virtual2 said:
Sieht nach Layer7 DDoS, konkret HTTP GET / POST Flood aus.

Nein, überhaupt nicht. Das sind 0815-Attacken mit kleinen Paketen statt großer Bandbreite, ansonsten normaler SYN-Flood. Kann man in der Form auch noch halbwegs gut auf dem Zielsystem in den Griff kriegen - vielleicht nicht mehr unbedingt auf einem vServer, das gebe ich gerne zu.

Da ist direkter Zugriff auf die Netzwerkkarte

und Treiber doch besser.

virtual2 · Dec 17, 2014

Die Erkenntnis nimmst du woher?

Ne mal ernsthaft, ohne Zugriff auf das System während einem Angriff oder eben flow dumps kann man leider nur raten. Dementsprechend leuchtet es auch ein, dass es sich hierbei um HTTP GET / POST Flood handelt.

d4f · Dec 17, 2014

Die Erkenntnis nimmst du woher?

Ich würde mal auf den Fakt tippen dass keine solche Anfragen in den Serverlogs auffindbar zu sein scheinen. Genau das ist aber bei HTTP-Flooding immer der Fall da hier im Gegensatz zu Synflooding oder Slowloris die Verbindungen _gewollt_ zu Ende gebracht werden um den Server zu belasten.
Demnach; HTTP Flooding ist aus zu schliessen. Aus dem Fakt dass das Rechenzentrum überhaupt den Angriff mitbekommen hat auch Slowloris. Es bleibt also mehr oder weniger nur Paket-Flooding wo Syn-Flood die üblichste Methode ist.

virtual2 · Dec 17, 2014

Wir wissen ja nicht, ob es sich hierbei um die vollständigen Logs handelt. Deshalb gehe ich weiterhin davon aus, dass es sich hierbei auch um Applikationsbasierten DDoS, konkret Layer7 DDoS handelt.

d4f · Dec 19, 2014

Bei genauer Betrachtung der Email durch den Anbieter fällt folgendes auf:

Src IP Addrort Dst IP Addrort Proto Packets Bytes
57.232.**.**:34676 -> **.**.***.**:80 TCP 1000 40000

Die durchschnittliche Paketgröße ist also genau 40k/1k = 40Byte. 40 Byte ist auch die minimale TCP-Paketgröße ohne jeglichen Inhalt und Optionen, es kann sich also hierbei ausschliesslich um eine sehr kleine Anzahl von Paketen handeln, generell (Syn)Ack, RST oder FIN. In diesem Szenario ergibt nur SYN-ACK sinn. QED

virtual2 · Dec 19, 2014

Joar, das liegt nahe - darauf hatte ich im ersten Moment nicht geachtet.

Schade dass der Anbieter die TCP Flags nicht collected, somit wäre es auf einen Blick sichtbar ob es sich z.B. wie in dem Fall um Syn-Ack (Reflection) Flood handelt oder eben Applikationsbasierten (Layer7) DDoS, welcher "2014" enorm zugenommen hat

Daretar · Dec 19, 2014

vielen, vielen Dank für Eure Mühe und die Diskussion hier. Echt ein super Forum.

Könnt ihr mir tipps geben, wie ich beim nächsten mal besser Handeln kann, oder habe ich da gar keine Möglichkeiten.

Installiert habe jetzt noch mod_evasive, habe OSSEC besser eingestellt und Fail2Ban richtig konfiguriert.

virtual2 · Dec 19, 2014

Deine Maßnahmen sind gegen Layer4 DDoS nutzlos. Die "bad" Packets bomben dir die virtuelle NIC zu und der Server ist tot. Ich würde mal mit Netcup reden, ob sie nicht ggf. ein Eigeninteresse daran haben derlei DDoS Angriffe künftig besser bzw. sinnvoller zu filtern.

Ansonst -> Next! Es gibt genügend Anbieter die dir für nen Apple und nen Ei DDoS Schutz kostenfrei mit anbieten - manche besser, manche weniger besser.

vb-server · Dec 19, 2014

Apple wird aber teuer

DDoS Verhalten

PHP Entwickler

Registered User

PHP Entwickler

Registered User

PHP Entwickler

Deleted member 4401

Guest

PHP Entwickler

Registered User

Nur echt mit 32 Zähnen

Registered User

PHP Entwickler

Active Member

Registered User

Kaffee? Wo?

Registered User

Kaffee? Wo?

Registered User

PHP Entwickler

Registered User

Registered User

We value your privacy