DOS Attacke - Abwehr kaum noch möglich

#0
24.07.2005, 18:14
...neu hier

Beiträge: 4
#1 Hallo,

wir betreiben eine kleine Online Publikation und präsentieren spiele-news und allgemeines relevantes Branchengeschehen. Anscheinend sind wir dabei irgendjemandem auf den Fuss getreten.
Seit ca. 6 Wochen gehen mittlerweile (leider) tägliche und gezielte DOS Attacken auf unseren Server ein.
Anfangs konnte ich noch mittels dem Befehl "iptables -I INPUT -s 85.***.**.10 -j DROP" diese Attacke fast imemr live abwehren, da ich fast ständig (tagsüber) am Pc sitze und diese eben am Serververhalten erkannte. Mit dem einfachen Befehel "netstat -aptn" können ja alle aktuellen Anfragen an den Server eingesehen werden.
Doch wie schon erwähnt .. anfangs funktionierte das ganze gut, auch wenn es nervig erschien. Jetzt ist es so, dass gespoofte IPs benutzt werden und kaum ist diese mittles IPtybles gedropped verwendet der Angreifer für die nächsten Stunden immer wieder neue gefakte IPs.

Ich habe viel gelesen und konnte bislang auch nirgends wirkliche Hilfe finden. Der Provider des Servers kostete auch nur viel Telefonkosten und gab uns nur simple Anweisungen die schon längst durchprobiert waren.
Nunja, was soll ich sagen - ich bin zutiefst betrübt, denn die jetzige Situation könnte das Ende des Projektes bedeuten, wir sind noch jung und gerade am etablieren. Jede Offltime kostet mühsame Arbeit und erst Recht, wenn Leser dies wiederholt bemerken.
vielleicht hat jemand noch eine rettende Lösung, denn sonst sehe ich schwarz.

Übrigens, der Provider des Server selbst ist Strato (also Freenet -> wurden ja verschlungen die Stratianer).

Gruß
High
Seitenanfang Seitenende
24.07.2005, 19:23
Member
Avatar Xeper

Beiträge: 5291
#2 Dies ist in der Tat sehr ärgerlich, das mit dem dropping funktioniert auch nur bedingt da der Server egal wie auf jedenfall immer antworten muss sprich er muss die Daten verarbeiten.
Der Angreifer wird sich wohl eines ddos nets bedienen, vermutlich ein Verbund von compromised home pc's die sich in ISP public address space befinden.

Schon mal versucht die IP blocks der ISP's von wo der Angreifer aus tätig wird zu blocken?
Vielleicht hilft ja auch so etwas wie Snort falls du das nicht schon im Einsatz hast.
Ansonsten ist es problematisch dagegen vor zu gehen - ich bin mir nicht sicher ob es dafür nicht eine Hardware basierende Lösung gibt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
24.07.2005, 20:24
...neu hier

Themenstarter

Beiträge: 4
#3 Danke für die Antwort!

In der Tat, in den letzten Tagen werden immer ip-ranges eines litauischen ISP benutzt. Mit http://www.fr1.cyberabuse.org/whois/?page=whois_server konnte ich dessen ip-range erfassen (IP range : 85.206.72.0 - 85.206.107.255). Müsste ich aber nochmal nachlesen wie ich ganze Ranges droppe. Problematisch ist es dennoch, denn wie es aussieht sind wirklich mehrere Server/User im Verbund (antworten muss er ja immer unser Server). Deshlab kommt mit jeder gedroppten IP eigentlich eine neue dazu.

Strato hatte vor zwei wochen eine Kundenumfrage gestartet. In dieser wollten sie die notwendigkeit einer hardware-firewall prüfen - damit wären mit sicherheit grössere Probleme (dieser Art) Vergangenheit. Sobald unser Strato Vertrag zu ende ist, werde ich auch zu einem teureren Anbieter für Server wechseln, dort ist diese option dann mit drin (Host Europe)... nur hilft diese idee momentan sehr wenig ;).

wie es aussieht trägt google uns auch schon fleissig aus.
Seitenanfang Seitenende
24.07.2005, 20:27
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

(IP range : 85.206.72.0 - 85.206.107.255)
In diesem Fall: iptables -I -s 85.206.64.0/18 -p icmp -j DROP

Mehr kann ich dazu auch nicht sagen, hoffentlich bewegt sich Strato mal.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
27.07.2005, 11:25
...neu hier

Themenstarter

Beiträge: 4
#5 Danke in jedem Fall für deine Unterstützung. Ich habe jetzt die Staatsanwaltschaft eingeschaltet und der Server Betreiber wird eng mit ihr zusammen arbeiten.

Eine Frage habe ich noch ;)
Gibt es generell einen möglichen Schutz gegen sagen wir mal normale DOS Attacken. Daheim habe ich ja auch einen Router z.B. von Netgear der DOS Attacken standhält ohne mir den Netz-Zugang einzunehmen.
Auf was sollte ich beim kommenden Upgrade achten, wenn wir einen neuen Server (woanders) bestellen? Natürlich auschliesslich in punkto Security.

Danke und Grüße aus dem sonnigen FFM.
Seitenanfang Seitenende
27.07.2005, 12:48
Member
Avatar Dafra

Beiträge: 1122
#6 Zur Sache Router, der Router blockt diese Anfragen, da du ja keinen Port geforwarded hast, um einen Server zu betreiben.
MFG
DAFRA
Seitenanfang Seitenende
02.08.2005, 21:36
...neu hier

Beiträge: 5
#7 Ich möchte mal eine Empfehlung für einen Provider geben: Schau dir mal das Leistungsspectrum von hostnet (www.hostnet.de) an. Wir sind seit 5 Jahren Kunde und sind mehr als zufrieden!

Service ist selbst am Wochenende kein Problem und die Kosten sind auch erträglich (zwar etwas teurer, aber dafür auch um Welten Besser als die Massenhoster). Bei Problemen sind die Mitarbeiter mehr als bemüht einen in allen Belangen zu helfen.

gruß
Micha
Seitenanfang Seitenende
25.08.2005, 20:45
Member

Beiträge: 11
#8 Hallo,

wie ist das jetzt? Geht euer Server down/ist nicht erreichbar durch den (D)DoS oder wie? Sofern er die Pakete einfach nur Dropt sollte er ja nicht allzuviel Rechenleistung brauchen - und von der Anbindung her dürfte Strato ja auch nicht so schlecht sein.

Allerdings machst du, wenn ich es richtig sehe, eher so eine Art Portfilter? (alle Pakete von IP xy dropen?) (sry ich kenne den IPTables-Syntax nicht auswendig, bei uns arbeitet i.d.Regel eine Professionelle Securepoint Firewall).

Ich denke um DoS/DDoS erfolgreich abzuwehren, ist es wichtiger den Angriff (am besten automatisch) zu analysieren/zu erkennen (i.d.regel gibt es ja bestimmte Angriffs-Typen die eine gewissen Charakteristik haben, z.B. falsche Sequenz-Nr., Anzahl der Verbindugen, Offenhalten v. Verbindungen etc.). Professionelle Systeme können das soweit ich weiß (immer?) - ob IPTables da alleine ausreicht weiß ich so auf Anhieb nicht.
Eine (professionelle) Firewall auf einem extra Gerät hat natülich neben mehr Sicherheit auch einen klaren Performance-Vorteil (weil sie ja "nur" filtern muß).

@Micha5555: Ich möchte hier *keine* Empfehlung für einen Provider abgeben ;-) Aber Strato+co eignen sich naturgemäß wenig für ernsthafte Anwendungen, wo man auch auf eine gewisse Flexibilität des Providers angewiesen ist. Viele der etwas kleineren und nicht so bekannten sind da eine bessere Wahl.
__________
NeueMedien.Net - Internet Netzwerke Sicherheit
Seitenanfang Seitenende
02.09.2005, 15:22
Member
Avatar Gool

Beiträge: 4730
#9 Das Problem sind Bot-Netze, die gültige Aufrufe auf Port 80 (http) machen und somit die Verbindung blockieren. Seit Sonntagabend findet ein DDoS gegen mehrere Verbraucherschutzseiten statt (computerbetrug.de, dialerschutz.de, antispam.de), welches über genau ein solches Bot-Netz gesteuert wird.

Die Serveradministratoren kennen sich hier ziemlich gut aus, dennoch waren die Seiten tagelang blockiert und auch heute funktioniert es noch nicht einwandfrei.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende