DDos Angriff

Mr.Zoey · 05/13/2013, 18:30

Hallo unser Root wird andauernt Geddost und ich möchte euch mal nach Hilfe Fragen

HTML Code:

2013.05.13 16:39:18 UDP: 128.218.206.154:49575 -> :9987 flags:  size: 1522
2013.05.13 16:39:18 UDP: 38.100.130.247:38382 -> :6881 flags:  size: 1522
2013.05.13 16:39:18 UDP: 174.110.0.215:0 -> :0 flags:  size: 1522
2013.05.13 16:39:18 UDP: 218.23.97.89:27315 -> :27005 flags:  size: 1522
2013.05.13 16:39:18 UDP: 209.6.19.143:0 -> :0 flags:  size: 1522
2013.05.13 16:39:18 UDP: 78.191.145.103:39795 -> :80 flags:  size: 63
2013.05.13 16:39:18 UDP: 24.109.83.165:53 -> :49940 flags:  size: 1522
2013.05.13 16:39:18 UDP: 67.240.161.95:0 -> :0 flags:  size: 1522
2013.05.13 16:39:18 UDP: 122.210.210.247:49664 -> :80 flags:  size: 1522
2013.05.13 16:39:18 UDP: 86.45.221.27:0 -> :0 flags:  size: 1514
2013.05.13 16:39:18 UDP: 219.117.239.66:0 -> :0 flags:  size: 1474
2013.05.13 16:39:18 UDP: 203.165.34.224:80 -> :52694 flags:  size: 1522

das einfach mal ein kleiner ausschnitt ;/

Hoffe ihr könnt Helfen

Satisfaction' · 05/13/2013, 18:36

Welchen Anbieter habt ihr?
Ansonsten Stecker vom Router ziehen 15 Sekunden warten und dann wieder reinstecken, denn normalerweiße kriegst du dann eine neue IP und dann wirst du nicht mehr geDDost bzw. die Angriffe führen im Nichts.

Sorry, hab mich verlesen. Habe statt Root, Router gelesen.

UGProjekt · 05/13/2013, 18:37

Den Anbieter bzw. Hoster kontaktieren.

M.f.G

UGProjekt

Mr.Zoey · 05/13/2013, 18:55

Er kann da leider nichts machen da aus vielen Ländern bzw mit Proxys geddost wird

~~.lexiP~~ · 05/13/2013, 19:02

hatte mal auch das problem

PHP Code:



<IfModule mod_evasive20.c> 
  DOSHashTableSize    3097 
  DOSPageCount        2 
  DOSSiteCount        50 
  DOSPageInterval     1 
  DOSSiteInterval     1 
  DOSBlockingPeriod   10 
  DOSSystemCommand "su - someuser -c '/sbin/... %s ...'" 
  DOSLogDir "/var/log/apache2/mod_evasive.log" 
</IfModule>

Benachrichtigungen via DOSEmailNotify funktionieren nur, wenn das Modul unter /bin/mail einen MTA findet (Aufruf: /bin/mail -t %s); umkonfigurieren kann man das über die Konfigurationsdateien nicht, sondern nur über mod_evasive.c bzw. mod_evasive20.c.

Interessant wird das Modul erst durch Interaktion mit ener Firewall, die durch den Parameter DOSSystemCommand initiiert wird. : (

)

PHP Code:



  DOSSystemCommand "pfctl -t bruteforce -T add %s"

Wer unter FreeBSD die Firewall pf betreibt, kann mit diesem Aufruf die IP-Adresse %s der Tabelle bruteforce hinzufügen.

Philipp Giebel schlägt als Konfigurationsbeispiel für iptables external folgenden Aufruf vor:

PHP Code:



  DOSSystemCommand "su - root -c 'iptables -I INPUT -s %s -j DROP'"

Anfragen von IP-Adressen, die geblacklisted wurden, werden dadurch einfach verworfen. Analog könnten Shorewall-Betreiber also folgendes versuchen:

PHP Code:



  DOSSystemCommand "shorewall drop %s"

Das DOSLogDir leider kein Logfile schreibt, sondern ein Lockfile anlegt, bekommt man kaum mit, was das Modul so treibt. Abgesehen davon sind Blacklist-Automatismen immer ein zweischneidiges Schwert; läuft beispielsweise illegitimer Zugriff über einen Proxyserver, würden durch automatisches Blacklisting alle Nutzer dieses Proxys ausgesperrt werden.

Zum Testen wird ein kleines Perl-Skript mitgeliefert, das man unter Debian folgendermaßen aufruft:

PHP Code:



# perl /usr/share/doc/libapache2-mod-evasive/examples/test.pl

.

Ob das Modul auch tatsächlich funktioniert, bekommt man durch einen Blick auf die dynamische Blacklist von Shorewall heraus:

PHP Code:



  shorewall show dynamic | wc -l

Bei uns gibt dies den Wert "99" aus, das sind die bisher händisch geblockten Hosts. mod_evasive fügt dieser Liste keine neuen Hosts hinzu, also funktioniert entweder der Shorewall-Aufruf nicht, oder das Modul identifiziert die DDoS-Anfragen nicht.

bei weiteren fragen einfach pnen

Zevion · 05/13/2013, 20:36

Was ist mit der IP wechseln? Oder via VPN rein gehen?

Mkv_Bernd · 05/13/2013, 21:07

Mit der Ip wechseln is so ne Sache,da viele dieses Skype Tool haben,das Sie deine Ip gleich wieder haben.
Und über VPN reingehen,ob das dann wirklich alles so Tippi Toppi ist,von der Verbindung,bin ich ein wenig skeptisch.

Warum werden überhaupt Leute gededost?Da muss doch wohl Streit in der Luft liegen.
Vielleicht kann man so einen Angriff verhindern,wenn man sich einen anderen Router mit neuem Sicherheitskonzept beschafft.

Zevion · 05/13/2013, 21:52

Quote:

Originally Posted by Mkv_Bernd

Mit der Ip wechseln is so ne Sache,da viele dieses Skype Tool haben,das Sie deine Ip gleich wieder haben.
Und über VPN reingehen,ob das dann wirklich alles so Tippi Toppi ist,von der Verbindung,bin ich ein wenig skeptisch.

Warum werden überhaupt Leute gededost?Da muss doch wohl Streit in der Luft liegen.
Vielleicht kann man so einen Angriff verhindern,wenn man sich einen anderen Router mit neuem Sicherheitskonzept beschafft.

Da hast du Recht. Aber es gibt auch ein Tool, der sowas versteckt meine ich

Oder irre ich mich da?
Klar ist die Verbindung via VPN nicht gut, aber es reicht denke ich mal aus.

In der Metin2 Section genau so, jeder Server wird fast geddost.. Sehr schade!

Mr.Zoey · 05/13/2013, 22:55

Die Anbindung sollte schon noch Vorhanden sein 200+ Player

Laymi · 05/13/2013, 23:01

So mal Realtalk zu DDoS:
IPTables und Software Firewalls wie Beesoft etc. sind zwar hilfreich um kleine Kinder abzuwehren, aber wenn es an die großen Dinger geht braucht man einfach eine Hardware Firewall.
Wer das Geld hat sollte sich auch eine Hardware Firewall einbauen lassen(Hetzner macht sowas).
An sonsten geht es leider nicht/kaum.

Zu guter letzt noch ein bedauernswerte Feststellung.
NIEMAND wird wegen einer DDoS Attacke auf einen Flyff Pserver ernsthafte Konsquenzen davon tragen müssen - daher auch die hohe Beliebtheit dieser Methode.

MfG

-CopyRight- · 05/14/2013, 14:09

Ne Idee wer es sein könnte? evtl in Skype blocken oder den TS meiden.. viel machen kann man da nicht und ein "Sicheren" Router gibt es nicht Kostenlos.Skype und ein paar Games laufen nunmal nicht komplett übern Server. Ich würde den Anbieter dennoch weiter damit Nerven.. vielleicht gehen sie ja mal anders ans Problem ran.. und ja "DDOS" ist Strafbar!

..Polizei bringt denk ich nichts diese sollte wenn vom Anbieter direct kontaktiert werden.

Verleihnix · 05/14/2013, 15:17

Ich finde es mehr als erstaunlich,das Privatleute server betreiber,aber eine brauchbare vorsorge gegen angriffe außer acht lassen.
Warum,ist mir schleierhaft.
wenn aber wie hier 200+ spieler beteiligt sind und jeder spieler pro monat nur 2 euro geben würde,wäre das für den einzelnen sehr wenig.Im ganzen kann man damit entsprechende hardware für die abwehr bezahlen.
Mich wundert auch nicht,das viele privatrechner einfahc nur müllhalden sind.Die eigentümer sind oft sehr versiert bei spielen,geht es aber um die systemsicherheit,dann wird es sehr spannend.
Ich habe es schon oft beobachten müssen,das leute sicherheit und vorsorge wegen der damit verbundenen kosten weglassen.Die rechnung dafür kommt dann im ernstfall erheblich teuerer und aufwendiger.
Das nur mal zum nachdenken am rande.