Klatsch, Fakten, News, Betas 5.087 Themen, 27.849 Beiträge

Verfolgung starten Optionen

Denial of Service - Attacke gegen Heise

Olaf19 / 18 Antworten / Baumansicht Nickles

Hallo zusammen!

Viele von euch haben sich sicherlich schon gewundert, warum Heise nicht zu erreichen ist - momentan scheint die Seite wieder down zu sein. Laut Mitbewerber Golem wurde Heise Opfer einer Denial-of-Service(DoS)Attacke:

http://golem.de/0502/36013.html

Merkwürdig: Auch bei Golem ist der Seitenaufbau krötenlangsam... nur ein Zufall, oder weichen jetzt alle Heise-Besucher auf den Mitbewerber aus?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
BIMEX Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen
US Hardware Lösung sowie Deutscher Anbieter, meines Wissens nach kostet so eine Hardwarelösung nicht mehr als $2.500. Von der seitens Heise versprochenen Belohnung zur Ergreifung des DDOS Attackers in Höhe von 10.000 Euronen, kann man fast ein halbes Dutzend davon kaufen ...
bei Antwort benachrichtigen
Mario32 Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

Klasse bimex!

entsprechende hardware hat eines der größten onlineportale in deutschland sicher bisher nicht gehabt!! Die werden sicher dankbar für deien hilfe sein!

P.S. wenn du mit deinem rechner ne ernsthafte menschgemachte anfrage an www.heise.de schickst weil du gerne deren news lesen willst
und dann mein windows rechner der ferngesteurt wird mit entsprechendem tool und die (hundert?)tausende anderen zombirechner!
Wie soll da so ein kleines kästchen bitte schon legitimate traffic erkennen!?

ERST DENKEN (und Netzwerkprotokollgrundlagen gelesen und verstanden haben)DANN POSTEN!


Danke!
bei Antwort benachrichtigen
BIMEX Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

@Mario32 - so etwas es schon sehr lange, bei Eingang misst die Hardware die Anzahl der Anfragen und wenn selbige in kurzer das gewohnte Mass überschreitet, gibt's 'ne Mail bzw. schaltet er ab bevor Schlimmeres passiert. Bezeichne es als VENTIL, dass bei Überdruck schliesst, so einfach ist das ..., oder besser, Du machst Dich mal schlau, ich jedenfalls hab's vor Jahren in Sachen DDOS in punkto meines eigenen Web Trade Boards schon getan ...

bei Antwort benachrichtigen
xafford BIMEX „@Mario32 - so etwas es schon sehr lange, bei Eingang misst die Hardware die...“
Optionen

Auch wen es mal wieder mario-like formuliert war, in diesem Falle hat er Recht. Gegen eine SYN-FLOOD-Attacke mit gespooften Absendeadressen kann man letztendlich nichts ausrichten, nciht mit der besten hardware und nichts mit den besten Firewallregewerken, der Grund ist einfach:
Ein dDoS verbaucht erstens die komplette Bandbreite, und die Bandbreite kann selbst die bese Hardware nciht erhöhen, wenn man nun mal "nur" eine 133MBit Strecke hat, und bei ständig wechselnden, gefälschten IPs kann einfach kein Muster hinein kommen, sofern der Algorithmus zur Erzeugung nicht banal ist. Man kann einfach die Schadpakete nicht von den rechtmäßigen unterschieden, da beide das gleiche tun, nur die Masse eben nicht verarbeitbar ist.
Abschalten der Leitung bringt auch nichts, denn man nimmt dem DoS letztendlich einfach die Arbeit damit ab, klemmt man wieder an, so ist der DoS immer noch da.
So lange die ISPs nicht beim Routing in andere Netze überprüfen, ob der Absender wirklich aus dem eigenen Subnet kommt, ist gegen DoS nicht anzukommen, zumindest, so lange es IPv4 gibt.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Mario32 xafford „Auch wen es mal wieder mario-like formuliert war, in diesem Falle hat er Recht....“
Optionen

gut das (mindestens) einer hier ahnung hat, das ich nem paket nicht ansehen kann ob es gut oder böse, ist!

Kommen viele Pakete schnell hintereinnander von ein und der selben IP ist das teil,liebster bimex vieleicht in der lage zu sagen "hey da kommt aber viel von tante ernas ip, das macht die omi bestimmt nicht allein(sofern sie nicht durch herzinfakt gestorben mit dem kopf auf reloadbutton hängt), der ihre IP tu ich jetzt mal sonderbehandeln"

Aber wenn es von allen möglichen ip's aller möglichen tante ernas und onkel karls mit ihrer zombiwindows kiste eien anfrage an www.heise.de gibt und da zu noch DAU's alle paar minuten legitimate Traffic erzeugen weil sie immer wieder checken wollen wann ihre stammtrollwiesen wieder geöffnet hat, kannst du dir diese tollen Kästen in den xxx schieben. Versuch mal den Unterschied zwischen DoS und DDoS durch googlen zu erlernen. (Selbst ich der von Netzwerktechnik nur rudimentäres wissen hat, habe das Prinzip kapiert!!)

bei Antwort benachrichtigen
hulk 8150 Mario32 „gut das mindestens einer hier ahnung hat, das ich nem paket nicht ansehen kann...“
Optionen

..und wenn dazu noch all die kraftmeierischen Oberlehrer mit ihren brüllenden Grafiken ihre unvermeidlichen Verbalattacken reiten..

h...
bei Antwort benachrichtigen
xafford hulk 8150 „..und wenn dazu noch all die kraftmeierischen Oberlehrer mit ihren brüllenden...“
Optionen

Naja, aber schön zu sehen, daß auch Oberlehrer falsch liegen (Glashäuser, ich hör euch rappeln), denn der Unterschied zwischen dDoS und DoS ist hier unerheblich, höchstwahrscheinlich ist noch gar nicht genau klar, um was von beiden es sich handelt, denn bei gespooften Adressen ist es erst einmal nicht zu erkennen, ob alle von dem selben Host, oder von unterschiedlichen kommen.
Der Schaden ist also identisch, ob 1 Host mit einer Anbindung von 10 GBit die DoS-Attacke startet, oder ob 10.000 Hosts mit 1MBit die Attacke starten.
Ob DoS oder dDoS ist also unerheblich, denn primär war es ein SYN_FLOOD mit gespooften Absendeadressen, interessant wird der Unterschied erst, wenn man lokalisieren kann, aus welchen Netzen die Pakete kommen, ein Host ist leichter lahm zu legen, als 10.000 aus verschiedenen Netzen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Mario32 xafford „Naja, aber schön zu sehen, daß auch Oberlehrer falsch liegen Glashäuser, ich...“
Optionen
gut das (mindestens) einer hier ahnung hat, das ich nem paket nicht ansehen kann ob es gut oder böse, ist!

DAS hatte ich nicht auf mich bezogen sondern ich bezog es auf dich xaff, weil du was wahres gepostet hast.
bei Antwort benachrichtigen
The Wasp Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

LOL!

Ende
bei Antwort benachrichtigen
BIMEX Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

@Mario32 - Dieser Artikel ist für alle die interessant, deren Internetgeschäft ein Großteil des Umsatzes ausmacht. Für eine Hand voll Dollar kann man bequem in einer Preisliste stöbern, um missliebige Online Konkurrenten auszuschalten ..., schon lange bekannt, dass es so etwas gibt, insofern habe ich mich vor langer Zeit schon damit vertraut geamcht. Das Beste, was ich bisher fand ist ein Angebot von AT&T, nennt sich MIDS (Managed Detection Intrusion System), kostet $7.500 Einrichtungsgebühr plus dann monatlich $2.500, erhielt offizielles Angebot seitens AT&T, welches ich dann an die Telekom mit der Bitte weitergab, zu prüfen, ob wir so etwas in Deutschland auch bekommen können. Natürlich keine Antwort..., Mario32 - einen schönen guten Morgen und willkommen in der Wirklichkeit ...

bei Antwort benachrichtigen
Mario32 BIMEX „@Mario32 - Dieser Artikel ist für alle die interessant, deren Internetgeschäft...“
Optionen

wer dazu die russenmafia für teuer geld nimmt und nicht den zahnbespangten Teenager für sein script nen hunni in die finger drückt ist selberschuldund doof!!
oder hat er das NicklesPseudonym Bimex ?

Bitte das FRAGEZEICHEN beachten liebe VIP's !
Ich beleidige niemanden, ich stelle eine Frage!!

*lol*

bei Antwort benachrichtigen
Olaf19 Nachtrag zu: „Denial of Service - Attacke gegen Heise“
Optionen

...Heise hakt immer noch. Zunächst passiert gar nichts, dann wird die Homepage "rudimentär" aufgebaut... die scheint's voll erwischt zu haben. Hätte nicht gedacht, dass man einen sol professionellen Anbieter von Webinhalten wie Heise so lange in die Knie zwingen kann.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
BIMEX Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

@olaf19 - solange niemand einen russischen Tsunami auf nickles.de loslässt, können wir die momentane Katastrophenlage in den umliegenden Usergemeinden noch ganz entspannt beobachten ... ;-)

bei Antwort benachrichtigen
tintensprotzer Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

Also ich weiß nicht wo Ihr herumsurft. Heise baut sich bei mir (ohne dsl!) blitzschnell auf *Testzeit 20 Uhr 14* wie, eigentlich immer.
War bei mir nur heute mittag down.
Übrigens war spiegel-online einer der ersten, die über den Angriff auf heise(heute mittag!) berichteten.

bei Antwort benachrichtigen
xafford tintensprotzer „Also ich weiß nicht wo Ihr herumsurft. Heise baut sich bei mir ohne dsl!...“
Optionen

Keine Kunst, seit Kurzem geht Heise auch wieder. Zudem werden wesentlich weniger Besucher dort sein, man hat Heise also quasi für sich alleine und die Jungs von Heise haben einige Tweaks am Loadbalancer und den Servern vorenommen, um wenigstens eine zeitlang mit dem DoS fertig zu werden.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
BIMEX Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

@xaff - Habe die Leute, die ihr täglich Brot damit verdienen, gegen DDOS Attacken angeblichen Schutz zu bieten, ihre Redirect - HTTP Arznei nochmals technisch zu erläutern, damit auch ich endlich dazu lerne und wir wissen, es ist entweder alles Schrott und wir können nach Hause gehen oder es bietet tatsächlich kondomartige Schutzfunktionen. Wer die totale Sicherheit will, der muss dann im A-Bunker ausharren, bis die DDOS Attacke vorüber ist ...

bei Antwort benachrichtigen
siouxsie Olaf19 „Denial of Service - Attacke gegen Heise“
Optionen

Es ist richtig, daß man beim ersten SYN noch nicht erkennen kann, ob es ein Angriff ist oder ein normaler User. Daher müssen alle SYNs beantwortet werden. Gute DDoS-Abwehr-Systeme beherrschen es, SYNs bis in den Bereich von mehreren Paketen pro Sekunde zu beantworten. Der Webserver wird dadurch vor diesen SYNs geschützt. Bei bisherigen Angriffen hat dieses System bereits 1,5 Millionen SYNs pro Sekunde abgefangen.
Da SYNs sehr kleine Pakete sind, wird dadurch selten die Bandbreite vollständig verbraucht. Ist dies doch der Fall, kann das Gerät beim Carrier oder in einem Bereich mit besserer Anbindung aufgestellt werden.
Da ich bei Green Gate Labs arbeite und wir mit dem DDoS-Guard ein System auf den Markt gebracht haben, welches genau obengenannte Leistung erbringt (und noch viel mehr) - und auch im Ernstfall bereits im Einsatz ist - kann ich das mit gutem Gewissen hier sagen.

Green Gate Labs - empowering your network service
+++++++++ consider a DDoS-Guard +++++++++
http://www.greengatelabs.com

bei Antwort benachrichtigen
xafford siouxsie „Es ist richtig, daß man beim ersten SYN noch nicht erkennen kann, ob es ein...“
Optionen
Bei bisherigen Angriffen hat dieses System bereits 1,5 Millionen SYNs pro Sekunde abgefangen.
Wie darf man sich das Abfangen der SYN denn vorstellen? Wie funktiert der 3-Way-Handshake zwischen Client und Server, wenn der Client-SYN von einer Black-Box abgefangen wird d kein SYN-ACK darauf folgt? SYN zu filtern bei dDoS ist ja eine gute Sache, aber woher weiß das Gerät, welche SYN-Pakete es droppen soll, und welche zu einem legalen Verbindungsaufbau gehören um es an den Webserver durchzulassen, u die Kette SYN / SYN-ACK- / ACK nicht zu unterbrechen?
So ganz klar wird mir die Wirkungsweise des Systems leider nicht, auf "eurer" Webseite wird dazu leider auch nicht näher eingegangen, außer ein paar Allgemeinplätze, auf die ich einmal eingehen will:

The automatic SYN Blocker provides protection by only passing on confirmed clients to the server.
Was ist ein confirmed client? Wann ist ein Client confirmed? Die einzige Möglichkeiten die ich mir vorstellen kann sind entweder ein DNS-Lookup (teuer), oder ein Reverse Connect (geht nicht bei geschützen Clients / Firewall).
Falls es jedoch so gemeint war, daß das System nur noch bestehende Sockets passieren lässt in Falle eines DoS, dann ist ja eigenltich nur noch eine Mindestfunktion sichergestellt und bei einem stark besuchten HTTP-Server sind die Sockets doch eher kurzlebig.
Als letzte Möglichkeit kann ic mir nur noch vorstellen, daß das Gerät als Tarpit / Proxy arbeitet und Verbindungen als Proxy erst aufbaut, wenn der Client nach hinreichend kurzem Timeout auf ein (von der Box gesendeten) SYN_ACK mit ACK geantwortet hat, die Box also komplett den Handshake übernimmt, aber in dem Fall sagt mir die Logik, daß der Schutz nur durch reine Rechenleistung und optimiertem Stack der Appliance zustandekommt, und nicht das grundlegende Problem wirklich angeht (was auch nur auf Providerseite flächendeckend machbar wäre) und somit durch ein hinreichend großes Botnetz auch zu knacken ist.

The Request Analyzer & Filter provides protection through a special logic for identifying potential attacks and by blocking sources or URLs.
Klingt gut, aber im Falle gespoofter Absender düfte dies doch eher eine Gewissensberuhigung sein. Wenn der Algorithmus zur Erzeugung der gespooften Adressen ausgeklügelt genug ist, so sind die gespooften Adressen hinreichend zufällig über Netze verteilt.

The TCP-Session Rate Limiter allows to either limit maximum concurrent sessions or maximum new sessions per second - these values can be configured for both the entire protected server or per client IP. This automatically blocks malicious clients.
Verzeihung, daß ich eventuell etwas sarkastisch klinge, aber dieser Absatz stammt höchstwahrscheinlich aus der Marketing- und nicht aus der Technikabteilung, oder?
Wenn ich die maximale Zahl an Sessions vorgebe (was gute Loadbalancer auch bieten, inklusive Nullrouten oder Redirects), dann begünstige ich einen DoS doch eher noch, da das Prinzip des DoS ja besagt, so viele "falsche" halboffene Verbindungen aufzubauen, daß keine legitimen mehr aufgebaut werden können. Begrene ich nun die Anzahl der Verbindungen noch künstlich, so tritt dieser Fall (zumninest nach meiner Logik) noch früher ein. Das Problem (wie überhaupt das Grundproblem) ist eben, daß man den gespooften Paketen eine gemeinsame Chaakteristik zuordnen können muß, um diese als gespoofte Schadpakete zu erkennen.
So lange nur legitime SYN mit korrekt gesetztem Header, legitimen Flags und variabler Content-Length erzeugt werden, zudem aus gültigen Adressbereichen, wie will der ausgeklügelste Algorithmus erkennen, ob es sich hier nur um einen lansamen Client handelt, oder wirklich um ein SYN_FLOODING, der die Verbindungstabelle füllt?

Ich will euer Produkt nciht in Frage stellen, aber etwas mehr Informationen zur Funktion täten Not, die gebotenen sind nicht wirklich erhellend, den wenn der Kernpunkt (was sind confirmed clients) nicht erklärt wird kann man das Wirkprinzip nicht einschätzen.

Btw noch ein Nachtrag zum Heise-dDoS, in diesem Fall hätte man wohl durchaus effektiv filtern können, da hier die gespooften Pakete eine gemeinsame und eindeutige Charakteristika besaßen, nämlich einen nicht korrekten Header mit CL von 0. Warum dies hier nicht geschah ist mir noch ein Rätsel, es sei denn der ISP hatte an dem Tag gerade Betriebsausflug :o)
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen