DDos Angriff

05/13/2013 18:30 Mr.Zoey#1

Hallo unser Root wird andauernt Geddost und ich m�chte euch mal nach Hilfe Fragen :(

HTML Code:

2013.05.13 16:39:18 UDP: 128.218.206.154:49575 -> :9987 flags:  size: 1522
2013.05.13 16:39:18 UDP: 38.100.130.247:38382 -> :6881 flags:  size: 1522
2013.05.13 16:39:18 UDP: 174.110.0.215:0 -> :0 flags:  size: 1522
2013.05.13 16:39:18 UDP: 218.23.97.89:27315 -> :27005 flags:  size: 1522
2013.05.13 16:39:18 UDP: 209.6.19.143:0 -> :0 flags:  size: 1522
2013.05.13 16:39:18 UDP: 78.191.145.103:39795 -> :80 flags:  size: 63
2013.05.13 16:39:18 UDP: 24.109.83.165:53 -> :49940 flags:  size: 1522
2013.05.13 16:39:18 UDP: 67.240.161.95:0 -> :0 flags:  size: 1522
2013.05.13 16:39:18 UDP: 122.210.210.247:49664 -> :80 flags:  size: 1522
2013.05.13 16:39:18 UDP: 86.45.221.27:0 -> :0 flags:  size: 1514
2013.05.13 16:39:18 UDP: 219.117.239.66:0 -> :0 flags:  size: 1474
2013.05.13 16:39:18 UDP: 203.165.34.224:80 -> :52694 flags:  size: 1522

das einfach mal ein kleiner ausschnitt ;/

Hoffe ihr k�nnt Helfen

05/13/2013 18:36 Satisfaction'#2

Welchen Anbieter habt ihr?
Ansonsten Stecker vom Router ziehen 15 Sekunden warten und dann wieder reinstecken, denn normalerwei�e kriegst du dann eine neue IP und dann wirst du nicht mehr geDDost bzw. die Angriffe f�hren im Nichts.

Sorry, hab mich verlesen. Habe statt Root, Router gelesen. :o

05/13/2013 18:37 UGProjekt#3

Den Anbieter bzw. Hoster kontaktieren.

M.f.G

UGProjekt

05/13/2013 18:55 Mr.Zoey#4

Er kann da leider nichts machen da aus vielen L�ndern bzw mit Proxys geddost wird :(

05/13/2013 19:02 .lexiP#5

hatte mal auch das problem

PHP Code:


			
<IfModule mod_evasive20.c>

  DOSHashTableSize    3097

  DOSPageCount        2

  DOSSiteCount        50

  DOSPageInterval     1

  DOSSiteInterval     1

  DOSBlockingPeriod   10

  DOSSystemCommand "su - someuser -c '/sbin/... %s ...'"

  DOSLogDir "/var/log/apache2/mod_evasive.log"

</IfModule>

Benachrichtigungen via DOSEmailNotify funktionieren nur, wenn das Modul unter /bin/mail einen MTA findet (Aufruf: /bin/mail -t %s); umkonfigurieren kann man das �ber die Konfigurationsdateien nicht, sondern nur �ber mod_evasive.c bzw. mod_evasive20.c.

Interessant wird das Modul erst durch Interaktion mit ener Firewall, die durch den Parameter DOSSystemCommand initiiert wird. : ( [Only registered and activated users can see links. Click Here To Register...] )

PHP Code:


			
  DOSSystemCommand "pfctl -t bruteforce -T add %s"

Wer unter FreeBSD die Firewall pf betreibt, kann mit diesem Aufruf die IP-Adresse %s der Tabelle bruteforce hinzuf�gen.

Philipp Giebel schl�gt als Konfigurationsbeispiel f�r iptables external folgenden Aufruf vor:

PHP Code:


			
  DOSSystemCommand "su - root -c 'iptables -I INPUT -s %s -j DROP'"

Anfragen von IP-Adressen, die geblacklisted wurden, werden dadurch einfach verworfen. Analog k�nnten Shorewall-Betreiber also folgendes versuchen:

PHP Code:


			
  DOSSystemCommand "shorewall drop %s"

Das DOSLogDir leider kein Logfile schreibt, sondern ein Lockfile anlegt, bekommt man kaum mit, was das Modul so treibt. Abgesehen davon sind Blacklist-Automatismen immer ein zweischneidiges Schwert; l�uft beispielsweise illegitimer Zugriff �ber einen Proxyserver, w�rden durch automatisches Blacklisting alle Nutzer dieses Proxys ausgesperrt werden.

Zum Testen wird ein kleines Perl-Skript mitgeliefert, das man unter Debian folgenderma�en aufruft:

PHP Code:


			
# perl /usr/share/doc/libapache2-mod-evasive/examples/test.pl

.

Ob das Modul auch tats�chlich funktioniert, bekommt man durch einen Blick auf die dynamische Blacklist von Shorewall heraus:

PHP Code:


			
  shorewall show dynamic | wc -l

Bei uns gibt dies den Wert "99" aus, das sind die bisher h�ndisch geblockten Hosts. mod_evasive f�gt dieser Liste keine neuen Hosts hinzu, also funktioniert entweder der Shorewall-Aufruf nicht, oder das Modul identifiziert die DDoS-Anfragen nicht.

bei weiteren fragen einfach pnen

05/13/2013 20:36 Zevion#6

Was ist mit der IP wechseln? Oder via VPN rein gehen?

05/13/2013 21:07 Mkv_Bernd#7

Mit der Ip wechseln is so ne Sache,da viele dieses Skype Tool haben,das Sie deine Ip gleich wieder haben.
Und �ber VPN reingehen,ob das dann wirklich alles so Tippi Toppi ist,von der Verbindung,bin ich ein wenig skeptisch.

Warum werden �berhaupt Leute gededost?Da muss doch wohl Streit in der Luft liegen.
Vielleicht kann man so einen Angriff verhindern,wenn man sich einen anderen Router mit neuem Sicherheitskonzept beschafft.

05/13/2013 21:52 Zevion#8

Quote:

Originally Posted by Mkv_Bernd

Mit der Ip wechseln is so ne Sache,da viele dieses Skype Tool haben,das Sie deine Ip gleich wieder haben.
Und �ber VPN reingehen,ob das dann wirklich alles so Tippi Toppi ist,von der Verbindung,bin ich ein wenig skeptisch.

Warum werden �berhaupt Leute gededost?Da muss doch wohl Streit in der Luft liegen.
Vielleicht kann man so einen Angriff verhindern,wenn man sich einen anderen Router mit neuem Sicherheitskonzept beschafft.

Da hast du Recht. Aber es gibt auch ein Tool, der sowas versteckt meine ich :o Oder irre ich mich da?
Klar ist die Verbindung via VPN nicht gut, aber es reicht denke ich mal aus.

In der Metin2 Section genau so, jeder Server wird fast geddost.. Sehr schade!

05/13/2013 22:55 Mr.Zoey#9

Die Anbindung sollte schon noch Vorhanden sein 200+ Player

05/13/2013 23:01 Laymi#10

So mal Realtalk zu DDoS:
IPTables und Software Firewalls wie Beesoft etc. sind zwar hilfreich um kleine Kinder abzuwehren, aber wenn es an die gro�en Dinger geht braucht man einfach eine Hardware Firewall.
Wer das Geld hat sollte sich auch eine Hardware Firewall einbauen lassen(Hetzner macht sowas).
An sonsten geht es leider nicht/kaum.

Zu guter letzt noch ein bedauernswerte Feststellung.
NIEMAND wird wegen einer DDoS Attacke auf einen Flyff Pserver ernsthafte Konsquenzen davon tragen m�ssen - daher auch die hohe Beliebtheit dieser Methode.

MfG

05/14/2013 14:09 -CopyRight-#11

Ne Idee wer es sein k�nnte? evtl in Skype blocken oder den TS meiden.. viel machen kann man da nicht und ein "Sicheren" Router gibt es nicht Kostenlos.Skype und ein paar Games laufen nunmal nicht komplett �bern Server. Ich w�rde den Anbieter dennoch weiter damit Nerven.. vielleicht gehen sie ja mal anders ans Problem ran.. und ja "DDOS" ist Strafbar!

..Polizei bringt denk ich nichts diese sollte wenn vom Anbieter direct kontaktiert werden.

05/14/2013 15:17 Verleihnix#12

Ich finde es mehr als erstaunlich,das Privatleute server betreiber,aber eine brauchbare vorsorge gegen angriffe au�er acht lassen.
Warum,ist mir schleierhaft.
wenn aber wie hier 200+ spieler beteiligt sind und jeder spieler pro monat nur 2 euro geben w�rde,w�re das f�r den einzelnen sehr wenig.Im ganzen kann man damit entsprechende hardware f�r die abwehr bezahlen.
Mich wundert auch nicht,das viele privatrechner einfahc nur m�llhalden sind.Die eigent�mer sind oft sehr versiert bei spielen,geht es aber um die systemsicherheit,dann wird es sehr spannend.
Ich habe es schon oft beobachten m�ssen,das leute sicherheit und vorsorge wegen der damit verbundenen kosten weglassen.Die rechnung daf�r kommt dann im ernstfall erheblich teuerer und aufwendiger.
Das nur mal zum nachdenken am rande.