DDOS Angriff auf Sexy-Tipp.ch

QUOTE Ich meine, DDoS-Attacken sollten von Staates wegen verfolgt werden, denn sie sind ein grosses Problem für unsere hochvernetzte technisierte Welt.


Besser wäre es diese armselige Freier vom Staat verfolgen zu lassen
biggrin.gif


in Deutschland bekanntestes Webmasterforum war auch mal Sexy-Tip drin bez. Umsatz etc, konnte nur den Kopf schütteln, Themen wie 16 jährige gesucht etc und das von Typen die weit die 40 hinter sich haben, ne sorry was das anbetrifft ist die Schweiz echt geisteskrank, in normale Länder würde man hinter schwedische Gitter kommen
rolleyes.gif
 
Du bist offenbar sehr schlecht informiert, was Sexy-Tipp betrifft! - Und ich vermute, dass du auch ziemlich verklemmt bist, sonst wären deine beiden Beiträge nicht so ausgefallen.

Übrigens geht es gar nicht darum, ob Sexy-Tipp oder eine Seite über Jesus mittels DDoS angegriffen wird, es geht um die generelle Gefahr, die davon ausgehen kann. Und zwar die Gefahr für unsere moderne Gesellschaft, die heute auf dieser weltumspannenden globalen Vernetzung (over IP) basiert. - Und weil die Gefahr für Staat und Wirtschaft durch solche Angriffe geschädigt zu werden sehr gross ist, sollten solche Attacken konsequent verfolgt und aufgeklärt werden.

Es ist übrigens interessant, dass du dich so sehr für Sexy-Tipp interessierst und zwei Mal Unwahrheiten verbreitest...

PS: Sexy-Tipp wird eine Kopfprämie für Hinweise auf die Täterschaft bezahlen.
 
QUOTE (Nik2 @ Do 6.09.2007, 22:31)Ich glaube es nach wie vor nicht, dass man nichts dagegen unternehmen könnte. ST selber behauptet, dass sie im Moment 99 % der falschen Anfragen herausfiltern würden.

Wenn diese 99% von Russland, Korea und Belgien kommen, dann ist das mal eine erste Massnahme. Denn der Grossteil der normalen User wird eher nicht aus Belgien, und schon gar nicht aus Russland und Korea kommen. Immer vorausgesetzt, die Angaben zu den Angriffsrequests stimmen.


QUOTE (Nik2 @ Do 6.09.2007, 22:31)Ich meine, DDoS-Attacken sollten von Staates wegen verfolgt werden, denn sie sind ein grosses Problem für unsere hochvernetzte technisierte Welt.

Du überschätzt glaub den Staat etwas. Der hat weder die Mittel noch die Kompetenz, sowas zu bekämpfen.


QUOTE (Nik2 @ Do 6.09.2007, 22:31)Und ich verstehe es nach wie vor nicht, dass ein Trojaner, der offenbar hunderttausendfach verbreitet ist, von Software wie SpyBot auch nach Wochen noch nicht erfasst und unschädlich gemacht werden kann.

Wenns ein Trojaner ist, dann sitzt der auf PCs, die kein Antivirus und keinen Spybot haben - oder nicht aktuell sind. Es gibt nun mal sehr viele PCs weltweit, die nicht geschützt und deshalb grösstenteils verseucht sind; Stichwort Botnetz ( http://de.wikipedia.org/wiki/Botnet ). Ein angegriffener Server hat darauf absolut keinen Einfluss.


QUOTE (Nik2 @ Do 6.09.2007, 22:31)Und hier würden mich eben fachkompetente Antworten und Ideen, was Sexy-Tipp unternehmen könnte, interessieren.

Um sinnvolle Ideen zu bringen, müsste man die Details des Angriffs kennen.

Griessli
Irene
 
@Nik2: Danke für die Klärung.

Zum Thema habe ich eigentlich schon alles (von meiner Seite her) ganz am Anfang geschrieben.

Der Hoster muß das vor dem eigentlichen Server abklemmen, wenn die Anfragen erst einmal auf dem Server aufprasseln, ist das doch sehr spät.

Wenn der Hoster das ignoriert, dann ist das nur noch eingeschränkt lösbar. IP-Bereiche lassen sich sperren, sogar noch direkt auf dem Server.
 
@Irene & iAuer

Danke für eure Hinweise. - Mich fängt das Ganze an technisch zu interessieren und auch wie dieser Internet-Krieg geführt wird. Die ST-Attacke dauert ja nun schon seit Wochen, ist dies "normal" oder wie verläuft normalerweise so ein Angriff? Hört ein Angriff in der Regel nach einer gewissen Zeit auf, wegen welches Mechanismusses auch immer, oder ist es eine Infektion, die sich sehr lange Zeit am Leben erhält.

Könnte man theoretisch geballt auf einzelne Requsts antworten, so, dass Angriffs-Computer um Computer lahm würde und der Benutzer so merkte, dass etwas mit seinem Gerät nicht stimmt?

Ich bin gespannt, ob jemand von euch auf meine Fragen eine Antwort hat.
 
QUOTE (Nik2 @ Fr 7.09.2007, 10:33)Könnte man theoretisch geballt auf einzelne Requsts antworten, so, dass Angriffs-Computer um Computer lahm würde und der Benutzer so merkte, dass etwas mit seinem Gerät nicht stimmt?

Können ja, aber es bringt sich wenig. Man würde viel Zeit damit verschwenden einen einzelnen Rechner lahmzulegen, aber es blieben tausende andere. Des weiteren würde man dann ja selbst eine DoS-Attacke starten, welche nicht legal ist.


QUOTE (Nik2 @ Fr 7.09.2007, 10:33)Hört ein Angriff in der Regel nach einer gewissen Zeit auf, wegen welches Mechanismusses auch immer, oder ist es eine Infektion, die sich sehr lange Zeit am Leben erhält.

Ein Botnetz wird nicht extra für nur eine DDoS-Attacke gezüchtet. Botnetzbetreiber züchten sich ein Netz heran, das sie dann meist vermieten. Angenommen ich würde gerne die Webpräsenz eines Konkurrenten lahmlegen, nehme ich Kontakt zu einem Botnetzbesitzer auf und bezahle in dafür, dass er mit einer festgelegten Bandbreite/Botanzahl die Seite für eine gewisse Zeit unter Beschuss nimmt.


QUOTE (Nik2 @ Fr 7.09.2007, 10:33)[Die ST-Attacke dauert ja nun schon seit Wochen, ist dies "normal" oder wie verläuft normalerweise so ein Angriff?

Meiner Erfahrung nach dauert ein Angriff normalerweise nicht solange. Wobei ich jedoch sagen muss, dass ich bisher nur einmal einen kleinen Angriff verzeichnete. Meistens ist der Webserver relativ schnell unerreichbar und dann gibt sich die DDoS-Attacke wieder.

Tipp: Wikipedia: Botnetze
 
Wenn du recht hast, dann wird so ein Bot-Netz nicht für einen spezifischen Angriff aufgebaut, sondern es ist ein Geschäft. Das würde ja heissen, dass hinter dem ST-Angriff eine sehr finanzkräftige Gruppe stünde, sonst könnte der Angriff nicht so lange aufrecht erhalten werden. - Gleichzeitig heisst das, dass jemand unter Umständen hunderttausende von Computern fernsteuern kann. Würde man so einen Computer, der attackiert, finden und könnte ihn mit dem Einverständnis des Besitzers untersuchen, würde man dann herausfinden können, wer ihn fernsteuert?
 
QUOTE (Nik2 @ Sa 8.09.2007, 09:13)Würde man so einen Computer, der attackiert, finden und könnte ihn mit dem Einverständnis des Besitzers untersuchen, würde man dann herausfinden können, wer ihn fernsteuert?

Wenn die bösartige Software (Trojaner oder so) dumm genug programmiert ist, und der Computer in einem Land steht wo die Polizei und die Provider inner nützlicher Frist und richtig reagieren, dann schon. Aber die Botnetz-Besitzer sind ja leider nicht dumm; die sichern sich besser ab als die meisten Firmen ihre Webserver ;-)
Da auch viele der Botnetz-Computer in Ländern stehen, wo der Zugriff auf die Computerbesitzer zu langsam oder gar nicht möglich ist, hat man als Normalmensch da keine Chance.

Stell Dir vor, Du hast die IP-Adresse eines Computers in Russland, der Dich wahrscheinlich angreift. Dann musst Du vom russischen Provider Namen und Adresse des Besitzers dieses Computers bekommen. Dazu wendest Du dich an die russische Polizei. Aber weil Du ja hier in der Schweiz bist, musst Du das über die schweizer Polizei machen. Sofern die überhaupt versteht, worums geht, kann sie nur ein Rechtshilfegesuch nach Russland schicken. Das dauert so einige Monate, bis das bearbeitet ist. Bis dann ist der Angriff sowieso beendet, weil dann der angegriffene Server definitiv vom Netz ist.

Das soll jetzt nicht gegen Russland gehen. Umgekehrt wärs auch nicht anders. Stell Dir vor, eine russische Site wird von einem schweizerischen "Mitglied" eines Botnetzes angegriffen. Wenn da der Russe sich an die schweizer Polizei wendet, was glaubst Du wie die reagiert? Sicher nicht mit sofortigem Kontaktieren des Providers und Beschlagnahmen des Computers ;-)

Griessli
Irene
 
Danke für deine Überlegungen Irene.

Bei einem Computer in Russland wäre es wirklich schwierig rechtzeitig etwas zu unternehmen, doch da ein Botnetz nicht nur für einen Angriff genutzt wird, sondern immer wieder neu vermietet wird, würde es sich doch trotzdem lohnen, die Übeltäter zu verfolgen.

Wenn man (z.B. in Russland) so leicht und problemlos Geld machen kann, dann könnte sich das Ganze mit der Zeit epidemisch ausbreiten und spätestens dann, müsste der Staat so etwas als Offizialdelikt ansehen, denn unsere Gesellschaft funktioniert nicht mehr ohne Vernetzung.

Haben denn so kleine "Fische" wie ST im Allgemeinen gar keine Chance und müssen halt früher oder später ganz kapitulieren? - Oder kommt es darauf an, welche Seite finanziell stärker ist. - Wenn ich im Internet recherchiere, dann sehe ich, dass man die meisten Angriffe nach ein paar Tagen im Griff hatte. - Aber gibt es auch Fälle von Kapitulation? Vielleicht weisst du als Expertin ja mehr...
 
Moderne Botnetze sind übrigens noch viel schlauer und schwerer zugänglich organisiert. Um es mal anschaulich zu sagen, stellt euch mal die folgende Situation vor:

- Beliebig viele Arbeits-Bots (gekaperte Windows-Maschinen jeder georgrafischen Provenienz) kommunizieren über mehrere Internet-Adressen wie http:// boese.bots.control, http:// wolf.schalfspelz.im mit einem von vielen Kontroll-Bots.

- Die Internet-Adressen (boese.bots.control) usw. lösen dabei jeweils auf mehrere Kontroll-Bots auf, die ggf. auch noch täglich oder schneller gewechselt werden. D.h. ein Kontroll-Bot bleibt nur kurz am Leben.

- Die Kontroll-Bots erhalten ihre Instruktion von einem oder mehreren Master-Bots.

- Der/die Master-Bots bekommen ihre Instruktionen vom Gangster.

So eine Konstellation ist laut iX heute eher üblich als unüblich, und es gibt keine Möglichkeit, dagegen vorzugehen. Der Gangster ist geschützt, weil er alles leicht über anonymisierende Dienste steuern kann und über die mehrfache Delegation der Kommandos mit den heutigen Internet-Strukturen praktisch nicht rückermittelt werden kann. Und das Botnetz bleibt dank der vielfachen Redundanz ebenfalls geschützt.

Kürzlich habe ich ein Interview mit einem russischen "Hacker" im Spiegel oder Stern gelesen. Danach wäre die Beauftragung einer großen DDOS-Attacke zum Spottpreis möglich (100 bis ein paar hundert Euro). Und weil es so extrem leicht ist, Windows-Maschinen zu kapern, wird sich die Situation so leicht eher nicht entschärfen...
 
Das Problem bei diesem Thema ist relativ simpel:

Die meisten der hiesigen Leute entwickeln und betreiben Plattformen. Für diese Thematik müßte man dagegen bei einem großen Provider für das Netzwerk, für die Switches und ähnliches zuständig sein. Das dürften nur noch sehr wenige Personen sein - ein paar pro Rechenzentrum.

Erst auf dieser Ebene 'sieht' man die Datenströme, die für DDOS-Angriffe verantwortlich sind, erst dort hat man Zugriff auf Router und Switches, die womöglich Filter oder Sperrmechanismen anbieten.

Da es allerdings auch bei HostEurope seinerzeit geklappt hat, das nach etwa zwei Stunden abzuklemmen, vermute ich, daß es da mehr Möglichkeiten gibt als die, die sich Außenstehende (also alle hier) vorstellen bzw. kennen. In dem Fall blieben übrigens die eigentlichen Server unbehelligt, der Traffic kam gar nicht mehr bis zu den Servern durch. Allerdings weiß ich auch nicht, ob das eine Schutzmaßnahme von HE war. Ich weiß nur, daß, als die Firewall wieder erreichbar war, auch die Rechner wieder da waren - mit praktisch 0 % Auslastung auch in den Minuten zuvor.

Ist umgekehrt der RZ-Betreiber damit überfordert oder kümmert er sich nicht, dann wird das duster. Und es ist zu befürchten, daß dies hier der Fall ist
sad.gif


PS1: Wenn ich sehe, was bei mir an Hackversuchen eintrudelt, wo versucht wird, Scripts mit Shell und neuem Port nachzuladen, dann sind das nicht gepatchte OpenSource-Produkte.

PS2: Erst vor ein paar Tagen gab es die Meldung, daß Pfitzer - Rechner Viagra-Spam verbreiten. Das Problem existiert weltweit - und ist wohl auch immer nicht so einfach.
 
Ein erfahrener Netz-Techniker kann manuell sicher so einiges ausrichten. Allerdings fürchte ich, dass er gegen einen gezielten DDOS-Angriff per Botnetz heute praktisch kaum noch eine Chance hätte...
 
@JAuer

Es ist jetzt wohl klar, dass es auch ein Know how Problem und ein Problem der vorhandenen Analyse-Möglichkeiten ist, ob eine DDoS-Attacke abgewehrt werden kann. Sind Cisco Guard DDoS mitigation appliances und Arbor Peakflow solche Tools, mit denen man das Problem in den Griff bekommt? - Und müsste man sagen, dass kleine Rechenzentren auf Dauer verschwinden werden, da sie "Cyber-Kriegen" einfach nicht mehr gewachsen sind.

Könnte man denn theoretisch Datenströme aus Ländern wie Russland, Korea... generell (z.B. schweiz- oder europaweit) einschränken, indem man die Bandbreite pro aufgerufene IP-Adresse radikal beschränkt und so Sachen wie schnelles Anpingen gänzlich unterbindet?
 
QUOTE (Nik2 @ So 9.09.2007, 08:11)Es ist jetzt wohl klar, dass es auch ein Know how Problem und ein Problem der vorhandenen Analyse-Möglichkeiten ist, ob eine DDoS-Attacke abgewehrt werden kann.


Genau dies ist das Problem. Wenn man sich nicht tagtäglich seit Jahren mit solchen Geräten bzw. der Software-Weiterentwicklung in diesem Bereich beschäftigt, dann sind das böhmische Dörfer - ich habe davon null Detailahnung, die Cisco-Geräte kenne ich gar nicht.


QUOTE (Nik2 @ So 9.09.2007, 08:11)dass kleine Rechenzentren auf Dauer verschwinden werden, da sie "Cyber-Kriegen" einfach nicht mehr gewachsen sind.


Das kann ziemlich gut sein. Ich vermute (mangels Kenntnis, siehe oben), daß es gegen große Firmendomains (Microsoft u.ä.) längst schon massive DDOS-Angriffe gab, daß diese aber - wohl auch in Zusammenarbeit mit den entsprechenden Netzwerksausrüstern - in den letzten Jahren teilweise Gegenstrategien entwickelt haben, so daß es solche Geräte auf dem Markt gibt. Nur ist das für kleine RZ-Betreiber zu teuer - und diese 'Einsparung' heißt, einem DDOS-Angriff wehrlos ausgeliefert zu sein.

Der Angriff im März 2006 ging nicht gegen meine (bei HE stehenden) Server, sondern gegen das gesamte HE-Netzwerk. Das dürfte also weit mehr gewesen sein als das, was auf sexy-tipps einprasselt. Ich war zwar im ersten Augenblick damals auch entsetzt. Aber rückblickend ist es schon beruhigend, Server bei einem Provider zu haben, der dadurch nicht so einfach lahmgelegt werden kann. So etwas spricht sich ja in den entsprechenden Kreisen auch rum - 'dessen Server stehen in dem RZ, keine Chance, da einen DDOS zu fahren'.


QUOTE (Nik2 @ So 9.09.2007, 08:11)Könnte man denn theoretisch Datenströme aus Ländern wie Russland, Korea... generell (z.B. schweiz- oder europaweit) einschränken, indem man die Bandbreite pro aufgerufene IP-Adresse radikal beschränkt und so Sachen wie schnelles Anpingen gänzlich unterbindet?


Das sind Überlegungen der 'neuen Netzinfrastruktur', die inzwischen angestellt werden. Das wurde hier allerdings bis jetzt vor allem unter dem Stichwort 'Netzneutralität' meist sehr skeptisch diskutiert.
 
QUOTE (Nik2 @ Sa 8.09.2007, 12:28)Haben denn so kleine "Fische" wie ST im Allgemeinen gar keine Chance und müssen halt früher oder später ganz kapitulieren? - Oder kommt es darauf an, welche Seite finanziell stärker ist. - Wenn ich im Internet recherchiere, dann sehe ich, dass man die meisten Angriffe nach ein paar Tagen im Griff hatte. - Aber gibt es auch Fälle von Kapitulation? Vielleicht weisst du als Expertin ja mehr...

Ich bin keine Expertin, kenn mich nur bisschen mit Netzwerk und Sicherheit aus ;-)
Vor einigen Jahren hatten wir auch schon solche Angriffe, aber wohl nicht so massiv. Wir haben das damals relativ schnell in den Griff bekommen, weil die Angreifer eine etwas dümmliche Logik benutzt haben. Gegen ein heutiges Botnetz wüsste ich auch nicht wie vorgehen, ohne direkt am angegriffenen Server und seinen Firewalls zu sitzen.

Ein Kapitulationsfall ist mir nicht bekannt, was nicht heisst dass es keinen gab. Die bekannten Fälle sind natürlich die gegen grosse Firmen wie Microsoft, Google und so. Und die haben genug Geld und vor allem auch Einfluss bei Herstellen und Behörden, um solche Probleme schnell zu lösen.

Griessli
Irene
 
Ich habe erfahren, dass Sexy-Tipp jetzt bei Swisscom gehostet ist, daher auch die andere IP-Adresse. Swisscom ist nun sicher gross genug, um eine mittlere DDoS-Attacke in den Griff zu bekommen. Trotzdem hat sie es nach sechs Tagen keineswegs im Griff; seit dem Umzug zur Swisscom ist es eher noch schlimmer geworden. - Wurde der Angriff eventuell noch verstärkt?

Kann es sein, dass wir es da mit einem wirklich massiven Angriff zu tun haben, der im Nachhinein auch für die Netzwerk-Experten interessante Erkenntnisse bringen wird? - Oder ist es so, dass Swisscom mit den speziellen Geräten, die in der Beta-Phase seien, an einem kleineren Problem jetzt Erfahrungen sammeln möchte?

Was meint ihr Cracks dazu?
 
QUOTE (Nik2 @ Mo 10.09.2007, 12:40)Ich habe erfahren, dass Sexy-Tipp jetzt bei Swisscom gehostet ist, daher auch die andere IP-Adresse. Swisscom ist nun sicher gross genug, um eine mittlere DDoS-Attacke in den Griff zu bekommen.

Auch rießige Provider haben Probleme mit DDoS-Attacken. Und Swisscom wird sicher seine Kosten auf ST.ch abwälzen, welche auch nicht über unbegrenztes Budget für Abwehrmaßnamen verfügen werden.


QUOTE (Nik2 @ Mo 10.09.2007, 12:40)Oder ist es so, dass Swisscom mit den speziellen Geräten, die in der Beta-Phase seien, an einem kleineren Problem jetzt Erfahrungen sammeln möchte

Swisscom wird höchstwahrscheinlich alles mögliche tun um ST.ch wieder ans Netz zu bringen. Schließlich werden sie ja dafür bezahlt. Wer mal in so einer Situation steckt (Website, die den kompletten Gewinn einer Firma ausmacht, offline) wird kaum Laune für irgendwelche Tests haben. Es wird sicher viel probiert, aber würde es sich nur um ein "kleineres Problem" handeln, dann wäre ST.ch längst wieder voll erreichbar.
 
Ich habe folgende Informationen: ST wird offenbar vierfach angegriffen, was das auch immer heisst; wahrscheinlich vier verschiedene Botnetze mit vier unterschiedlichen Angriffstypen. Die Seite ist nun eingeschränkt erreichbar. Offenbar ist es nicht möglich ALLE bösartigen Datenpackete frühzeitig rauszufiltern, da der Server verlangsamt reagiert (Aussage Forummaster). Ich meine, es lohnt sich hier den Verlauf zu beobachten, da der Angriff so gross ist, dass er wahrscheinlich "EDV-Geschichte" machen wird.
 
Als Sofortmassnahme könnten die doch Mal vorsorglich alle IP-Ranges sperren, die nicht aus der Schweiz stammen?

Warum wird das nicht gemacht?
 
So auf den ersten Blick wäre das möglich, doch könnten die Absender-IP's gefälscht sein, was ch nicht weiss....

Bei gefälschten IP's würde das SYN-Handshake nicht mehr funktionieren, was dann den Speicher zum Überlauf bringen würde. Doch nehme ich an, dass man genau so die gespooften Adressen erkennen und danach eliminieren könnte.

Wie das in der Praxis genau funktioniert, könnte uns wahrscheinlich einige der Experten in diesem Forum erklären. Ich als Laie bin mir fast sicher, dass man mit guten Firewalls solche Fälschungen erkennen wird.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben