Angriff auf unser Rechenzentrum (2)

Donnerstag, 12. Februar 2009, 10:36

Angriff auf unser Rechenzentrum (2)

Gestern war es mal wieder soweit. Irgendwelches Internet-Ungeziefer hat unser Rechenzentrum angegriffen. Eigentlich in der Rechenzentrums-Praxis nichts Ungewöhnliches, nur die Dimension ist der Grund dafür, dass ich es blogge.

Für alle Technik-Interessierten: Es handelte sich um einen dDoS-Angriff mit Paketraten von zeitweise mehr als einer halben Million Pakete pro Sekunde von einzelnen Angreifern aus.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Alphager

Was erhofft sich der Angreifer davon?
Ich sehe irgendwie kein Scenario, in dem der Angreifer irgendwas zu gewinnen hätte.

Ole

Es muss ja kein gewinn für den Angreiffer rausspringen. Reine Zerstörungswut gibt es doch oft genug. Sei es aus Rache, aus Neid oder auch aus Langeweile.

Allerdings kann so nen ddos-Angriff dem Ruf des Hosters schaden (zumindest wenns häufiger vorkommt) und die Kunden wandern zu den Mitbewerbern ab. Von denen ja möglicherweise irgendwer hiinder dem Angriff stecken könnte. Somit wäre ein Gewinn da...

Henning Kockerbeck

Hinter solchen Angriffen steckt oft auch schlicht Erpressung. Kurz vor der Fußball-EM 2004 zum Beispiel bekamen einige Online-Wettbüros Mails nach dem Motto, entweder Ihr zahlt 15.000 Euro oder wir ballern Eure Server so zu, dass Ihr de facto vom Netz seid. Im letzten Jahr wurde gemeldet, dass diese Art von Cyberkriminalität in Japan besonders häufig vorkommt. Und erst Ende Januar 2009 war die britische Digital TV-Site Techwatch durch einen solchen Erpressungsversuch zwei Tage offline.

Das Ganze geht auch im kleineren Maßstab. Dabei werden beispielsweise E-Mailkonten bei Freemailern gehackt und schlicht das Passwort geändert. Wenn man 50 Euro bezahlt, bekommt man seine Mails wieder. Oder die Cracker nutzen Sicherheitslücken auf einem Rechner, verschlüsseln die Daten auf der Festplatte, und nur gegen Zahlemann und Söhne verraten sie, wieder man die Daten wieder entschlüsseln kann...

Den klassischen Cracker, der "nur spielen" oder "nur" etwas kaputtmachen will, gibt es heute kaum noch. Sicherheitsexperten gehen davon aus, dass heute praktisch immer irgendein anderer Zweck dahinter steckt: Kriminalität, politische Propaganda oder sonst etwas.

Richard

Wenn vielleicht etwas Zeit übrig ist wären Details zur Gegenwehr klasse

tobi

ich tippe mal auf blackhole-communities bei den upstreams auf die größten schleuder-netze setzen und der rest ist firewalling oder einfach aussitzen

Manuel Schmitt (manitu)

Primär: Hier Pakete auf beiden zentralen Routern wegwerfen, und beiden Upstream-Providern nullrouten, und dann noch den Provider des Absender informieren.

Richard

.... aus welchem Land kamen die Upstream-Provider? Schon witzig, man fragt sich nach der Motivation. Reines "schau mal was ich kann?" .. vielleicht auch Leute die nicht von der Homepage abschreiben dürfen

Manuel Schmitt (manitu)

Primär USA

jr

USA? Dann ists ja klar, dahinter steckt die CIA weil ihr Ökostrom verwendet, und die natürlich die fossilen Energien im Markt halten wollen.
Ansonsten ist ja auch immer die Frage ob die nicht vielleicht nur ein einzelnes Angebot treffen wollen was eben von eurem RZ geliefert wird...

Nogger

Ach - dann ist die Seite von Schalke 04 bei euch gehostet.

Jan Schejbal

Ein klares Zeichen, dass die Spam-Blacklist wirksamer ist als es einigen lieb ist. Ich nehme mal an, dass du dich von sowas zum Glück nicht abschrecken lässt, sondern höchstens bestätigt fühlst. Weiter so!

Wobei mich arg wundert, dass es einzelne, große Angreifer sind, normalerweise nehmen die Spammer doch ihre Botnets dafür.

Überlasten diese Angriffe eigentlich die dicke Leitung zum Internet oder eher die Firewall, die den Kram entsorgen darf?

Ein interessierter Kunde fragte dies

Was für Pakete waren das denn?
Ihr habt nicht zufällig nen kleines pcap-File Sample?
Mich würden die payloads echt mal interessieren!

Hintergrund: Ich werde mit DNS-Anfragen von einzelnen IP's 'überhäuft', die mehrmals pro Sekunde einfach nur den NS-Record abfragen [nein, das ist noch lange kein DOS, aber nervig in den Logs/Statistiken] und von einigen Rechenzentren habe ich samples nicht recht zuzuordnender UDP-Pakete erhalten, die an nicht genutzte IP-Adressen dort gehen und in der payload die Zieladresse und einige statische Anteile enthalten...

Jan Schejbal

Meinst du das hier: http://isc.sans.org/diary.html?storyid=5713&rss

Ein dankbarer Kunde

japp, dass stimmt wohl!

ich habe diese anfragen "von":

blocking 213.89.153.163
blocking 195.68.176.4
blocking 208.76.253.253
blocking 80.254.147.84

seufz

Anonym

eehm - und tausend Dank!
Einer meiner Server hat trotz identischer Konfig im Gegensatz zu den anderen geantwortet!

Kommentar schreiben

Name

Kommentar

Antwort zu

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Hier die Zeichenfolge der Spamschutz-Grafik eintragen:

BBCode-Formatierung erlaubt

Phone*

Welche Farbe hat ein Feuerwehrauto in Deutschland?

Formular-Optionen

Daten merken?