Webtropia / MyLoc wegen DDoS Down?

Eve

Eve

New Member
Guten abend,

Seit nun Mehren Monaten ist mein und der Server eines Bekannten immer wieder für für 5-10 Minuten Offline Heute ganze Zwei mal. Laut Support sind es immer DDoS Angriffe auf das Backbone und das ganze Sortiment sei Betroffen vor einer woche hat der Support mir gesagt das sie nun Hardware Firewalls einsetzen und den Müll zu Filtern und Heute Morgen und um 18 Uhr waren Unsere Server wieder Down das ZKM Und die Webtropia Seite auch...

Habt ihr die Probleme auch?

Eventuell kann man sich ja Zusammen an Webtropia wenden meine Bitten das Problem nun endlich mal in den Griff zu bekommen haben leider nicht's bewirkt. Zumal ich sehr stark dran Zweifel das Jemand über 170 Gigabit Anbindung verfügt um ganz myLoc Down zu legen...

LG Eve
 
Hmm, ich frage mich wieviele Kunden davon betroffen sind dass der ganze IP-Block nicht mehr extern geroutet zu werden scheint. Jemand Details?
 
Details keine, ich bin nur erstaunt wie krass in letzter Zeit gegen Gameserverprovider gefeuert wird. Gerüchte streuen sich, wer wen angegriffen haben könnte. Ich bin so langsam der Meinung, dass es von Leuten in Auftrag gegeben worden ist, die keine Geschäfte in D tätigen. Zur Zeit wird ja alles angegriffen, was Rang und Namen hat. Ich bin mal gespannt, wer als nächtes dran glauben muss.
 
Bei uns das selbe Spiel. Immernoch nichts verfügbar und 70.000 User fragen sich was da los ist. Irgendwer Neuigkeiten?
 
WTF? Immer noch?
Der Angriff muss Geld gekostet haben, falls es überhaupt einer ist.
 
Bei einer Amplifikation von 1-zu-10 muss der Angreifer für dns-amplified 5Gbit/s haben. So teuer ist das nicht mal soweit ich weiss, ich denke die meisten hier im Forum könnten dies finanzieren.
 
d4f said:
Bei einer Amplifikation von 1-zu-10 muss der Angreifer für dns-amplified 5Gbit/s haben.
Click to expand...
Bei einer richtigen DNS Amplification bekam ich damals mit 70Mbps ganze 160Gbps zusammen, dann ist das Honeypot-Netz offline gegangen :D

Von daher: Ich starte gerade ein Projekt, das gegen offene Resolver vorgehen soll. Inzwischen habe ich schon 185000 offene Resolver gefunden, Tendenz steigend:

http://munin.dlserver.eu/dlserver.eu/fwd1.dlserver.eu/openres.html
Benutzer: munin
Passwort: qetuo123
 
Wieso das? Geht dein Projekt auch gegen den Googledns vor? Viel Erfolg.
 
DeaD_EyE said:
Geht dein Projekt auch gegen den Googledns vor?
Click to expand...
Nein, das nicht. Wir zählen nur Open-Resolver, die auf 20 Anfragen in der Sekunde oder 600 Anfragen in der Minute richtig beantworten... Richtige Open-Resolver, die auch den Zweck haben, Open-Resolver zu sein, haben eine Limitierung pro IP-Adresse oder eben andere Filtermethoden.
 
Mr.Check said:
Faktor 2.285..? Wie...? :D
Click to expand...

Ein ANY-Query auf eine Domain (natürlich eine Domain von mir), die ein paar MX, ein paar A, ein paar CNAME, usw. Einträge besessen hat und man schafft mit einem simplen "ANY? <domain>" einen Faktor von 2k, das ist richtig ;-)
 
Fusl said:
Ein ANY-Query auf eine Domain (natürlich eine Domain von mir), die ein paar MX, ein paar A, ein paar CNAME, usw. Einträge besessen hat und man schafft mit einem simplen "ANY? <domain>" einen Faktor von 2k, das ist richtig ;-)
Click to expand...

Bei 30 Byte Anfrage wären das 68.500 Byte Response.. UDP.... SICHER? :D

Der Angriff auf Spamhaus neulich hat einen Amp-Faktor von 100 gehabt. Wenn es so einfach wäre das 20-fache rauszuholen, hätte man es wahrscheinlich gemacht.
 
Nein, das nicht. Wir zählen nur Open-Resolver, die auf 20 Anfragen in der Sekunde oder 600 Anfragen in der Minute richtig beantworten...
Click to expand...
Ein einziger Browser kann das Limit auf dem Resolver locker um das Mehrfache überschreiten, zB wenn viele externe Bilder oder andere Medien eingebunden werden. Ausserdem löst zB Google Chrome beim Eintippen schon auf wodurch du dann noch so einige Anfragen zusätzlich kriegst.
Andere Programme auf dem Rechner nicht mitgezählt...
So einfach wie du hoffst ist das Ganze gar nicht...


Bei einer richtigen DNS Amplification bekam ich damals mit 70Mbps ganze 160Gbps zusammen, dann ist das Honeypot-Netz offline gegangen
Click to expand...
Ich würde dir empfehlen die fehlende Information "im lokalen Testnetz" bei zu fügen, ansonsten hast du Carrier und Exchanges mit Computersabotagen zu überlasten versucht was nach deutschem Recht illegal ist und eine mit Gefängnis geahndete Straftat darstellt. Aber so naiv sowas zu tun bist du ja nicht.
 
d4f said:
Ich würde dir empfehlen die fehlende Information "im lokalen Testnetz" bei zu fügen, ansonsten hast du Carrier und Exchanges mit Computersabotagen zu überlasten versucht was nach deutschem Recht illegal ist und eine mit Gefängnis geahndete Straftat darstellt. Aber so naiv sowas zu tun bist du ja nicht.
Click to expand...
Nein, ist es nicht, da der Test mit dem ISP abgesprochen wurde.
 
Fusl said:
Wir zählen nur Open-Resolver, die auf 20 Anfragen in der Sekunde oder 600 Anfragen in der Minute richtig beantworten...
Richtige Open-Resolver, die auch den Zweck haben, Open-Resolver zu sein, haben eine Limitierung pro IP-Adresse oder eben andere Filtermethoden.
Click to expand...

Wer sagt das ?
BTW. konnte ich das bei meinen Tests nicht verifizieren.
 
Google liefert auch nach
50 Anfragen/sec
bzw.
1000 Anfrage / in 23 sec
noch korrekte Ergebnisse.
(Egal ob die Abfragen auf Reale oder NX Domains gehen)

Ich vertstehe worauf du hinauswillst allerdings ist das imho mit einer X Anfragen/Y Sekunden Regel nicht realisierbar.
 
Wenn man davon ausgeht dass jeder clientseitige Resolver auch TCP spricht (ist nicht Bestandteil des DNS-RFC sondern eine Erweiterung) kann man nach X Anfragen / Y Sekunden blockieren und auf TCP umspringen.

Allerdings müsste das Limit für UDP _sehr_ niedrig gewählt sein, denn ein Botnetz greift bekanntlich nicht nur 1 Ziel an, wenn es nun paar hundert Ziele gleichzeitig angreift -entsprechend viele verfügbare Zombies und Resolver vorausgesetzt- wäre dies trotzdem realisierbar. Hier müssten noch Langzeit-Filter, Pattern Detectors, usw eingebaut werden.
Google verwendet für Vieles neuronale Netzwerke, würde mich nicht wundern wenn die auch dafür eins oder mehrere trainiert haben. Der 0815 Sysadmin kann das natürlich nicht "mal schnell" entwickeln. Evtl könnte man aber einen Bayes drauf trainieren...
 
You must log in or register to reply here.
Back
Top