DoS mal wieder - DoS "Arnold"
- Ersteller Heiko
- Erstellt am
- Status
Antispam
Frisch registriert
In spätestens 30 Minuten sollte Antispam.de wieder online sein.
Der Grund, wieso das alles jetzt etwas länger gedauert hat, liegt auch darin, daß wir derzeit an einer Lösung arbeiten, die um viele Potenzen ausfallsicherer sein wird, als die derzeitige.
Also, danke für das Asyl.
Der Grund, wieso das alles jetzt etwas länger gedauert hat, liegt auch darin, daß wir derzeit an einer Lösung arbeiten, die um viele Potenzen ausfallsicherer sein wird, als die derzeitige.
Also, danke für das Asyl.
Nein, hat er nicht.Stalker2002 schrieb:
Ich bin auch weit davon entfernt, Eure Gegenmaßnahmen kritisieren zu wollen (um das mal klar auszudrücken). Dass wir noch da sind ist zumindest zu einem gewissen Teil auch Glückssache.
Was da vermutlich falsch rüberkam ist das: ich meinte "den Server durch einen administrativen Eingriff über DNS-Auflösung für die Angreifer nicht erreichbar machen". Das sollte kein Seitenhieb auf einen Admin sein, der sich aussperrt, sondern auf den Versuch hindeuten, die Angreifer durch einen administrativen Eingriff auszusperren. Ich denke, das wird jetzt klarer.
Hat aber auch was von Suizid: wenn die Angreifer nicht rankommen, kommen die User auch nicht ran. Das ist die Gratwanderung bei der DoS-Bekämpfung...
Telekomunikacja
Frisch registriert
's geht!Antispam schrieb:
Ich habe mir die Listen von Gulli noch nicht näher angeschaut. Bei uns kann ich jedenfalls sagen, dass viele der Angreifer aus 24/8, 4/8 und 201.255.0/17 kamen. Durchweg keine deutschen Netze. Auch 200/8 war recht gut vertreten.OskarMaria schrieb:
Ich habe nie gesagt, dass es die gleichen Drohnen waren, die angegriffen haben (obwohl das zumindest teilweise so sein kann). Die Angriffsmuster waren aber (bis auf den SYN-Flood) identisch.
Bei allen Angriffen, die uns bislang heimsuchten, waren übrigens Asien, Südamerika und der "echte" Osten jeweils sehr stark vertreten.
Das Glück des Tüchtigen, nehme ich an.Heiko schrieb:
Das der Server erreichbar blieb, dürfte den/die Angreifer ziemlich geärgert haben. Wenn man das kann, so ist das natürlich super und als Signal "so leicht machen wir es euch nicht" geradezu perfekt. Im Endeffekt wäre aber auch nichts gewonnen, wenn sämtliche angegriffenen Seiten vom Netz gemusst hätten. Von Dauer wäre das kaum gewesen und wem in der Situation die Sympathie der Netznutzer gilt, ist wohl kaum fraglich. Hier entsteht ja kein wirtschaftlicher Schaden durch Ausfall, wie z. B. bei Handelsplattformen. Der Schaden durch den Traffic ist natürlich da. Bei einem solchen Fall gelang es ja den Verursacher festzustellen und in Regress zu nehmen. Ich glaube nicht, dass der das wiederholt hat, würde mich aber ungemein freuen, wenn man den/die Typen für den aktuellen Fall erwischen kann. Gibt es Chancen dazu?Heiko schrieb:
M. Boettcher
drboe schrieb:
Das aus Deinem Mund? Ich bin erstaunt 
Im Ernst: sicher steckt auch Arbeit dahinter, es gehört aber auch Glück dazu, zum richtigen Zeitpunkt mit den richtigen Leuten zusammenarbeiten zu können. Von zwei Jahren war es Ivan (der den ersten Wrapper geschrieben hat), heute die Leute von gulli.
Chancen gibt es immer.drboe schrieb:
Wie hoch die ist vermag ich nicht zu beurteilen.
trekkie
Frisch registriert
drboe schrieb:
Seitdem es Root-Server mit "unlimited traffic" gibt, hält sich das auch in Grenzen...
Bevor jetzt einer nörgelt: Ich weiß auch, daß "unlimited" bei 1&1 noch einen Haken hat (die 10MBit ab 1000MB, die man manuell wieder umstellen muß), aber zumindest erzeugt der Traffic keine Zusatzkosten mehr
Sag mal, was schreibst Du eigentlich für einen Quark? Ich meine speziell den Bericht auf Deiner Website.OskarMaria schrieb:
Du meinst, dass man viele der Sperreinträge aus der Zählung streichen muß, weil es Dial-In-Accounts sind.
Wenn wir innerhalb von nicht mal einer Stunde mehrere tausend Rechner (ca. 1.000 in der ersten Minute) in der Sperrliste haben, wieviele davon werden sich wohl in dieser Zeit neu eingewählt haben? Die meisten sind Breitbandanschlüsse, die statistisch mind. 12 Stunden (halber Zwangstrennungsintervall) mit der gleichen IP weiterarbeiten.
Weiter: die Anfragen waren größtenteils nicht mal dafür ausgelegt, Seiten zu generieren. Die gingen direkt auf die IP ohne eine bestimmte Seite aufzurufen. Wir hatten schon Anfragen, die die Skriptengine überlasten sollten. Die riefen aber z.B. bestimmte Forenseiten auf um möglichst viel Last zu erzeugen.
Die anfragenden Rechner bekamen übrigens eine statische Seite ausgeliefert: eine Fehlerseite mit dem HTTP-Fehler 500.
Ich habe hier eine Sperrliste mit deutlich mehr als 10.000 Einträgen vorliegen. Woher nimmst Du die Gewissheit, dass die Zahl der Angreifer "wesentlich geringer" gewesen sein dürfte?
Dann der SYN-Flood mit mehreren zehntausend Paketen pro Sekunde. Den haben wohl fünf C64 mit selbstgelöteter Netzwerkkarte produziert, oder?
Sorry, aber was Du schreibst entbehrt jeder Logik. Du hattest die wirklich relevanten Infos nicht mal (oder hat dir jemand entsprechende Logauszüge zur Verfügung gestellt?). Es wirkt irgendwie, als ob Du einfach auf Konfrontation zur Berichterstattung gehen wolltest. Quasi gegen den Strom schwimmen ob es sinnvoll ist oder nicht.
Da hatte ich irgendwie mehr Sachverstand von Dir erwartet.
OskarMaria
Frisch registriert
Hallo Heiko - ich habe keine Lust mich mit Dir über dieses Thema zu streiten. Das würde auf einen fehlgeleiteten Konflikt hinaus laufen. Doch was ich geschrieben habe, basiert auf nachprüfbaren Fakten - nämlich den detaillierten Veröffentlichungen der Firma, die die Gulli-Server administriert. Danach lassen sich verschiedene Behauptungen in der Presseerklärung von Gulli eben nicht belegen:
- Der Schwerpunkt der Angreifer kam nicht aus dem Osten.
- Es wurden knapp 5000 IPs über die gesamte Zeit gelistet.
Da ich keine Daten von hier hatte, habe ich dazu auch nichts gesagt. Ich persönlich finde diese Resultate durchaus interessant. Zum Beispiel dass die größte Anzahl der IPs aus Deutschland kommt und damit auf einen hiesigen kriminellen Vorgang schließen lässt. Ebenso wie die Tatsache, dass nur ein kleineres Botnetz verwendet wurde, was einen Rachefeldzug wahrscheinlich macht.
Noch immer offen ist meine Frage nach dem Wurm/Virus, der die Attacke ausgelöst hat. Immerhin findet man zwischen den deutschen IPs einige statische, so dass man versuchen könnte, die befallenen Rechner aufzuspüren. Und nachzuprüfen, welche IPs von den Schädlingen abgefragt werden, um ihre Befehle entgegen zu nehmen. Damit würde man sich den Auftraggebern doch nähern können.
Gruß OskarMaria
- Der Schwerpunkt der Angreifer kam nicht aus dem Osten.
- Es wurden knapp 5000 IPs über die gesamte Zeit gelistet.
Da ich keine Daten von hier hatte, habe ich dazu auch nichts gesagt. Ich persönlich finde diese Resultate durchaus interessant. Zum Beispiel dass die größte Anzahl der IPs aus Deutschland kommt und damit auf einen hiesigen kriminellen Vorgang schließen lässt. Ebenso wie die Tatsache, dass nur ein kleineres Botnetz verwendet wurde, was einen Rachefeldzug wahrscheinlich macht.
Noch immer offen ist meine Frage nach dem Wurm/Virus, der die Attacke ausgelöst hat. Immerhin findet man zwischen den deutschen IPs einige statische, so dass man versuchen könnte, die befallenen Rechner aufzuspüren. Und nachzuprüfen, welche IPs von den Schädlingen abgefragt werden, um ihre Befehle entgegen zu nehmen. Damit würde man sich den Auftraggebern doch nähern können.
Gruß OskarMaria
Rex Cramer
Mitglied
Alleine die aufgezählten "Fakten" in Deinem Bericht verwandeln ihn in Müll. Wenn Du tatsächlich eine Stichprobe von 100 aus einer IP-Liste von 5000 Adressen überprüfen konntest und dabei auf 60 IPs aus Deutschland gestoßen bist, dann kannst Du gerade mal zu 1,2% der gesamten Liste eine sichere Aussage treffen. Insofern disqualifiziert sich Dein Bericht hier bereits selbst.
Über den Rest Deiner absurden Thesen muss man dann gar nicht mehr diskutieren, denke ich...
Über den Rest Deiner absurden Thesen muss man dann gar nicht mehr diskutieren, denke ich...
Ich möchte mit Dir auch nicht streiten. Ich gebe jedoch offen zu, dass ich mich über Deinen Bericht geärgert habe. Ich hatte von Dir eigentlich nicht den Eindruck, dass Du derart vorschnell und ohne alle Fakten zu kennen, einen solchen Bericht schreibst.OskarMaria schrieb:
Du hattest weder in meine Blacklist Einblick, noch sonstige Infos, die über das (bewußt) eher allgemeine Blabla im Forum hinausgehen. Mir geht es in der Tat nicht ums Streiten, ich hätte mir das nur etwas fundierter gewünscht. Letztendlich sind einige schlicht falsche Fakten drin was nicht hätte sein müssen.
Vor allem hast Du IMHO übersehen, dass während ein DoS läuft die Hauptpriorität nicht auf einer bis ins kleinste exakten Pressearbeit liegt. In unserem Fall hat den Pressebericht Sascha geschrieben, der zwar ein guter Journalist ist, die technischen Zusammenhänge aber nur kurz zwischen zwei Änderungen geschildert bekommen hat. Dafür war der Artikel wirklich gut, wenn auch nicht exakt bis in die Kommastelle.
Dafür, dass Du dazu nichts gesagt hast, hast Du aber schon irgendwie alles in einen Topf geworfen.OskarMaria schrieb:
Zum Botnet: wir haben schon Angriffe gehabt, die ca. 2.000 - 3.000 Angreifer boten. Das ist tatsächlich ein kleineres Botnet, kann aber schon erhebliche Schwierigkeiten verursachen. Bei dem letzen DoS wurden hier innerhalb kürzester Zeit deutlich über 10k Rechner gesperrt. "Klein" ist das für mich nicht mehr.
Das läuft bereits, breittreten möchte ich das hier aber nicht. Das verstehst Du sicher. Konkret stellt sich aber die Frage nach der Kooperation der Hoster/Provider. Da hängts nämlich gewaltig.OskarMaria schrieb:
Dieser Vorwurf fällt diesbezüglich auf Dich selbst zurück. In der Tat kann er nach den obigen Zahlen für mindestens 2% aller Quellen eine sichere Aussage treffen, wenn er in einer Stichprobe von 100 das Merkmal 60 mal antrifft (1,2% aus DE, 0,8% nicht). Und zwar, weil er die Zahl ja bereits gemessen hat. Weniger werden es sicher auch bei weiterer Betrachtung nicht. Eine Stichprobe läßt nun aber durchaus eine (natürlich fehlerbehaftete) Aussage zur gesamten Menge zu. Unterstellt, dass die 100 IP-Adresse tatsächlich völlig zufällig aus der Gesamtheit gewählt wurden, kann er einen Anteil von mehr als 50% aus DE durchaus abschätzen.Rex Cramer schrieb:
M. Boettcher
A
Anonymous
Du setzt Deine Prämissen falsch.drboe schrieb:
Sicherlich kann er zu dem Ergebnis kommen. Allerdings sollte er dann nicht unterstellen, dass seines im Rahmen der möglichen Genauigkeit aufgrund der wenigen Daten, die ihm vorliegen, der Gulli-Berichterstattung entgegensteht. Eben so, wie Du aus den (vermutlich) richtigen Fakten die falschen Schlüsse ziehst, hat es OscarMaria auch getan.
So, damit wir nicht mehr leer rumdiskutieren müssen: hier ist eine erste schnelle Auswertung der Angreifer.
Das ist jetzt keine ausgetüftelte Hostname-Auswertung, sondern mal in einer Zeile quick&dirty hingestrickt.
Und: es fehlen ca. 1.600 Rechner, deren Hostname nicht aufgelöst werden konnte. Die hab ich der Einfachheit halber mal weggelassen.
Und2: ich habe mehrere Netze der Art x/8 gesperrt. Die stehen dann naturgemäß auch nicht in der Liste.
Das ist jetzt keine ausgetüftelte Hostname-Auswertung, sondern mal in einer Zeile quick&dirty hingestrickt.
Und: es fehlen ca. 1.600 Rechner, deren Hostname nicht aufgelöst werden konnte. Die hab ich der Einfachheit halber mal weggelassen.
Und2: ich habe mehrere Netze der Art x/8 gesperrt. Die stehen dann naturgemäß auch nicht in der Liste.
- Status