DOS-Attacke / Anzeige stellen?

N

nitrit

Angesehenes Mitglied
Ich hatte gestern über 1h lang eine DOS-Attacke. Es war von einem einzigen Server.
Durch 3 Hardware-Reboots, einige Kniffe und die Sperrung in den ipTables konnte ich dann den Angriff blocken.
Trotzdem wars für mich 1h Stress pur.

Ich habe die IP natürlich geloggt mit über 7000 Zugriffen, ca. 2 / Sekunde. Diese Zugriffsmenge mag bei "dicken" Servern nichts ausmachen, trotzdem wird anhand der Logs klar, dass das ein DOS-Angriff war.


Lohnt es sich dagegen vorzugehen? Was passiert denn, wenn ich zur Polizei gehe und deswegen Anzeige erstatte?
 
kommt drauf an ob der Angreifer bezüglich Rechtsraum "greifbar" ist. Sollter er aus Moskau kommen kannste die Sache wohl vergessen. Sollte er allerdings aus deinem land kommen und du kannst zweifelsfrei nachweisen das Nutzer der IP aich der Angreifer sein muss würde ich Strafantrag stellen. Den brauchst du auch um die Nutzerverbindung von der TeleKom zu bekommen. Die behalten ihre Daten aber nicht ewig . daher ist Eile geboten.

lg Ronny
 
Ich hatte früher ein ähnliches Problem habe auch eine Anzeige gestellt leider ohne Erfolg allerdings haben sich die Angriffe nach der Anzeige auch nicht mehr wiederholt also ich würde auf jeden fall eine Anzeige stellen...
 
Eine Abuse Meldung an die hinterlegte Abuse-Adresse (Ripe, Arin, etc. Datenbank anschauen) sollte ausreichen. Bei einem einzigen angreifenden Rechner lohnt sich der juristische Aufwand meist nicht.
 
Es muss sich bei 2 Zugriffen / Sekunde nicht unbedingt um eine versuchte DOS Attacke handeln. Vorallem weil der vermeintliche Angriff auch von nur einer einzigen IP ausgegangen ist. Meiner Erfahrung nach, kann dies auch mehrere "harmlose" Gründe haben.

Zum einen kann es sich um einen per Wurm infizierten Rechner handeln, welcher sich bei deiner Seite aufgehangen hat und dadurch und weil ihm neuer Input fehlte immer wieder deine Seite geladen hat. Oft fehlen diesen Dingern die nötigen Abbruchprozeduren und die versuchen es solange weiter, bis der Rechner neu gestartet wurde und sich das Programm neue Parameter holt.

Anders kann dies allerdings auch durch Programmierer passieren, welche Programme testen die Domainnamen, Links oder andere Daten sammeln und dann durch den oben genannten Fehler irgendwann in einer Endlosschleife hängen und dann auch immer wieder deine Seite laden ohne dies rechtzeitig zu bemerken weil man grade einen Kaffee trinken ist oder das Programm nachts durchlaufen lassen wollte.

Es kann natürlich auch sein, dass jemand ein Programm benutzt hat um die Sicherheit deines Systems zu testen, was im allgemeinen noch nicht wirklich strafbar wäre, wenn dahinter ein "guter wille" steht.

Dann kommen dazu natürlich noch die SkriptKiddies die grade irgendeinen "neuen" Trick ausprobieren wollten.

Also eine Strafanzeige ist schon in Ordnung, allerdings sollte man grade bei einer so schwachen vermeintlichen DOS Attacke doch erst überlegen ob man wirklich Ziel davon werden könnte "Sprich interessant genug ist damit sich dies lohnt" oder ob es doch nicht vielleicht dein Nachbar ist der sich einen Wurm eingefangen hat oder gar irgendein Programmierer der "fahrlässig" dafür verantwortlich ist.

MFG
 
QUOTE (nitrit @ Do 7.01.2010, 10:50)Ich habe die IP natürlich geloggt mit über 7000 Zugriffen, ca. 2 / Sekunde. Diese Zugriffsmenge mag bei "dicken" Servern nichts ausmachen, trotzdem wird anhand der Logs klar, dass das ein DOS-Angriff war.

Das ist doch weder ein DOS noch ein DDOS, sondern Alltag.


Da läßt jemand Xenu oder irgendein anderes Tool über eine ganze Domain laufen.

2 Aufrufe pro Sekunde von einer IP ist doch überhaupt nichts.

Wenn ich Polizist wäre, dann würde ich deine Anzeige sofort zu den Akten legen.
 
Na, ich schätze wenn du Polizist wärst hättest du nicht den geringsten Schimmer ob das viel oder wenig ist, bzw. worum es überhaupt geht.
biggrin.gif


 
@Jürgen:
Ist nicht ganz richtig. Das is ja nur der Durchschnitt, der hier berechnet wurde.
Da sind vereinzelt 10 Anfragen / Sekunde zu finden. Ausserdem spielt das _hier_ keine Rolle. Es war zu viel!

Du scheinst nicht zu differenzieren. Dass das bei dir auftaucht kann ich mir gut denken, denn da gibt es ja ganz viele DB-Requests.
Dass sowas bei Facebook auftaucht, ist allemal normal.
Bei mir haben die Anfragen aber so wie er sie gemacht hat, keinen Sinn gemacht, wer will 2 mal pro Sekunde die Hauptseite sehen? Du? Wohl kaum!

Denn:
Eine normale Anfrage sieht so in der Art aus "GET [bla...] file", bis auf den ersten request "GET /".
So. Er hat die Seite ein paar mal (ca. 15 Mal) normal aufgerufen um die Seite zu analysieren. Das war 3 Stunden _vor_ der Attacke!
Danach (3 Stunden später) kamen tausende Requests aufeinmal auf das Root-Verzeichnis der httpdocs ("GET /").
Mein Server ist dafür nicht ausgelegt bisher und angesichts der Besucherzahlen muss er das so auch nicht (!), der Server hat eine NORMALE Auslastung von 10-20 %.

Nur mit dieser IP wurde der Server zu 100% ausgelastet. Das IST ein DOS-Angriff.



@SPIA:
Natürlich habe ich mir darüber auch Gedanken gemacht, für mich, als den Schadensträger spielt das aber keine Rolle.
Unwissenheit schützt vor Strafe nicht!. Das gilt im Leben, wie auch im Netz.
Wenn jemand das "ausversehen" gemacht hat, dann heißt das nicht, dass er dafür nicht haften muss.
Ich erinnere an das Gerichtsurteil von illegalen Downloads bei offenen WLAN-Netzwerken, wo auch der _Inhaber_ des Netzwerks haftet
und eben nicht der eigentliche Verursacher!

Auch laut Definition war es eine DOS-Attacke.
 
Ich kann schon verstehen, dass dich dieser Angriff und die Zeit, welche du zum blocken der Verbindungen gebraucht hattest schon ziemlich ärgern. Allerdings wollte ich in meinem Post ja auch nur verdeutlichen, dass es die Möglichkeit gibt, dass es sich um keine bewusste Attacke gehandelt haben könnte.

Niemand ist zb. 100% sicher vor Würmern und anderem Getier geschützt und versetz dich einmal in die Lage, dass deinem Rechner sowas passiert und dann im schlimmsten Fall die Polizei bei dir steht und dir die Rechner zur Beweißsicherung abnimmt.

Sicherlich gibt es immer auch Möglichkeiten seinen Rechner zu konfigurieren und/oder Programme so zu entwickeln, dass diese Fehler nicht auftreten, allerdings gibt es auch immer Möglichkeiten, seine Server so zu konfigurieren, dass dieses nicht mehr passiert. So ist zumindest bei kleineren Angriffen wie es bei dir der Fall gewesen ist auch immer eine Frage der "Mitschuld" zu stellen.

Bei großen High-Volume DDoS Attacken ist man da natürlich machtlos.

Mein Tipp: Einfach nochmal drüber schlafen und sich danach in aller Ruhe die Logfiles ansehen und einmal im klaren Kopf überlegen was das Ziel gewesen sein könnte und wie man sich davor besser schützen kann.
Den Strafantrag kann man dann ja auch immer noch stellen.
 
@nitrit: Das kann dir heute und morgen passieren - und übermorgen dann dreimal. Willst Du da jedesmal zur Polizei rennen?

Bei mir gibt es regelmäßig Serien (60 Aufrufe in einer Sekunde) auf Adressen

/scripts/setup.php
/phpMyAdmin-2.6.1-rc2/config/config.inc.php

die ganzen phpMyAdmin-Varianten und diverse weitere typische Scriptadressen durch - obwohl mein Server mitteilt, daß er ein IIS sei (also wird wohl kaum PHP laufen).


Hast Du die IP überprüft? Die kann heute aus Kanada, morgen aus Russland, übermorgen aus Australien sein - und mit viel Glück ist auch mal eine deutsche IP dabei - dann rennst Du zur Polizei?

Es kommt nichts dabei raus - es kostet bloß sinnlos Zeit.

Und wenn es ein DOS gewesen wäre, dann wäre es ja weitergegangen und hätte nicht nach einer Stunde aufgehört.

Es gibt so dermaßen viele fehlerhaft programmierte Spider, die irgendwo auf Domains rumwüten. Das ist einfach im Web ein unvermeidliches Grundrauschen. Wer sich dadurch gestreßt fühlt, der soll keinen Webdienst anbieten.
 
Gabs denn einen (z.B. finanziellen) Schaden? (abgesehen von dieser einen Stunde deines Lebens). Das dürfte wohl der einzige Grund sein, überhaupt eine Anzeige zu erstatten.

Ps.:
Schau dir mal die beiden Apache-Module mod_evasive und mod_security an.
 
@Alonso:
Zum Einen ist Zeitaufwand ein finanzieller Schaden, zum Anderen habe ich in diesem Zeitraum keine Besucher empfangen,
was sich in den Werbeeinnahmen niederschlägt.

Enorm hoch ist natürlich der Schaden nicht, aber es nervt einfach nur.

@all: Die IP ist offensichtlich ein fester Server, kommt aus Amsterdam.

QUOTE Es kommt nichts dabei raus - es kostet bloß sinnlos Zeit.

Genau da liegt das Problem, der Grund meiner Fragestellung hier auf Ayom.


QUOTE Und wenn es ein DOS gewesen wäre, dann wäre es ja weitergegangen und hätte nicht nach einer Stunde aufgehört.

Es hat nicht aufgehört!! Ich habe es gestoppt. Da es nur eine IP war, hatte er da keine Chance, trotzdem hat es mich recht großen Aufwand gekostet.


QUOTE
Es gibt so dermaßen viele fehlerhaft programmierte Spider, die irgendwo auf Domains rumwüten. Das ist einfach im Web ein unvermeidliches Grundrauschen. Wer sich dadurch gestreßt fühlt, der soll keinen Webdienst anbieten.


Das mag stimmen. Meistens kann man dann aber was nachverfolgen, denn normale Spider "outen" sich
wink.gif

Ausserdem ist ein Spider nicht permanent auf "/" unterwegs.
 
QUOTE Die IP ist offensichtlich ein fester Server, kommt aus Amsterdam.


Du kannst die IP ja einmal hier eingeben, die sammeln dort eine Menge Daten Schadhafte IPs und einmal nachschauen ob die Adresse dort schon bekannt ist und was sonst so alles von dem Server kommt.

http://projecthoneypot.org

 
QUOTE (nitrit @ Do 7.01.2010, 14:37)
QUOTE
Es gibt so dermaßen viele fehlerhaft programmierte Spider, die irgendwo auf Domains rumwüten.


Ausserdem ist ein Spider nicht permanent auf "/" unterwegs.

FEHLERHAFTE Spider schon. Stichwort: unbeabsichtigte Endlosschleife.
Wie es zu sowas kommen kann wurde ja oben schon beschrieben.
 
QUOTE (nitrit @ Do 7.01.2010, 15:37)Meistens kann man dann aber was nachverfolgen, denn normale Spider "outen" sich
wink.gif

Ausserdem ist ein Spider nicht permanent auf "/" unterwegs.

Ich habe schon so viel an unsinnigen Spiderzugriffen gesehen.

Selbst Yahoo brachte es mal eine Weile fertig, mein Xml-lernen von / anstatt vom Unterverzeichnis /xml-lernen/ zu spidern, kam wohl irgendwie mit der relativen Verlinkung nicht zurecht, kassierte reihenweise 404.

Google hat auch mal längere Zeit auf /xml-lernen//Seitenname.html zugegriffen. Oder es wurde mal ein /xml-lernen.aspx gesucht - keine Ahnung, wo das herkam (die Domain läuft nicht auf dem IIS von Server-Daten, hat nur statische Html-Seiten).

Da muß nur von außen her irgendein Link merkwürdig gesetzt sein - und dann produziert die eigene Website womöglich Aufrufe, die man ansonsten nie zu Gesicht bekommt.


Es gibt im Web zwei Möglichkeiten: Entweder die Ressourcen bereitstellen, so daß man das ignorieren kann, weil es nicht stört. Oder irgendeine mehr oder weniger systematische Aussperrmethodik.

Bestimmte Sauger blocke ich bsp. innerhalb von Server-Daten zentral, indem die sofort einen 410 und keinerlei Inhalt bekommen. Dann kann auch nichts nachverfolgt werden. Umgekehrt lasse ich bsp. selbst Xenu bei irgendeiner Neueinrichtung über eine Kundendatenbank rennen, um mögliche fehlerhafte Links zu finden.
 
QUOTE (nitrit @ Do 7.01.2010, 15:37) @Alonso:
Zum Einen ist Zeitaufwand ein finanzieller Schaden, zum Anderen habe ich in diesem Zeitraum keine Besucher empfangen,
was sich in den Werbeeinnahmen niederschlägt.

Enorm hoch ist natürlich der Schaden nicht, aber es nervt einfach nur.

Was ich damit eigebtlich aussagen wollte;
Für einen "Schaden" von ~100€ lohnt sich das ganze kaum. Der Aufwand für einen solchen Fall übersteigt den Schaden um einen grossen Faktor. Du kannst dir daher selbst ausrechnen wie ernst sowas genommen wird (auch wenn's offiziell natürlich anders ist).
 
Ich hatte das auch vor einem Jahr mal ziemlich regelmäßig, dass irgendjemand irgendetwas an meinem Server versucht hat. Mal waren es kleine DDoS, mal versuchte Angriffe auf SSH Ebene und natürlich auch die Versuche über Formulare oder Ähnliches.

Die DDoS Attacken dauerten bei mir in etwa auch immer 1-2 Stunden, allerdings mehrmals am Tag. Mein damaliger Server-Vermieter (S4Y) war da recht flott und sperrte die IP's kurzerhand, nachdem auch Sie sich von der Echtheit der Attacke überzeugt hatten.

Bei den anderen Angriffen hab ich die investierte Zeit (Logfile-Analyse, Systemsicherung etc) niemals als verschwendete Zeit angesehen, sondern vielmehr in gut investierte Arbeit, meine Systeme so sicher wie möglich zu machen.

Ich glaube auch, dass es den Aufwand wegen einer IP nicht wert ist.


MfG TTlong
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben