1. HIGHWAY ist ein Forum und Multihoster.
    Unsere Plattform steht nur überprüften Nutzern zur Verfügung.
    Zur Zeit sind die Registrierungen geöffnet. Die Prüfung einer Registrierung beträgt wenige Stunden.
    Die Prüfung ist notwendig, da sich auf unserer Seite aktuell gut hundert Forenspammer pro Tag registrieren wollen.

DDoS Attacke

Dieses Thema im Forum "Technik" wurde erstellt von testerstaron, 14 September 2015.

  1. testerstaron

    testerstaron Premium Trusted User Beta-Tester

    Registriert seit:
    17 März 2015
    Beiträge:
    2.663
    Zustimmungen:
    3.674
    Da Boerse.bz gerade eine ddos attacke hat, habe ich das gelesen. :hushed:
    Verstehe aber wieder mal kein Wort :smiley:
    ddos protection macht das Sinn?
    1.SATZ Dafür müsstet ihr/du aber erstmal wissen welche Art von Angriff stattgefunden hat. Layer3/4 oder Layer7 ? Gegen Layer4 nützt ab einer gewissen Bandbreite auch kein Filtern mehr, reine UDP/TCP flood wird von jedem ordentlichem Hoster allerdings sofort geblockt. Bei SSDP/NTP/DNS Amplified sieht das ganze wieder anders aus.

    Gegen Layer7 Angriff (GET, POST, Slowloris, XML-RPC,..)helfen sinnvoll implementierte Scripts, diese können sich u.a. auf ein Limit der max. aktiven Connections beziehen. Dies lässt sich alles problemlos direkt mittels nginx implementieren..

    Was ist oder sind ddos protection? Layer? UDP/TCP flood? SSDP/NTP/DNS Amplified ?
    implementierte Scripts? nginx implementieren ?


    2.SATZ Das einzige, was effektiv gegen DDoS hilft, ist Nullrouting um die Kosten zu dämpfen. Gegen kleinere Attacken evtl. eine Hardwarefirewall, die direkt irgendwo am Switch hängt. Scripts, IPTables und anderes, was auf dem Server läuft, sind Märchen.
     
    Zuletzt bearbeitet: 15 September 2015
  2. maanteel

    maanteel Premium Trusted User Beta-Tester

    Registriert seit:
    22 März 2015
    Beiträge:
    1.031
    Zustimmungen:
    1.670
    Free:
    553.048 MB
    Ähm, ich versteh' nur Bahnhof? Ich dachte, ddos wäre ganz einfach

    Das hat Legend mal aufgemalt
    [​IMG]
     
    Zuletzt bearbeitet: 15 September 2015
    3way, Deleted_3 und testerstaron gefällt das.
  3. testerstaron

    testerstaron Premium Trusted User Beta-Tester

    Registriert seit:
    17 März 2015
    Beiträge:
    2.663
    Zustimmungen:
    3.674
    Ist ja lustig, der Beitrag wurde bis jetzt schon 33x aufgerufen und keiner kann das so übersetzen, das es auch ein DAU versteht :smiley:
     
  4. Mydgard

    Mydgard Premium Trusted User Beta-Tester

    Registriert seit:
    21 März 2015
    Beiträge:
    3.375
    Zustimmungen:
    4.129
    Free:
    778.500 MB
    Na ja, cloudflare würde wohl gehen für boerse, aber das wird gut Geld kosten, keine Ahnung ob die das bereit sind zu zahlen.
     
  5. Yaknar

    Yaknar Administrativer Support Premium

    Registriert seit:
    5 März 2015
    Beiträge:
    4.403
    Zustimmungen:
    8.673
    Free:
    863.723 MB
    Habs gerade erst gelsen, dann werde ich euch mal aufklären :laughing:
    Was ist oder sind ddos protection?
    Eine DDOS Protection, ist ein Anbieter (wie z.B. Cloudflare), der wie Legend bereits sagte viel Bandbreite und viele Server und zusätzlich ein "DDOS Protection" zur Verfügung stellen. Diese Funktioniert so, dass in einem Angriffsfall der Administrrator diese aktiviert, dadurch werden alle, die die Seite aufrufen wollen auf eine Challenge Seite kommen, auf der meist ein Javascript Code ausgeführt wird (Implementierte Scripts), welcher in mehreren Sekunden einen Token generiert oder ein Captcha gelöst werden muss. Nur mit diesen generierten Token kommt man dann auf die Zielseite. Die Ausführer des DDOS Angriffs benutzen meist nur einfache Programme, die kein Javascript ausführen koönnen und einfach nur Last generieren sollen(z.B. auch durch das stellen von ungültigen Anfragen). Und durch die DDOS Protection ensteht durch diese Programme keine Last auf der eigentlichen Seite, weil sie ausgefiltert werden, da sie den Token nicht generiert haben.

    Mit Layer sind die verschiedenen OSI Schichten gemeint:
    Schicht 7 Anwendung Telnet, FTP, HTTP, SMTP, NNTP
    Schicht 6 Darstellung Telnet, FTP, HTTP, SMTP, NNTP, NetBIOS
    Schicht 5 Kommunikation Telnet, FTP, HTTP, SMTP, NNTP, NetBIOS, TFTP
    Schicht 4 Transport TCP, UDP, SPX, NetBEUI
    Schicht 3 Vermittlung IP, IPX, ICMP, T.70, T.90, X.25, NetBEUI
    Schicht 2 Sicherung LLC/MAC, X.75, V.120, ARP, HDLC, PPP
    Schicht 1 Übertragung Ethernet, Token Ring, FDDI, V.110, X.25, Frame Relay, V.90, V.34, V.24

    Und für jede schicht gibt es verschiedene Möglichkeiten den Server anzugreifen.
    Schicht 1 ist die Schicht, die für die Bitübertragung zuständig ist, wie Ethernetkabel oder Glasfaser, ein Angriff auf dieser Schicht wäre z.B. durch zerschneiden des Kabels. Funktioniert aber nur mit pysikalischem Zugriff.

    Auf weitere Schichten gehe ich bei der Erklärung der weiteren Begriffe ein.

    UDP Flood
    Bei der UDP Flood werden UDP Pakete von den Angreifen an einen zufälligen Port an das Ziel gesendet, der Ziel Server prüft dann, ob eine Anwendung auf dem Port lauscht, wird feststellen, das dort keine Anwendung läuft und mit einem ICMP Destination Unreachable Packet antworten. Bei diesen Angriff zählt einfach nur die Bandbreite der Angreifer gegen die des Ziels. Es funktioniert, weil UPD verbindungsloses Protokoll ist und nicht erst ein Handshake durchgeführt werden muss.

    TCP Flood/SYN-Flood
    Bei einer SYN-Flood wird der Handshake, den es bei UDP nicht gibt, ausgenutzt. Normalerweise sieht ein Handshale so wie im Bild Links aus. Der Klient sagt zum Server: "Ich möchte gerne eine Verbindung herstellen". Der Server antwortet: "Ok, Damit bin ich einverstanden". Und der Klient bestätigt es dann mit einem "OK" erneut und dadurch die die TCP Session geöffnet und es können Daten ausgetauscht werden, dies wird auch zunächst bei jedem Internetseiten aufruf gemacht.

    Auf dem Server werden aber bereits beim eintreffen der "Syn" Ressources für den Klient reserviert. Damit gibt es eine endliche Größe an Verbindungen die ein Server gleichzeitig bearbeiten kann, bis die Verbindungsliste im Server voll ist, also keine weiteren Verbindungen akzeptiert werden. Für einen regulären Klienten, der dann diesen Dienst in Anspruch nehmen will, stellt es sich dann so dar, als wäre der Server nicht erreichbar (Timeout). Ein Angreifer nutzt diese Tatsache aus und erzeugt sequentiell eine sehr große Anzahl an halboffenen Verbindungen (weil er seinerseits die Verbindung nie bestätigt), bis er diesen Zustand auf dem Server erreicht.

    Der Server ist gezwungen für jede einzelne Verbindung Ressourcen bereit zu halten, um auf Reaktionen zu warten, da sich derartige Angriffe nicht von regulären Klienten unterscheiden lassen. Der angreifende Klient hingegen interessiert sich nicht weiter für das gesendete Paket und schließt seine Verbindung, die Antwort (SYN+ACK) vom Server interessiert ihn gar nicht erst.

    Der SYN-Angriff ist also ein grob unausgewogener Angriff, da der Server ungleich mehr Ressourcen für die Behandlung des selbigen benötigt, als der Klient, der nur ein einzelnes Paket wenige Byte großes Paket erzeugen muss. So ist es auch mit einer geringen Bandbreite und einem relativ schwachen Rechner möglich mehrere Tausend Pakete pro Sekunde zu generieren, die auf den anzugreifenden Rechner abgefeuert werden, während der entfernte Rechner ungleich mehr Ressourcen benötigt diese zu verwalten, ehe er überhaupt keine weiteren Verbindungen mehr akzeptieren kann.
    Tcp-handshake.png
    (Quelle und weitere Informationen: http://daemonkeeper.net/60/syn-flood-kurz-erklaert/)

    SSDP/NTP/DNS Amplified
    Bei SSDP/NTP/DNS Amplified Angriffen wird der Angriff verstärkt(Amplified), und das durch das Nutzen von falsch konfigurierte SSDP, NTP oder DNS Server. Diese Protokolle sind alle verbindungsloses Protokolle und bauen auf UDP auf.
    Dadurch is es möglich Pakete mit einer gefälschten IP zu versenden, da man keinen drei Wege Handshake durchführen muss. Die gefälschte Addresse ist in der Regel die Adresse des Ziel Servers.
    Sendet der Angreifer zum Beispiel ein Paket, mit der Absenderadresse des Ziel Servers an einen DNS Server, welcher nicht optimal konfiguriert ist, dann Antwortet der DNS Server darauf und sendet eine Antwort, die meistens größer als die Anfrage ist an den Ziel Server. Das wiederholt der Angreifer bei mehreren DNS, NTP oder SSDP Servern. Dadurch benötigt der Angreifer nur wenig Traffic, aber kann deutlich mehr Traffic auf dem Ziel Server generieren.

    implementierte Scripts?
    Ist unter "Was ist oder sind ddos protection?" erklärt.

    nginx implementieren ?
    Nginx ist ein sehr leistungsstarker Webserver(der auch von uns verwendet wird), welche solche Scripte über Module implementieren lässt und diese so sehr performant zur Verfügung stellen kann. Zusätzlich können die Verbindungen pro IP begrenzt werden um so den Angriff abschwächen zu können.
    Und Nginx besitzt eine Reverse Proxy Funktion, dabei landet man zunächst auf dem Nginx, dieser prüft deinen Aufruf und schaltet ggf. eine DDOS Protection und leitet bei erfolgreicher Prüfung auf einen anderen Server weiter, welcher die eigentliche Seite zur Verfügung stellt.
    Nach diesem Prinzip funktioniert übrigens auch Cloudflare und sie benutzen auch Nginx.

    Da die meisten DDOS Angriff auf genau eine IP sind, kann man diese Nullrouten, dabei wird der Traffic an die IP einfach verworfen. Dann muss man allerdings dafür sorgen, das die normalen Nutzer den Service über eine andere IP erreichen können, sonst ist der Dinest für alle nicht erreichbar. Eine Hardwarefirewall filtert als kleines Gerät zwischem den Switch und dem Ziel Server bestimmte Anfragen oder IPs und kann so DDOS Angriffe abschwächen.
    IPTables, ist etwas ähnliches, wie die Hardware Firewall nur direkt auf der Software des Ziel Servers.


    Für mich wäre dieses Thema eigentlich im Bereich Technik :laughing:
     
    Zuletzt von einem Moderator bearbeitet: 16 September 2015
    Trebunitor, spritty1300, 3way und 3 anderen gefällt das.
  6. Yaknar

    Yaknar Administrativer Support Premium

    Registriert seit:
    5 März 2015
    Beiträge:
    4.403
    Zustimmungen:
    8.673
    Free:
    863.723 MB
    Hat auch nur knapp eine Stunde gedauert es zusammen zufassen :D
     
    testerstaron und Deleted_3 gefällt das.
  7. testerstaron

    testerstaron Premium Trusted User Beta-Tester

    Registriert seit:
    17 März 2015
    Beiträge:
    2.663
    Zustimmungen:
    3.674
    :wink:

    Bildschirmfoto-2.png
     
    Mydgard gefällt das.
  8. Yaknar

    Yaknar Administrativer Support Premium

    Registriert seit:
    5 März 2015
    Beiträge:
    4.403
    Zustimmungen:
    8.673
    Free:
    863.723 MB
    Es gibt bei CloudFlare auch ein kostenloses Angebot, aber bei der Anzahl der Angriffe auf boerse.to, wird sich CF das wohl kostenlos nicht lange gefallen lassen.
     
    Mydgard gefällt das.
  9. testerstaron

    testerstaron Premium Trusted User Beta-Tester

    Registriert seit:
    17 März 2015
    Beiträge:
    2.663
    Zustimmungen:
    3.674
  10. Mydgard

    Mydgard Premium Trusted User Beta-Tester

    Registriert seit:
    21 März 2015
    Beiträge:
    3.375
    Zustimmungen:
    4.129
    Free:
    778.500 MB
    Meistens ist eh immer die Schicht 8 Schuld beim OSI Modell :D
     
  11. Yaknar

    Yaknar Administrativer Support Premium

    Registriert seit:
    5 März 2015
    Beiträge:
    4.403
    Zustimmungen:
    8.673
    Free:
    863.723 MB
    testerstaron gefällt das.