Antispam u.a. unter Beschuss

Spamgegner schrieb:
Mal eine dumme Frage: Wie blockt man solche Angriffe eigentlich ab?
Zum Vergrößern anklicken....
Es gibt eine Vielzahl von Optionen. Linux zum Bleistift bietet dafür Iptables als Infrastruktur. Man kann bestimmte IPs und Subnetze sperren, man kann bestimmte Protokolle sperren, nach Ports und Inhalten der Pakete filtern...
Siehe hier z.B.
http://www.netfilter.org/documentation/HOWTO/de/packet-filtering-HOWTO-7.html
Das meiste ist aber ähnlich bei anderen OSen möglich.
Ein spannender Text zum Lesen (Englisch!) ist dieses Beispiel:
http://grc.com/dos/grcdos.htm
Zum aktuellen Fall wird es natürlich aus verständlichen Gründen keine Details zu den Abwehrmassnahmen von den Betreibern geben, würde ich mal orakeln.
 
Sirius schrieb:
@antispam
Ihr seid mal wieder nicht erreichbar. Die Schwankungen lassen vermuten, dass es einen gewissen Tagesgang (Fieberkurve) bei der Attacke gibt. Falls möglich, bitte alles für eine spätere Analyse aufzeichen.
Zum Vergrößern anklicken....

@Sirius, ja antispam ist nicht erreichbar - im Moment (Stand 17:33).
Ich habe mir die "Fieberkurve" angesehen. Gleicht wirklich einer Kurve, wie ich sie des öfteren im KH sehe.

Nun aber zum "Pudels Kern": "IP auf [127.*.*.*] setzt (localhost)" und "Dadurch landen die Angriffe der Drohnen auf dem eigenen Rechner". Klingt gut und einfach - theoretisch.
Praktisch ist es wohl weitaus komplizierter, oder irre ich mich da?

Denn Fakt ist, dass nun seit letztem Wochenende (mit kurzen Unterbrechungen) der Beschuss anhällt, und auch (LEIDER) Wirkung zeigt. (antispam/forum)

Fazit also, es ist nicht so ohne weiteres machbar den/die Angreifer zu lokalisieren und gleichzeitig effektiv gegenzuhalten. Heise hat seinerzeit bestimmt alles unternommen, um nicht abgeschossen zu werden. Und doch waren sie 2 Tage kaum am Netz. Dazu noch 10.000,00 € Belohnung! Und...was ist dabei herausgekommen?
 
TSCoreNinja schrieb:
Spamgegner schrieb:
Mal eine dumme Frage: Wie blockt man solche Angriffe eigentlich ab?
Zum Vergrößern anklicken....
Es gibt eine Vielzahl von Optionen. Linux zum Bleistift bietet dafür Iptables als Infrastruktur. Man kann bestimmte IPs und Subnetze sperren, man kann bestimmte Protokolle sperren, nach Ports und Inhalten der Pakete filtern...
Zum Vergrößern anklicken....
Du darfst aber nicht vergessen, dass es hierfür dringend notwendig ist, eine passende Prozessorarchitektur zu haben.
Mit einem Celeron brauchst Du das nicht versuchen...
 
@Sven Udo
Ich habe mir die "Fieberkurve" angesehen. Gleicht wirklich einer Kurve, wie ich sie des öfteren im KH sehe.
Zum Vergrößern anklicken....
Mit Fieberkurve meine ich nicht den Traffic bei velia.net, sondern die Schwankungen in der Stärke des Angriffs. Die kann nur antispam selber ermitteln (Log-Dateien).

IP auf [127.*.*.*] ... Klingt gut und einfach - theoretisch.
Praktisch ist es wohl weitaus komplizierter, oder irre ich mich da?
Zum Vergrößern anklicken....
Das ist ganz einfach, allerdings kann das nur der Provider machen. Dazu wird der DNS-Eintrag geändert.

Sieh dir mal die Datei C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS.SAM an.

Grüße
 
@Sirius, Danke :D !

Wieder was gelernt, um besser zu verstehen, was los ist.
Diese Zusammenhänge ergeben dann ein logisches Bild, für mich.
 
Irgendwie lese ich zwischen den Zeilen, dass die Attacken aus Hochheim stammen? Ist das Fakt oder nur ein Verdacht?
 
Wer weiß wieviel Baustellen die Herren MC & BC noch betreiben. Vielfältig sind die ja wirklich...Aber ob der Grips für das was jetzt abgeht ausreicht, bezweifle ich. Bei genauerem Durchleuchten deren Aktivitäten trifft man immer eine Riesenportion Naivität, gepaart mit [...].

[Bitte die NUBs lesen. (bh)]
 
@Heiko

Danke, dass du während der DDoS-Attacke das Forum am Laufen gehalten hast!

So konnten hier einige eBayer mitlesen, während globyshop an den Start ging.

Sirius
 
Waiser schrieb:
. Bei genauerem Durchleuchten deren Aktivitäten trifft man immer eine Riesenportion Naivität, gepaart mit [...].

[Bitte die NUBs lesen. (bh)]
Zum Vergrößern anklicken....
Ich bedauere es ungemein, daß man nur die "...." hier stehen lassen darf.
Mir würden da eine ganze Menge Worte einfallen. ;)
 
archive.org

Also, machmal ruckelt's beim Aufruf von http://forum.computerbetrug.de noch gewaltig (so gerade eben, und vor ca. 5 Minuten).

Sirius schrieb:
@Heiko
Danke, dass du während der DDoS-Attacke das Forum am Laufen gehalten hast!
Zum Vergrößern anklicken....
Dem schließe ich mich an! :thumb:

Eigentlich wollte ich etwas ganz anderes posten, nämlich:

Gerade wieder ist http://www.archive.org nicht zu erreichen :evil: - wie auch in den vergangenen Tagen.

Sind die auch Opfer von Attacken? Hat das andere Gründe?
 
Die SQL-Fehlermeldungen liegen an der Netzanbindung zwischen Datenbankserver und Webserver. Da habe ich keinen Einfluß drauf.
Aber auch diese bitte beobachten.
 
Heiko schrieb:
Die SQL-Fehlermeldungen liegen an der Netzanbindung zwischen Datenbankserver und Webserver. Da habe ich keinen Einfluß drauf.
Aber auch diese bitte beobachten.
Zum Vergrößern anklicken....

Wird gemacht.

MfG
L.

Nachtrag: Ich habe jetzt gelegentlich aufbauzeiten von 15-30 sec, aber nicht jedes mal.
 
"Hänger"

Heiko schrieb:
Bitte beobachten!
Zum Vergrößern anklicken....
Kurz nach Mitternacht gab's wieder einen ca. zehnminütigen "Hänger".

Schön finde ich übrigens, dass man nach zeitweiligem Nichterreichen des Forums weiterhin eingelogged bleibt und man, weil die Ergebnisse unter http://forum.computerbetrug.de/search.php?search_id=newposts erhalten bleiben, chronologisch da weiterlesen kann, wo man wegen des "Zwischenfalles" plötzlich aufhören musste. :bussi:
 
Zurück
Oben