DDOS Angriff auf Sexy-Tipp.ch

Zur Zeit sind es offenbar wieder drei Attacken mit diversen Angriffs-Methoden wie SYN und BANDWIDTH.

SYN-Attacken bombardieren den Server mit hunderttausenden von Packeten pro Sekunde und versuchen so die Dienste in die Knie zu zwingen.

BANDWIDTH-Attacken versuchen die Bandbreite zu füllen und so die Seite unerreichbar zu machen.

Offenbar wird koordiniert vorgegangen, doch hat es die Swisscom jetzt offenbar geschafft, die falschen Datenpakete auszufiltern, so dass die Seite wieder geht. Die Frage ist jetzt, ob die Angreifer aufgeben werden.
 
Und sie geben nicht auf! - Jetzt gerade sind es fünf Attacken, doch die Seite hält.

Ich bin ja schon gespannt, wer einen derartigen Angriff, der jetzt bereits mehr als einen Monat lang andauert, organisieren kann.
 
Was heisst hier die Seite hält - ich komme nicht drauf.

Angreifer 5 - 0 Sexy-Tipp

wie der Match wohl ausgehen wird??
 
„Hält“ heisst, dass man sich einloggen und die Funktionen verwenden kann. - Doch in diesem Moment gilt die Aussage nicht mehr, obwohl man anpingen kann. Ein Tor für die Angreifer! – Der Match ist offenbar noch nicht zu Ende gespielt.
 
club-bluemoon.ch, club-westside.ch, club-globe.ch und der Provider webline.ch sind alle nicht mehr erreichbar. Der DNS löst die Namen nicht einmal mehr auf. Was ist da wohl passiert? - Werden jetzt alle Seiten mit sexuellem Inhalt auf's Korn genommen? Ist es möglich mittels DDoS viele Seiten gleichzeitig lahm zu legen?

Die ST-Seite läuft übrigens, wenn auch relativ langsam.

Weiss jemand etwas über die Webline GmbH. Was ist da passiert? Ist es Zufall, oder hat der Sexy-Tipp-Angriff etwas damit zu tun?

Swisscom musste offenbar heute Morgen Datenleitungen neu booten, angeblich wegen eines Hardwarefehlers. Ist das ebenfalls ein Zufall oder hat alles irgend einen Zusammenhang?
 
Von Club Globe und Club Westside weiss ich, dass sie angegriffen wurden und diese planen morgen Mittag wieder Online zu gehen. Es ist immer wahrscheinlicher, dass da Fundamentalisten dahinter stecken! - Oder ist es gar ein Krieg im Sexgewerbe, wo der Konkurrenzkampf, vor allem in der Region Zürich immer grösser wird?
 
nach der demo vor der Extasia, hatte ich auch an Fundamentalisten gedacht.
 
Tatsächlich wird nun auch die Webline GmbH massiv angegriffen und der ST-ForumMaster hat kommuniziert, dass keine Erpresserforderungen eingegangen seien. - Unter diesen Umständen ist es ermittlungstechnisch umso schwieriger etwas zu unternehmen. - Trotzdem bleibt die Hoffnung, dass irgend jemand nicht dicht hält, denn dahinter steckt sicher keine Einzelperson.
 
Es tut mir leid, dass ihr Techniker auf eurer Seite zu kurz kommt, doch könntet ihr sicher noch etwas Gescheites zu DDoS-Attacken beitragen.

Ich habe euch hier ein Rätsel: Wenn man die ST-Seite über Google sucht (Microsoft IE 6.0) und folglich indirekt anwählt, dann wird die Seite nicht gefunden. Geht man danach mit dem "Zurück"-Pfeil retour und klickt ein zweites Mal auf "Sexy-Tipp :: Forum", dann funktioniert das Einloggen und man kann recht einwandfrei surfen.

Hat dieses Verhalten mit irgend einer speziellen Regel auf der Firewall zu tun und lässt es technisch auf irgend einen speziellen Umstand rückschliessen?

PS: Es ist mir aufgefallen, dass diese Seite in der Zwischenzeit extrem viele Leser hat
 
QUOTE (Nik2 @ Do 13.09.2007, 12:55)Ich habe euch hier ein Rätsel: Wenn man die ST-Seite über Google sucht (Microsoft IE 6.0) und folglich indirekt anwählt, dann wird die Seite nicht gefunden. Geht man danach mit dem "Zurück"-Pfeil retour und klickt ein zweites Mal auf "Sexy-Tipp :: Forum", dann funktioniert das Einloggen und man kann recht einwandfrei surfen.

Ist bei mir nicht so. Ob ich nun via Google oder direkt auf die Site geh, sie kommt. Da das mit meinem IE6 geht und mit Deinem anscheinend nicht, würd ich eher auf ein Problem bei der Browser- oder Netzwerkkonfiguration tippen (DNS-Server?).

Mit einer Firewall sollte so ein Problem nicht zu tun haben, jedenfalls nicht mit einer Hardware-Firewall. Software-"Firewalls" wie ZoneAlarm o.äh. können solche und andere Probleme durchaus verursachen ;-)

Griessli
Irene
 
Danke für deine Hinweise Irene. Aber ich habe das beschriebene Phänomen auf zwei ganz unterschiedlichen Netzwerken beobachtet und auch ein anderer Benutzer machte ähnliche Aussagen, dieser hat allerdings Opera installiert.

Wahrscheinlich wird mit einer Kombination aus Hard- und Software-Firewall abgewehrt und so mehrstufig gefiltert, somit ist deine Aussage zur Software-Firewall absolut richtig.

Es wäre noch interessant, über was für eine Internet-Anbindung du verfügst, da bei dir das Phänomen offenbar nicht auftritt.

Club-Globe, respektive Webline wollte heute Mittag wieder Online sein. Das hat nicht geklappt, sämtliche Verbindungen sind immer noch tot! – Und ST ist ebenfalls nicht mehr erreichbar.

Sexy-Tipp wird es wohl überleben, da nach dem "Krieg" eine erhöhte Publizität bestehen wird und die Verluste dadurch ausgeglichen werden könnten.

Für Club Globe & Co ist der Angriff zwar ärgerlich, doch bezahlen sie die Verluste und Massnahmen wohl aus der Kaffeekasse.

Doch für Webline habe ich etwas Angst, die Anteilsscheine dürften rapide an Wert verlieren. Vielleicht sind sie im heutigen Umfeld einfach zu klein. – Doch würde ich es ihnen gönnen, wenn es für sie gut ausgehen würde und sie gar mit neuem Know-How in die Zukunft gehen könnten.

Gruss
Nik2
 
QUOTE (Nik2 @ Do 13.09.2007, 19:34)Aber ich habe das beschriebene Phänomen auf zwei ganz unterschiedlichen Netzwerken beobachtet und auch ein anderer Benutzer machte ähnliche Aussagen, dieser hat allerdings Opera installiert.

Es könnte noch sein, dass das Phänomen nur zeitweise auftritt. Aus technischer Sicht gibt es absolut keinen Unterschied zwischen einer Usereingabe der URL im Browser und einem Klick auf einen Link in den Google Resultaten. Passieren tut da im Hintergrund genau dasselbe.


QUOTE (Nik2 @ Do 13.09.2007, 19:34)Wahrscheinlich wird mit einer Kombination aus Hard- und Software-Firewall abgewehrt und so mehrstufig gefiltert, somit ist deine Aussage zur Software-Firewall absolut richtig.

Ich nehme an, dass auf dem Server keine Software-Firewall drauf ist. Ansonsten würde mich gar nichts mehr wundern ;-)


QUOTE (Nik2 @ Do 13.09.2007, 19:34)Es wäre noch interessant, über was für eine Internet-Anbindung du verfügst, da bei dir das Phänomen offenbar nicht auftritt.

Meine Anbindung ist eine 2MBit/s-Standleitung, mit eigenem DNS Server, kein Proxy, keine Software-Firewall. Da ich mich nicht mit Problemen und Beschränkungen eines Providers herumschlagen muss, hab ich weniger Probleme als andere ;-)

Griessli
Irene
 
Irene, du hst recht, es passiert dasselbe, doch passierte es eben immer erst auf den zweiten "Klick".

Nun weitere Informationen zur aktiellen Lage:

Club Gobe, respektive Webline wollte heute Mittag wieder Online sein. Das hat nicht geklappt, sämtliche Verbindungen sind immer noch tot! – Und ST ist ebenfalls nicht mehr erreichbar.

Sexy-Tipp wird es wohl überleben, da nach dem "Krieg" eine erhöhte Publizität bestehen wird und die Verluste dadurch wohl ausgeglichen werden können.

Für Club Globe & Co ist der Angriff zwar ärgerlich, doch bezahlen sie die Verluste und Massnahmen wahrscheinlich aus der Kaffeekasse.

Doch für Webline habe ich etwas Angst, die Anteilsscheine dürften rapide an Wert verlieren. Vielleicht sind sie als Provider im heutigen Umfeld einfach zu klein. – Doch würde ich es ihnen natürlich gönnen, wenn es für sie gut ausgehen würde und sie gar mit neuem Know-How in die Zukunft gehen könnten.

Im Moment ist ST bei der Swisscom gehostet, obwohl die Webline gegenüber Switch noch technische Kontaktperson ist. Die beiden eingetragenen Domain Name Server „ns1.ip-plus.net“ und „ns2. ip-plus.net“ gehören der Swisscom Solutions Ltd. Man kann davon ausgehen, dass die Angreifer dies wissen und der Angriff auf Webline wird daher nicht Sexy-Tipp gelten, sondern, wie ich spekuliere, den dort gehosteten Club-Seiten. Zudem wäre es nicht schlau Bandbreite an Webline zu vergeben, mit der man ST direkt treffen könnte.

Zitat: Heute haben zahlreiche Firmen in der Schweiz auch etwas abbekommen. Die DNS- und die Web-Server von IP-Plus (das ist das Swisscom-Angebot für Unternehmen) sind seit heute Nachmittag nicht mehr erreichbar, d.h. weder kann man einen Statusreport abrufen noch funktioniert die Namensauflösung (solange man nicht einen Nameserver eines fremden Providers einträgt). Heute hatte also das Web an vielen Arbeitplätzen in der Schweiz einen Totalausfall. Damit dürften nun wohl die letzten Zweifel ausgeräumt sein, dass diese Attacke existiert und einen gewaltigen Umfang angenommen hat. Bis jetzt ist jedenfalls IP-Plus immer noch weg vom Fenster! Swisscom hat also den Angriffen nicht standhalten können.

Ich bin erstaunt, dass für die Presse ein so gewaltiger Cyber-Krieg kein Thema ist. Doch da das Angriffsziel Sex-Seiten sind, wird es für die Presse und vor allem für die Politiker ein Tabu sein, sich irgendwie zu äussern. Wenn nicht einmal mehr Swisscom standhält, dann bin ich einfach sprachlos ob der Ignoranz.

Club Globe und Club Westside sind jetzt übrigens auch bei Swisscom gehostet und somit treffen alle Angriffe auf diese Seiten geballt auf Swisscom, die offenbar selbst ihre Domain Name Server "ns1.ip-plus.net" und "ns2.ip-plus.ch" verloren hat.

Es ist erstaunlich, dass man auch im Internet fast gar nichts über diese Angriffe lesen kann. - Kommt noch dazu, dass das Meiste von mir selber initiert wurde, indem ich hartnäckig hinterfragte und recherchierte. – Das Interesse der Leute jedoch ist enorm, sonst wäre dieser Gesprächsfaden der Ayom-Site bis heute nicht mehr als 11000 Mal besucht worden.

Heute haben zahlreiche Firmen in der Schweiz auch etwas abbekommen. Die DNS- und die Web-Server von IP-Plus (das ist das Swisscom-Angebot für Unternehmen) sind seit heute Nachmittag nicht mehr erreichbar, d.h. weder kann man einen Statusreport abrufen noch funktioniert die Namensauflösung (solange man nicht einen Nameserver eines fremden Providers einträgt). Heute hatte also das Web an vielen Arbeitplätzen in der Schweiz einen Totalausfall. Damit dürften nun wohl die letzten Zweifel ausgeräumt sein, dass diese Attacke existiert und einen gewaltigen Umfang angenommen hat. Bis jetzt ist jedenfalls IP-Plus immer noch weg vom Fenster! Swisscom hat also den Angriffen nicht standhalten können.
 
Wann wird die Polizei, bzw. die Spionageabwehr mit dem Fall beauftragt?
 
Zitat: Folgend Meldung ist nun bei IP-Plus unter den offenen Problemen erschienen. Unüblicherweise kein Wort zur Ursache, es hat auch schon vor 17:30 angefangen. Bei einem so ein gravierenden Problem (Totalausfall über mehrere Stunden) ist das schon etwas verdächtig.

Thursday, 13.09.2007, 23:00
Problems with IP-Plus Nameservers
Severity High Effects IP-Plus DNS, Businessmail, Virus & Spamfilter, Webhosting Effect on service All services Swisscom TT
Responsible
Remarks Since 17:30 we experienced a problem with the IP-Plus nameservers. This lead to a network overload that caused problems also with other IP-Plus services like Mail and Webhosting.
At the moment, the situation is stable, but we're still working on it.


Ich habe eher das Gefühl, dass eine noch höhere Publikation notwendig ist, damit jetzt auch unsere für dieses Problem zuständigen Behörden erwachen. Ich selber werde nichts unternehmen, was über das Schreiben in den drei Foren hinaus geht, solange ich nicht mehr weiss. - Doch wenn es möglich ist so starke Attacken gegen die Swisscom zu fahren, dann könnte auch die ganze EDV-Infrastruktur eines Landes wie die Schweiz gefährdet sein.

Ich äusserte mich schon vor Wochen im Ayom-Forum dahingehend, dass das Ganze sehr gefährlich sei und dass der Staat in Fällen von DDoS-Angriffen von sich aus tätig werden sollte. Und der Angriff ist nicht weniger gefährlich, weil das Ganze mit der Störung von Sex-Seiten anfing. - Allerdings habe ich tatsächlich das Gefühl, dass unsere Bundesanwaltschaft genau deswegen Beisshemmungen hatte/hat und nicht rechzeitig genug reagierte/reagiert.

Die Schweizer Armee hat das Problem übrigens erkannt und eine Abwehr-Truppe, die man im Falle eines Cyber-Krieges einsetzen kann, auf die Beine gestellt.
 
QUOTE (Nik2 @ Fr 14.09.2007, 00:41)Irene, du hst recht, es passiert dasselbe, doch passierte es eben immer erst auf den zweiten "Klick".

Das kann sein wenn der DNS-Server zu langsam antwortet. Dann kommt zwar eine Antwort, aber zu spät für den ersten Versuch, und beim zweiten klappts dann. Wann, wo und bei wem das auftritt, hängt nicht nur vom zuständigen DNS-Server ab, sondern auch vom DNS-Server des Users, von dessen Netzwerkkonfiguration und vom verwendeten DNS-Client.

Griessli
Irene
 
Hier ist die Webline GmbH - Kurze Stellungnahme

Seit Vorgestern morgen offenbar auf Grund des Erfolges der Swisscom-Filters haben die Attacken stark geändert. Anstatt einer SYN Flood gab es erst eine massive Bandbreiten-Attacke, die die Swisscom durch Blackholes im Ausland abgewehrt hat.

In der Folge wurde dann sexy-tipp.ch im DCPLUSPLUS P2P-Netz als Filesharing-Server eingetragen, mit der Folge, dass alle legitimen DC++ Clients versuchen sich mit sexy-tipp.ch zu verbinden. Diese TCP Sessions sind legitim, d.h. sie machen den korrekten TCP Handshake und sind deshalb schwerer zu filtern, Vorgestern abend waren etwa 4000 Sessions aktiv. Swisscom filterte alle PUSH requests und sexy-tipp.ch war wider den ganzen Tag erreichbar.

Gestern Abend um 17:30 Uhr wurden die Angriffe auf die DNS-Server der Swisscom umgeleitet diese sind zusammengebrochen und werden Heute Morgen von der Swisscom neu Konfiguriert/Abgesichert.

https://my.ip-plus.net/nav.de.mpl/network/stat/bb_perf/

Ihr habt viel geschrieben aber die wenigste unter euch haben je eine richtige DDos Attacke erlebt, diese abzuwehren ist nicht eine einfache Sache die man mit eine Firewall oder ein Paar Filter oder via Apache Module Abwehren kann.

Die Attacken kommen mit Spitzen von über eine Million Packet/s und eine Bandbreite von über 7GB wer hat eine Lösung?


Heute sexy-tipp.ch! morgen? niemand ist sicher.
 
Irene, kann es sein, dass eben die bei Switch für ST eingetragenen DNS "ns1.ip-plus.net" und "ns2.ip-plus.net" der Swisscom, die offenbar schwer angeschlagen sind, für dieses Verhalten verantwortlich waren und man direkt mit der IP-Adresse sicherer einloggen könnte?

Gruess
Nik2
 
QUOTE (webline @ Fr 14.09.2007, 09:55)In der Folge wurde dann sexy-tipp.ch im DCPLUSPLUS P2P-Netz als Filesharing-Server eingetragen, mit der Folge, dass alle legitimen DC++ Clients versuchen sich mit sexy-tipp.ch zu verbinden. Diese TCP Sessions sind legitim, d.h. sie machen den korrekten TCP Handshake und sind deshalb schwerer zu filtern, Vorgestern abend waren etwa 4000 Sessions aktiv. Swisscom filterte alle PUSH requests und sexy-tipp.ch war wider den ganzen Tag erreichbar.

Ich kenne DC++ nicht und weiss deshalb nicht auf welchen Ports diese Verbindungen laufen. Bei Port 80 oder sonstigen üblichen Ports dürfte es schwierig sein, diese rauszufiltern. Bei anderen, spezifischen Ports wäre das relativ einfach, da alle Ports die auf dem Webserver nicht wirklich benötigt werden, sowieso gesperrt sein müssten.


QUOTE (webline @ Fr 14.09.2007, 09:55)Die Attacken kommen mit Spitzen von über eine Million Packet/s und eine Bandbreite von über 7GB wer hat eine Lösung?

Ich nicht, und ich schätze auch sonst niemand, ohne die genausten Details des Angriffs und der angegriffenen Server, Dienste und Netzwerke zu kennen. Es gibt leider kein Patentrezept gegen DDos-Angriffe. Aber ich würde mal sagen, bei der Swisscom - oder besser IP-Plus - gibts entsprechende Fachleute.


QUOTE (webline @ Fr 14.09.2007, 09:55)Heute sexy-tipp.ch! morgen? niemand ist sicher.

Stimmt leider.

Griessli
Irene
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben