Donnerstag, 12. Februar 2009
Angriff auf unser Rechenzentrum (2)
Gestern war es mal wieder soweit. Irgendwelches Internet-Ungeziefer hat unser Rechenzentrum angegriffen. Eigentlich in der Rechenzentrums-Praxis nichts Ungewöhnliches, nur die Dimension ist der Grund dafür, dass ich es blogge.
Für alle Technik-Interessierten: Es handelte sich um einen dDoS-Angriff mit Paketraten von zeitweise mehr als einer halben Million Pakete pro Sekunde von einzelnen Angreifern aus.
Für alle Technik-Interessierten: Es handelte sich um einen dDoS-Angriff mit Paketraten von zeitweise mehr als einer halben Million Pakete pro Sekunde von einzelnen Angreifern aus.
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Was erhofft sich der Angreifer davon?
Ich sehe irgendwie kein Scenario, in dem der Angreifer irgendwas zu gewinnen hätte.
Ich sehe irgendwie kein Scenario, in dem der Angreifer irgendwas zu gewinnen hätte.
Es muss ja kein gewinn für den Angreiffer rausspringen. Reine Zerstörungswut gibt es doch oft genug. Sei es aus Rache, aus Neid oder auch aus Langeweile.
Allerdings kann so nen ddos-Angriff dem Ruf des Hosters schaden (zumindest wenns häufiger vorkommt) und die Kunden wandern zu den Mitbewerbern ab. Von denen ja möglicherweise irgendwer hiinder dem Angriff stecken könnte. Somit wäre ein Gewinn da...
Allerdings kann so nen ddos-Angriff dem Ruf des Hosters schaden (zumindest wenns häufiger vorkommt) und die Kunden wandern zu den Mitbewerbern ab. Von denen ja möglicherweise irgendwer hiinder dem Angriff stecken könnte. Somit wäre ein Gewinn da...
Hinter solchen Angriffen steckt oft auch schlicht Erpressung. Kurz vor der Fußball-EM 2004 zum Beispiel bekamen einige Online-Wettbüros Mails nach dem Motto, entweder Ihr zahlt 15.000 Euro oder wir ballern Eure Server so zu, dass Ihr de facto vom Netz seid. Im letzten Jahr wurde gemeldet, dass diese Art von Cyberkriminalität in Japan besonders häufig vorkommt. Und erst Ende Januar 2009 war die britische Digital TV-Site Techwatch durch einen solchen Erpressungsversuch zwei Tage offline.
Das Ganze geht auch im kleineren Maßstab. Dabei werden beispielsweise E-Mailkonten bei Freemailern gehackt und schlicht das Passwort geändert. Wenn man 50 Euro bezahlt, bekommt man seine Mails wieder. Oder die Cracker nutzen Sicherheitslücken auf einem Rechner, verschlüsseln die Daten auf der Festplatte, und nur gegen Zahlemann und Söhne verraten sie, wieder man die Daten wieder entschlüsseln kann...
Den klassischen Cracker, der "nur spielen" oder "nur" etwas kaputtmachen will, gibt es heute kaum noch. Sicherheitsexperten gehen davon aus, dass heute praktisch immer irgendein anderer Zweck dahinter steckt: Kriminalität, politische Propaganda oder sonst etwas.
Das Ganze geht auch im kleineren Maßstab. Dabei werden beispielsweise E-Mailkonten bei Freemailern gehackt und schlicht das Passwort geändert. Wenn man 50 Euro bezahlt, bekommt man seine Mails wieder. Oder die Cracker nutzen Sicherheitslücken auf einem Rechner, verschlüsseln die Daten auf der Festplatte, und nur gegen Zahlemann und Söhne verraten sie, wieder man die Daten wieder entschlüsseln kann...
Den klassischen Cracker, der "nur spielen" oder "nur" etwas kaputtmachen will, gibt es heute kaum noch. Sicherheitsexperten gehen davon aus, dass heute praktisch immer irgendein anderer Zweck dahinter steckt: Kriminalität, politische Propaganda oder sonst etwas.
Wenn vielleicht etwas Zeit übrig ist wären Details zur Gegenwehr klasse 
ich tippe mal auf blackhole-communities bei den upstreams auf die größten schleuder-netze setzen und der rest ist firewalling oder einfach aussitzen
Primär: Hier Pakete auf beiden zentralen Routern wegwerfen, und beiden Upstream-Providern nullrouten, und dann noch den Provider des Absender informieren.
.... aus welchem Land kamen die Upstream-Provider? Schon witzig, man fragt sich nach der Motivation. Reines "schau mal was ich kann?" .. vielleicht auch Leute die nicht von der Homepage abschreiben dürfen 
USA? Dann ists ja klar, dahinter steckt die CIA weil ihr Ökostrom verwendet, und die natürlich die fossilen Energien im Markt halten wollen.
Ansonsten ist ja auch immer die Frage ob die nicht vielleicht nur ein einzelnes Angebot treffen wollen was eben von eurem RZ geliefert wird...
Ansonsten ist ja auch immer die Frage ob die nicht vielleicht nur ein einzelnes Angebot treffen wollen was eben von eurem RZ geliefert wird...
Ein klares Zeichen, dass die Spam-Blacklist wirksamer ist als es einigen lieb ist. Ich nehme mal an, dass du dich von sowas zum Glück nicht abschrecken lässt, sondern höchstens bestätigt fühlst. Weiter so!
Wobei mich arg wundert, dass es einzelne, große Angreifer sind, normalerweise nehmen die Spammer doch ihre Botnets dafür.
Überlasten diese Angriffe eigentlich die dicke Leitung zum Internet oder eher die Firewall, die den Kram entsorgen darf?
Wobei mich arg wundert, dass es einzelne, große Angreifer sind, normalerweise nehmen die Spammer doch ihre Botnets dafür.
Überlasten diese Angriffe eigentlich die dicke Leitung zum Internet oder eher die Firewall, die den Kram entsorgen darf?
Was für Pakete waren das denn?
Ihr habt nicht zufällig nen kleines pcap-File Sample?
Mich würden die payloads echt mal interessieren!
Hintergrund: Ich werde mit DNS-Anfragen von einzelnen IP's 'überhäuft', die mehrmals pro Sekunde einfach nur den NS-Record abfragen [nein, das ist noch lange kein DOS, aber nervig in den Logs/Statistiken] und von einigen Rechenzentren habe ich samples nicht recht zuzuordnender UDP-Pakete erhalten, die an nicht genutzte IP-Adressen dort gehen und in der payload die Zieladresse und einige statische Anteile enthalten...
Ihr habt nicht zufällig nen kleines pcap-File Sample?
Mich würden die payloads echt mal interessieren!
Hintergrund: Ich werde mit DNS-Anfragen von einzelnen IP's 'überhäuft', die mehrmals pro Sekunde einfach nur den NS-Record abfragen [nein, das ist noch lange kein DOS, aber nervig in den Logs/Statistiken] und von einigen Rechenzentren habe ich samples nicht recht zuzuordnender UDP-Pakete erhalten, die an nicht genutzte IP-Adressen dort gehen und in der payload die Zieladresse und einige statische Anteile enthalten...
Meinst du das hier: http://isc.sans.org/diary.html?storyid=5713&rss
eehm - und tausend Dank!
Einer meiner Server hat trotz identischer Konfig im Gegensatz zu den anderen geantwortet!
Einer meiner Server hat trotz identischer Konfig im Gegensatz zu den anderen geantwortet!
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Fr, 25.05.2012 19:46
Arbeit anderer 1:1 kopieren !=
dem was die Patenttrolle mome
ntan veranstalten.
Fr, 25.05.2012 18:54
Naja ne AGB ist ja auch schnel
l geschrieben, aber kaum wird
sie kopiert ist das geschrei g
roß
Do, 24.05.2012 21:20
Ich finde es nicht verwerflich
euch danach zu fragen.
Ihr h
abt halt einen super support!
Ich finde die Frage nic [...]
Do, 24.05.2012 20:37
Ich wuerde da weniger auf eine
n "Gesellen" im Browser tippen
, sondern eher auf ein gehackt
es Script auf seiner Web [...]
Do, 24.05.2012 19:14
Och,
ich empfinde das noch al
s relativ neutral. Und so frag
t er halt einfach nach bei dir
.
Do, 24.05.2012 17:34
Da halte ich mit Wellensittich
und "Hansi" dagegen
Do, 24.05.2012 15:49
"Man" aka Kunde/Kundin muss mi
t der Frage nur kreativ genug
umgehen, dann bietet die reich
lich Variationsmöglichke [...]
Do, 24.05.2012 15:06
Deshalb benutze ich bei solche
n Fragen als Antowrt immer die
Namen von hochwertigen Lebens
mitteln wie Schweinskopf [...]
