PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : DDoS



mareike26
31.01.2009, 23:56
Es ist mal wieder soweit: http://www.antispam-ev.de/news/?/archives/244-DDoS-die-xte.html
Wir bitten, die Unannehmlichkeiten zu entschuldigen. Das Team ist dran und gibt sein Bestes. Danke Jungs ;)

Grisu_LZ22
11.02.2009, 12:06
Läuft der DDos noch oder wieder?

(Sind wir den wirklich so beliebt dass wir diese Ehre verdienen) :D

Danke an alle die dazu beitragen dass die Beeinträchtigungen so gering wie möglich sind.

Ostfriese
11.02.2009, 12:22
Also wenn im Moment mal wieder nen DDoS läuft, dann geht dem Angreifer aber entweder sehr schnell die Puste aus oder die Admins leisten Höstarbeit, damit die Seite möglichst störungsfrei funktioniert.

Grisu_LZ22
11.02.2009, 12:27
Bei mir zeigts Serverstatus Gelb - Grund: DDos

exe
11.02.2009, 12:54
Irgendwas bei unserem Hoster im Busch. Unsere Systeme zeigen aber keine besondere Belastung. Vielleicht ist jemand anderes das Opfer.

Schnubbi
11.02.2009, 13:55
Vielleicht ist jemand anderes das Opfer
Bitte für Doofe wie mich :o erklären: Was bedeutet das?

Bei mir ist nämlich auch Gelb. http://cosgan.de/images/smilie/traurig/d020.gif

Sirius
11.02.2009, 13:58
Bei mir ist nämlich auch Gelb. http://cosgan.de/images/smilie/traurig/d020.gifKlicke rechts neben "Gelb" auf DDos-Atacke. ;)

Schnubbi
11.02.2009, 14:05
Klicke rechts
Ja, danke, den Wiki-Text hab ich schon gelesen (nicht unbedingt kapiert, aber immerhin gelesen :lil: ).
Aber: heißt das, die gelbe Ampel zeigt an, daß ein DDDDDingsda-Angriff entweder bei antispam oder hier bei mir (sprich: im Büro) stattfindet? :eek:

Ich bin hier ja nur ein ganz kleiner DAU im Getriebe. Für's Denken werd ich hier nicht bezahlt. :sick:

Mittwoch
11.02.2009, 14:07
Bitte für Doofe wie mich :o erklären: Was bedeutet das?

Vorab: Ich bin kein Admin von Antispam.de, kenne aber DDoS aus anderen Zusammenhängen.

Die Antispam-Seite und das Forum wird bei manitu.de gehostet, d.h. bei denen im Rechenzentrum steht ein Server, auf dem diese und andere Webangebote liegen. DDoS-Verursacher holen nun hin und wieder eine sehr große Keule raus und attackieren nicht nur das (benachbarte) Angebot XYZ, sondern gleich den gesamten zugehörigen Hoster. Wenn dieser also mit der Abwehr beschäftigt ist, leidet seine ganze Performance, was sich dann in der gelben Ampel niederschlägt.

War es das, was Du wissen wolltest?
Mittwoch

mareike26
11.02.2009, 18:32
Also wenn im Moment mal wieder nen DDoS läuft, dann geht dem Angreifer aber entweder sehr schnell die Puste aus oder die Admins leisten Höstarbeit, damit die Seite möglichst störungsfrei funktioniert.
Beides. Die letzten beiden Versuche waren etwas armselig. Ich weiß nicht, aber die Wirtschaftskrise scheint bei den Spammern nicht halt zu machen. Oder wir haben jemanden so in Grund und Boden versenkt, dass er sich die DDoS einfach nicht mehr leisten konnte.

Liquid-Sky-Net
11.02.2009, 18:55
Oder die "testen". :skull:

exe
11.02.2009, 21:02
http://status.manitu.de/

Mittwochs Ausführungen ist nichts hinzuzufügen. :)

cmds
11.02.2009, 21:32
10:40 Uhr könnte passen.
Um die Zeit etwa war auch dieses Forum für kurze Zeit nicht erreichbar.

actro
11.02.2009, 21:42
Stimmt..da war was..

exe
12.02.2009, 11:31
Entwarnung:
http://www.hostblogger.de/blog/archives/3731-Angriff-auf-unser-Rechenzentrum-2.html

Mittwoch
15.02.2009, 14:17
[Sendung mit der Maus-Modus]
Wie funktioniert ein Distributed Denial of Service, kurz DDoS?

Eine Distributed Denial of Service-Attacke wird mit dem Ziel gestartet, eine Dienstleistung im Internet zeitweise oder dauerhaft außer Betrieb zu setzen. Über Motive dahinter kann meist nur spekuliert werden, wobei die Bandbreite von Rache oder Vergeltung bis hin zu Angriffen mit dem Ziel reicht, Zugriff auf die angegriffenen Systeme zu erlangen und noch mehr Schaden anzurichten.

Doch wie läuft eine solche DDoS-Attacke eigentlich ab? Dazu machen wir uns ein Modell: Angenommen, mir hat der Finanzbeamte Herr Meier aus Zimmer 105 des örtlichen Finanzamtes einen miesen SteuerbescheID: [ID filtered]

Ich lege mir einen Plan zurecht, wie ich Herrn Meier zu einem Nervenzusammenbruch treiben kann, so dass er erst einmal für ein paar Wochen krank geschrieben ist und so meinen Freunden keine weiteren bösen Bescheide schicken kann. Die Umsetzung dieses Plans bedarf allerdings einiger Vorbereitungen.

Zunächst einmal brauche ich eine sehr große Anzahl von Leuten, die mitmachen, ohne zu wissen, dass sie mitmachen. Ich belege also den Fernkurs "Hypnose für Anfänger", der mich unter anderem die Hypnosemethode "Trojanisches Pferd 2.0" lehrt. Diese Methode erlaubt es mir, durch die Straßen zu gehen und mit wenig Aufwand eine Menge von Passanten zu hypnotisieren und sie zu Schläfern zu machen, die meinen Anweisungen gehorchen, wenn ich ein geheimes Passwort über das Radio verbreite (natürlich habe ich auch einen Radiomoderator hypnotisiert). Das Schöne an der Methode "Trojanisches Pferd 2.0" ist, dass weder die hypnotisierten Passanten noch ein großer Teil ihres sozialen Umfelds merken, was ich gemacht habe.

Leider gibt es einige Leute, die in den Medien von "Trojanisches Pferd 2.0" gelesen haben und nun immun gegen diese Methode sind und auch die hypnotisierten Menschen in ihrem Umfeld kennen und enthypnotisieren können. Mich stört das aber nicht weiter, weil ich eine sehr große Zahl von Passanten hypnotisiert habe, und nicht alle sind dermaßen an den Medien und an ihrem Seelenleben interessiert, dass sie "Trojanisches Pferd 2.0" kennen können.

[Alternativ zum Selbermachen hätte ich mich auch bei "Der große Zampano" melden können, der diese Hypnosetricks professionell betreibt. Er hat immer eine genügend große Anzahl an Leuten auf Vorrat hypnotisiert und verfeinert die Methode "Trojanisches Pferd" fortlaufend, so dass er seine Dienste gegen Zahlung eines netten Betrags für jeden Zweck anbieten kann.]

Nun habe ich bereits genügend Leute unter meinem Einfluss. Ich rufe also den Radiomoderator an und sage ihm, dass er am über Radio folgenden Auftrag verbreiten soll: "Ihr alle geht am Montagmorgen um 10:24 Uhr ins Finanzamt und klopft an Zimmer Nummer 105, um Herrn Meier nach der Uhrzeit zu fragen. Ihr geht erst wieder weg, wenn Herr Meier Euch gesagt hat, wie spät es ist."

Montagmorgen, 10:24 Uhr: 2254 Leute stürmen in das Finanzamt und zertrümmern die Tür von Herrn Meiers Dienstzimmer. Dieser ist völlig überrascht, warum plötzlich alle wissen wollen, wie spät es ist. Die ersten Anfragen beantwortet er noch höflich, dann nimmt der Mob aber überhand und Herr Meier ist gezwungen, sie mit seinem Stuhl aus der Tür zu treiben. Von Uhrzeit-Auskünften will er schon nach kurzer Zeit nichts mehr wissen und ruft verzweifelt den Pförtner an.

Der Pförtner hatte sich schon gewundert, wieso plötzlich 2254 Leute die Gänge verstopfen und zu Herrn Meier in Zimmer 105 wollen. Er musste schon Leute, die zu anderen Finanzbeamten wollten, abweisen, da sie kaum zu deren Dienstzimmern gekommen wären. Da klingelt sein Telefon und Herr Meier bittet um Hilfe. Der Pförtner weiß sich nicht anders zu helfen und sperrt erst einmal die Tür zum Finanzamt ab. Leider legt er damit die Behörde lahm, aber nur so kann er stückweise die Flure räumen, ohne dass die immer noch hypnotisierten Menschen gleich wieder ins Amt drängen.

Er räumt also die Flure und die hypnotisierten Menschen stehen vor der Tür in der Kälte. Dort behindern sie zwar den Straßenverkehr, aber da er nicht zum Erliegen kommt, sieht sich die Polizei nicht genötigt, tätig zu werden. Nach etwa einem halben Tag werden die hypnotisierten Menschen müde und gehen aus eigenem Antrieb nach Hause.

Am nächsten Tag lese ich in der Zeitung: "Aufruhr im Finanzamt. Finanzbeamter Herr Meier ist wegen eines Nervenzusammenbruch ambulant behandelt worden. Das Finanzamt war für einen Tag geschlossen. Trotz intensiver Recherche konnte unser Blatt leider keinen Grund für den Aufruhr ermitteln." Ich lache mir ins Fäustchen und freue mich auf meinen nächsten Steuerbescheid...

[/Sendung mit der Maus-Modus]

Schönen Gruß
Mittwoch

mareike26
15.02.2009, 14:59
Sei doch bitte so lieb und mach einen Wiki-Artikel draus. Ich finds wirklich klasse.

Ostfriese
15.02.2009, 15:35
Mittwoch: Du hast Erpressung ("Geld her oder DDoS") als Motiv vergessen ;)

Mittwoch
15.02.2009, 16:13
Sei doch bitte so lieb und mach einen Wiki-Artikel draus. Ich finds wirklich klasse.

Beizeiten gerne, aber momentan steht der Server auf gelb und das passt thematisch sogar hierher. :shootem:

Schönen Gruß
Mittwoch

mareike26
15.02.2009, 16:21
Manitu scheint Probleme zu haben. Vielleicht war Spammy sauer, dass es beim letzten Mal nicht mit dem Lahmlegen des Rechenzentrums geklappt hat, und versucht es nochmal. Nicht genaues wissen wir noch nicht, wir geben Euch dann aber Bescheid.

grumpfel
15.02.2009, 16:29
Geile Erklärung. Ich glaube das wäre doch was für ein katzenjens-video da dieser eh schon viel zu oft wie eine Mischung aus Peter Lustig und Armin von der Sendung mit der Maus angesehen wird.

Allerdings bräuchte man dann noch jemanden, welcher zu den verschiedenen Dingen kleine Grafiken, am besten auch lustig, erstellt.

Fänd ich ein geiles Projekt.

Jens

Mittwoch
15.02.2009, 17:16
Ich glaube das wäre doch was für ein katzenjens-video

*Dummfrag* Katzenjens?

Schönen Gruß
Mittwoch

grumpfel
15.02.2009, 17:20
Definitiv eine Wissenslücke :D
http://www.youtube.com/user/katzenjens

Jens

mareike26
15.02.2009, 17:23
Stimmt. Nette Idee, macht was draus!

Mittwoch
15.02.2009, 22:42
Sei doch bitte so lieb und mach einen Wiki-Artikel draus.

[X] Erledigt, siehe Wie_funktioniert_ein_DDoS

Ich habe den Artikel bisher weder in eine Kategorie eingeordnet noch anderswo verlinkt. Vielleicht könnt Ihr mir ja dabei helfen: In welche Kategorie gehört er? Wo sollte der verlinkt werden?



Definitiv eine Wissenslücke :D

Nachdem ich mir einige Videos angesehen habe, finde ich das mit einer Umsetzung nicht so toll. Katzenjens ist ohne Zweifel empfehlenswert und immer recht aktuell.

Dennoch sehe ich zwischen dem, was er dort macht, und dem was ich hier geschrieben habe, keine Verbindung. Meine Geschichte keinen direkten aktuellen Bezug, sondern ist als einfache Erklärung gedacht. Seine Videobeiträge veralten recht schnell, und auch wenn YouTube ein langes Gedächtnis hat, interessant sind für NutzerInnen doch immer nur die aktuellsten vier Videos.

Einzig der Duktus irgendwo zwischen Peter Lustig und Sendung mit der Maus könnte als Gemeinsamkeit gelten. Ich denke aber, dass sowohl Katzenjens wie auch ich diesen Ton mit dem gleichen Hintergedanken gewählt haben: Beide Sendungen sind sehr gut gemachte, pädagogisch wohl durchdachte Formate mit großem Erfolg und Wiedererkennungswert, weswegen sie durchaus eines Plagiates würdig sind (war das nicht irgendwo in Asien ein geflügeltes Wort vonwegen "Die Kopie ehrt das Original"?!).

Schönen Gruß
Mittwoch

Goofy
16.02.2009, 18:50
Der Wiki-Artikel ist gut gelungen. Ich habe ihn noch in "Information" und "Computersicherheit" verlinkt.

Das, was Grumpfel vorhat, ist etwas ganz anderes, als seine bisherigen Videos und hat mit denen thematisch nichts zu tun. Er möchte ein Erklärbär-Video zum Thema "DDoS" machen. Man könnte dann mal ausprobieren, wie gut das angenommen wird, und dann ggf. sowas öfter machen, als eine Art "visuelles Erklärbär-Wiki". Es kann durchaus sein, dass viele Leute sich durch das Medium Video eher angesprochen fühlen als durch einen Artikel. Insofern finde ich die Idee gut.

actro
16.02.2009, 19:13
Die Chancen sind bei der heutigen "Ich will aber nicht lesen!"-Gesellschaft für Videos imho grösser..

*soifz*

kjz1
16.02.2009, 20:56
Über DDoS habe ich schon einiges gelesen. Eine Frage jedoch bleibt: normalerweise werden solche Angriffe durch (geschickte) Filterung auf den Routern abgewendet. Aber lassen sich nicht auch solche Filter in die Knie zwingen? Wenn ich an die Russkis mit ihren gigantischen Botnetzen denke, deren Zombiezahl sich teilweise im Millionenbereich bewegt, könnten diese nicht auch mit 'brutaler Gewalt' selbst die weltweit größten Rechenzentren 'in die Knie prügeln'?
z. Bsp. das DE-CIX lahmlegen? Beim Bluefrog-Angriff hat ja z. Bsp. Leo wohl schon einmal halb Kanada 'vom Netz genommen'.... (damals wurden wohl die DNS-Server des größten kanad. Registrars sturmreif ge'ddos't, mit der Folge, dass die Hälfte aller kanadischen Domains offline war).

Fragt sich,

- kjz

actro
16.02.2009, 20:59
Mit ner SYN-Flood auf den Switch kannst Du das ganze Rechenzentrum aus dem Netz bomben, wenn Du es schaffst, die Kapazität zu überschreiten, die der wegpackt..

kjz1
16.02.2009, 21:30
Mit ner SYN-Flood auf den Switch kannst Du das ganze Rechenzentrum aus dem Netz bomben, wenn Du es schaffst, die Kapazität zu überschreiten, die der wegpackt..

Und genau da setzt ja meine Frage/Mahnung an: haben die Russkis nicht längst die nötige Kapazität, um jeden - ich wiederhole - JEDEN aus dem Netz zu bomben, wenn sie es denn wollen... Sprich: eine Angriffskapazität, die selbst die dicksten derzeitigen Router/Switches auf dem Markt nicht mehr 'wegstecken' können?

- kjz

actro
16.02.2009, 21:46
Theoretisch sicher.. Da werden dann, soweit ich weiß, auch schnell mal ganze Länder "abgeklemmt", wenns denn nicht anders geht.
Man kann wohl auch an den Knoten filtern, den DE-CIX kloppt wohl so schnell keiner aus dem Netz.

Sirius
16.02.2009, 21:59
haben die Russkis nicht längst die nötige Kapazität, um jeden - ich wiederhole - JEDEN aus dem Netz zu bomben, wenn sie es denn wollen...Und warum sollten sie das tun? Die wollen auch nur Geld verdienen. ;)

Der derzeitige DDoS ist jedenfalls dilettantisch. Seit Dezember werden alle möglichen Verbraucherschutzseiten mit DDoS-Attacken überzogen. Manche Webseiten knicken ein, die meisten aber nicht. Der "böse" Russki war das sicher nicht.

BTW. Was die Rechenkapazität anbelangt, sollte der Blick nicht unbedingt nach Osten gehen. Genau anders herum wird ein Schuh daraus. Aber "die" machen keinen infantilen DDoS, sondern nutzen ihre Ressourcen zu ganz anderen Zwecken und sind tatsächlich schon fast unter deinem Bett...

Liquid-Sky-Net
16.02.2009, 22:32
und sind tatsächlich schon fast unter deinem Bett...

Da werden sie hier aber ein Problem bekommen. Unter unserem Bett liegt ein schwarzer Mann schwarzes Loch.


Ich sehe das genau so wie Sirius.

Die Ddos gegen die Verbraucherschutzforen sind ganz bestimmt nicht von den Ruskis. Die könnten uns ohne weiteres wegknallen. Schneller als wir gucken könnten. Nur wir sind für die eher uninteressant. Ein Antispam e.V. oder andere Verbraucherschutzforen tun denen nicht weh. Gegen die sind wir machtlos - bis aufs Filtern halt.

Anders sieht das bei den kleinen Abzockern aus Deutschland/Schweiz aus. Die bekommen des öfteren einen Tritt zwischen die Beine. Sowas schmerzt wenn z.B. das Konto auf einmal weg ist.

Ich muß zugeben, ich hätte eine Wette verloren. Ich dachte pünktlich zu Weihnachten zerschießen die u.a. wieder Antispam durch ne Ddos. Aber antscheinend fehlt denen auch in dem Bereich das Geld für nen "gescheiten" Abschuss. Oder unsere Admins werden einfach besser. ;)

Ich wills ehrlichgesagt auch gar nicht wissen.

Fakt ist - wir sind online! ;)

Ostfriese
16.02.2009, 23:01
Ich muß zugeben, ich hätte eine Wette verloren. Ich dachte pünktlich zu Weihnachten zerschießen die u.a. wieder Antispam durch ne Ddos. Aber antscheinend fehlt denen auch in dem Bereich das Geld für nen "gescheiten" Abschuss. Oder unsere Admins werden einfach besser. ;)
Ohne die Leistungen unserer Admins schmälern zu wollen, aber vielleicht bekommt $Spammy auch die Auswirkungen der Finanzkriese zu spüren und ihm fehlt (auch dank uns) das nötige Kleingeld für nen ordentliches Botnet :D

Mittwoch
16.02.2009, 23:09
Hmm, hier wird eine Menge gemutmaßt. Ich persönlich habe keine Ahnung, wozu "die Ruskis" in der Lage sind oder auch nicht, nichtmal ansatzweise.
Daher meine Frage in die Runde nach Querverweisen zu anderen Quellen: Woran kann ich die ungefähre Leistungsfähigkeit eines Botnetzes ermessen?

Meiner Meinung nach muss man zwischen den Botnetzkapazitäten für Mailversand und denen für DDoS-Attacken unterscheiden. Bei ersteren ist eine Gleichzeitigkeit kaum erwünscht bzw. nebensächlich. Bei Letzterem hingegen muss man eine Menge Rechner auf ein enges Zeitfenster koordinieren, was meinen laienhaften Programmierkenntnissen zufolge um einiges schwieriger zu handhaben sein dürfte. Demzufolge nehme ich an, dass die DDoS-Kapazitäten bei weiten unter denen der Mailzombies liegen dürfte.

Schönen Gruß
Mittwoch

Sirius
16.02.2009, 23:17
Demzufolge nehme ich an, dass die DDoS-Kapazitäten bei weiten unter denen der Mailzombies liegen dürfte.Das ist richtig. Ein leistungsfähiges Botnet sieht anders aus. Anscheinend werden für den DDoS nur ein paar Drohen "abgezweigt" oder bei den Spacken ist tatsächlich das Ende der Fahnenstange erreicht.


Woran kann ich die ungefähre Leistungsfähigkeit eines Botnetzes ermessen? Zum Beispiel anhand dieser Diagramme. In den Diagrammen sollte mindestens ein Peak zu sehen sein, der mit der DDoS-Attacke korreliert und auf verstärkte Netzaktivität hindeutet: http://traffic.velia.net/cgi-bin/smokeping.cgi?target=World.Europe.Germany

Ostfriese
16.02.2009, 23:20
Also als Programmierer gebe ich Dir für spontane DDoSe uneingeschränkt Recht. Sowas dürfte (zum Glück) sehr schwer zu realisieren und koordinieren sein.

Anders dürfte es aber aussehen, wenn man den DDoS mit einer gewissen Vorlaufzeit koordiniert. Soll heißen, wenn der Bot-Master seinen Zombies z.B. den Befehl gibt, am 17.02.09 12:45 MEZ die Seite Antispam.de aufzurufen, dürfte die Sache schon wieder ganz anders aussehen.

TillP
16.02.2009, 23:26
Tatsache ist: Ein DDoS lässt sich, je nach DDoS, besser oder schlechter abwehren.

Aber, um einen Provider in die Knie zu zwingen, braucht man ein verdammt großes Botnetz.

Nehmen wir mal das Beispiel dieser Seite: Die meisten Besucher dieser Seite kommen aus Deutschland. Also wäre es zur Abwehr eines wirklich großen DDoS zum Beispiel möglich, einfach sämtliche nicht-Deutschen Dial-up IPs zu blocken.
Das kann schon auf den Edge-Routern der Provider(nicht Manitu, sondern dessen Uplink) erfolgen, die Kisten lassen sich nicht durch ein paar Millionen Verbindungen killen.

Gerade bei Seiten mit einer lokal begrenzten Zielgruppe ist es recht einfach, die anderen Regionen zu blocken.
Natürlich ist es theoretisch auch möglich, einen großen Provider in die Knie zu zwingen, aber praktisch wird das darüber entschärft, dass einige der Hauptangriffsquellen einfach mal komplett geblockt werden.

Man darf nicht vergessen: Ein Land wie Estland(oder war es Lettland oder Littauen?) lässt sich relativ schnell überlasten und vom Netz nehmen, aber die großen Provider in Deutschland haben da doch noch andere Dimensionen.

Sirius
16.02.2009, 23:34
Also wäre es zur Abwehr eines wirklich großen DDoS zum Beispiel möglich, einfach sämtliche nicht-Deutschen Dial-up IPs zu blocken.Es kommt darauf an, wo man ansetzt. Falls die Nameserver attackiert ("überlastet") werden, ist es nichts mit einfachem Blocken. Die Seite läuft dann noch, aber wird nicht mehr aufgelöst. Jede Kette ist bekanntlich nur so stark wie ihr schwächstes Glied....

TillP
16.02.2009, 23:44
Man kann auch den Zugriff auf die Nameserver beschränken.

Zum Beispiel kann man einen Nameserver, der Authoritative Nameserver für eine Anzahl deutscher Domains ist, eben zeitweise schützen, indem er nur Anfragen aus dem deutschen IP-Bereich erhält.


Natürlich sind erfolgreiche Angriffe möglich, aber in der Regel nur für wenige Stunden, länger ist sehr aufwendig, da dann der Angreifer seinen Angriff ständig an die Gegenmaßnahmen des Providers anpassen muss.

Schnubbi
17.02.2009, 10:04
Also wäre es zur Abwehr eines wirklich großen DDoS zum Beispiel möglich, einfach sämtliche nicht-Deutschen Dial-up IPs zu blocken.

Wäre das nicht so - um bei dem schönen Beispiel zu bleiben - wie Mittwoch es so schön beschrieb:


Der Pförtner weiß sich nicht anders zu helfen und sperrt erst einmal die Tür zum Finanzamt ab. Leider legt er damit die Behörde lahm

... daß also allein durch die Tätigkeit des Blockens auch sämtliche anderen Funktionen erheblich verlangsamt oder gestoppt würden? Also auch das Einloggen von deutschen IPs?

Das wäre ungefähr so, als wenn ein Türsteher vor der Disco nicht nur einfache Gesichtskontrolle macht, sondern eine ausführliche Durchsuchung jedes einzelnen Gastes incl. Leibesvisitation. :cool: Bis er damit fertig ist, ist das Wochenende vorbei. :sick:

Sirius
17.02.2009, 11:15
Man kann auch den Zugriff auf die Nameserver beschränken.

Zum Beispiel kann man einen Nameserver, der Authoritative Nameserver für eine Anzahl deutscher Domains ist, eben zeitweise schützen, indem er nur Anfragen aus dem deutschen IP-Bereich erhält.Theoretisch geht das schon. Aber ab dem Moment, an dem die Anzahl der Anfragen den Server soweit belasten, dass er nicht mehr mit den Antworten oder Sperren hinterher kommt, ist Schluß.

Wenn der Server länger als den mittleren Zeitabstand zweier Anfragen braucht, um die Herkunft einer IP zu ermitteln und darauf zu reagieren, dann geht ihm ganz schnell die Puste aus.

TillP
17.02.2009, 11:51
Die Sperre im Server ist schon zu spät, dass muss in dem Router erfolgen.

Das geht logischerweise nicht in jedem Router, sondern nur, wenn dieser Router z.B. nur Server für den deutschen IP-Raum bedient. Je nach Gerät kann man Pakete bereits in der Eingangsschnittstelle verwerfen, das geht sogar deutlich schneller als normales Routing.

Klar, man kann jeden Router überlasten(bei dem ist es aber sehr schwierig: http://en.wikipedia.org/wiki/CRS-1 ), aber um einen langfristigen DDoS durchzuführen, braucht man ein verdammt großes Botnetz.
Was man auch nicht vergessen darf: Je länger der DDoS dauert, desto größer die Wahrscheinlichkeit, dass die Nutzer der Zombies etwas bemerken, weil das Surfen plötzlich so langsam ist.

kjz1
17.02.2009, 11:51
Theoretisch geht das schon. Aber ab dem Moment, an dem die Anzahl der Anfragen den Server soweit belasten, dass er nicht mehr mit den Antworten oder Sperren hinterher kommt, ist Schluß.

So hatte ich das auch gemeint. Auch Filtern und Sperren kostet CPU-Zeit, wenn auch wenig, so aber doch >0. Und bei einem massivsten Angriff geht halt eben dann auch 'der Filter in die Knie'. Deutsche Spammer haben dafür wahrscheinlich weder das Geld noch die Ressourcen, aber im Osten.... Wie schon bereits an anderer Stelle gesagt: hätte Leo und Konsorten etwas gegen Antispam, so wäre nicht nur dieser Server, sondern der gesamte ISP geplättet. Und dies auf Dauer. Wie die Bluefrog-Attacke zeigt, wurden da schon größere Kaliber aus dem Netz 'gebombt'.

- kjz

Schnubbi
17.02.2009, 11:57
desto größer die Wahrscheinlichkeit, dass die Nutzer der Zombies etwas bemerken
Och - ich glaube, das ist dabei noch das kleinste Problem. Sie haben ja auch nicht bemerkt, daß sie zu Zombies wurden. :clown: :rolleyes:

Arthur
17.02.2009, 13:22
Was man auch nicht vergessen darf: Je länger der DDoS dauert, desto größer die Wahrscheinlichkeit, dass die Nutzer der Zombies etwas bemerken, weil das Surfen plötzlich so langsam ist.
User, die es aus welchen Gründen fertiggebracht haben, dass ihr PC infiziert und verseucht wurde,
sind deren PC meist dermaßen verseucht, dass eher ihre "Performance" als Zombie darunter leidet...

Arthur
26.02.2011, 19:33
War das eben sowas oder Routinewartung?

CB ist z .Z noch off

cmds
26.02.2011, 19:37
Betriebssystem Update - normales Herunterfahren des Forums

Mittwoch
26.02.2011, 19:37
War das eben sowas oder Routinewartung?

Hier war/ist es ne Wartung. Kann sein, dass das Forum am Wochenende hin und wieder nicht erreichbar ist.

exe
26.02.2011, 21:23
Wir machen immer wieder sporadisch Updates um am Ball zu bleiben. Dabei kann es vorkommen, dass unsere komplette Seite kurz im Wartungsmodus ist.

gation
26.02.2011, 22:30
erledigt :)

Schorchgrinder
26.02.2011, 23:49
Wus? Für das Debilan gibt es Updates? Ik dachte da reicht der Sack Körner ^^

gation
28.02.2011, 18:55
cb off?

(ich frage mal -meistens geht's dann bald wieder)

cmds
28.02.2011, 18:59
https://www.antispam-ev.de/forum/showthread.php?31192-CB&p=297056#post297056

gation
28.02.2011, 19:34
in 4711 verstecken. Mensch, der Arthur hat Ideen :)