Comments on: DDoS-Abwehr mit Lighttpd und mod_magnet http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/ Zucht und Ordnung from hell Sat, 31 Jul 2010 16:28:24 +0000 http://wordpress.org/?v=2.7 hourly 1 By: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1975 Arno Thu, 13 May 2010 13:18:58 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1975 Nunja, dass der Speicherverbrauch steigt ist logisch, für jeden Request entsteht zusätlicher Overhead durch den Lua-Interpreter (auch wenn das Programm nur einmal tatsächlich geparsed wird). Aber fürs fork kann ich hingegen nichts, wie du in meinem Beispiel oben zweifellos siehst, wird da an keiner Stelle eine Shell gespawnt und auch nirgendwo ein externes Programm gestartet. Such lieber an anderer Stelle, wo dein Lighty und/oder Script ein externes Programm startet. Nunja, dass der Speicherverbrauch steigt ist logisch, für jeden Request entsteht zusätlicher Overhead durch den Lua-Interpreter (auch wenn das Programm nur einmal tatsächlich geparsed wird).
Aber fürs fork kann ich hingegen nichts, wie du in meinem Beispiel oben zweifellos siehst, wird da an keiner Stelle eine Shell gespawnt und auch nirgendwo ein externes Programm gestartet. Such lieber an anderer Stelle, wo dein Lighty und/oder Script ein externes Programm startet.

]]> By: Alexander http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1974 Alexander Wed, 12 May 2010 21:30:43 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1974 Grad mit dem Tip Server hochgejagt. Erst Speicher total voll (bash: fork: Cannot allocate memory) und dann hat er sich verabschiedet... ( Grad mit dem Tip Server hochgejagt. Erst Speicher total voll (bash: fork: Cannot allocate memory) und dann hat er sich verabschiedet…
(

]]> By: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1441 Arno Mon, 13 Oct 2008 14:39:37 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1441 Du kannst auch einfach lighttpd ausmachen: <pre>killall lighttpd</pre> Du kannst auch einfach lighttpd ausmachen:

killall lighttpd
]]> By: blah http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1440 blah Mon, 13 Oct 2008 13:58:28 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1440 Man kann auch einfach ein ulimit setzen ulimit -a Man kann auch einfach ein ulimit setzen
ulimit -a

]]> By: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1370 Arno Tue, 19 Aug 2008 11:08:30 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1370 Ich <a href="http://burnachurch.com/60/syn-flood-kurz-erklaert/" rel="nofollow">weiß</a>, wie toll Perl ist. ;) Ich weiß, wie toll Perl ist. ;)

]]> By: Flo http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1366 Flo Mon, 18 Aug 2008 05:17:52 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1366 Oh, danke Dir für die Antwort. Nein, daß Du ein Allheilmittel präsentieren wolltest, so kam das zumindest bei mir auch gar nicht rüber. Ich hab eh nicht alles davon verstanden. Da ich nie mit solchen Angriffen zu tun hatte und mich eben seit kurzer Zeit mit den verdammt tollen Möglichkeiten von Perl beschäftige, dachte ich mir halt, ich frag mal, wenn man schon einen Fachmann "zur Hand" hat. Es wundert mich bei Deiner Darstellung aber wirklich, daß man einen Angriff dann derart stümpferhaft ausführt. Gut, wahrscheinlich erreicht er auch so schon meist größtenteils seinen Zweck, aber es wäre derartig einfach, das auch noch zu tarnen, daß es mich wunderte und interessierte. Nun gut, dann bin ich soweit auf jeden Fall zufrieden und danke für die Aufmerksamkeit. Einen schönen Tag Dir noch und wenig Ärger mit solcherlei und anderen Problemen wünsche ich mal. Oh, danke Dir für die Antwort.

Nein, daß Du ein Allheilmittel präsentieren wolltest, so kam das zumindest bei mir auch gar nicht rüber. Ich hab eh nicht alles davon verstanden. Da ich nie mit solchen Angriffen zu tun hatte und mich eben seit kurzer Zeit mit den verdammt tollen Möglichkeiten von Perl beschäftige, dachte ich mir halt, ich frag mal, wenn man schon einen Fachmann “zur Hand” hat.

Es wundert mich bei Deiner Darstellung aber wirklich, daß man einen Angriff dann derart stümpferhaft ausführt. Gut, wahrscheinlich erreicht er auch so schon meist größtenteils seinen Zweck, aber es wäre derartig einfach, das auch noch zu tarnen, daß es mich wunderte und interessierte.

Nun gut, dann bin ich soweit auf jeden Fall zufrieden und danke für die Aufmerksamkeit. Einen schönen Tag Dir noch und wenig Ärger mit solcherlei und anderen Problemen wünsche ich mal.

]]> By: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1365 Arno Sun, 17 Aug 2008 20:32:02 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1365 Du hast vollkommen recht und ein guter (bzw. schlechter - je nach Standpunkt) DDoS-Angriff wird auch genügend Entropie in den Anfragen haben, sodass ein statischer Filter nutzlos ist. Meiner Erfahrung nach, ist das jedoch kaum bis nie der Fall. Die allermeisten Angriffe waren zwar wirkungsvoll aber plump und lassen sich relativ einfach filtern. Eine kleine Auswahl: -) Stetige Suchanfragen vier zufällig generierten Buchstaben -) Anfragen an ein und die selbe Seite -) Anfragen mit ein und demselben (User-Agent|Referer|Cookie) etc. -) Anfragen mit immer dem selben Klickpfad -) Fehler/Bugs im Script der Drohne, die immer die selben Fehler im Log erzeugen Du überschätzt die Intelligenz der meisten Angreifer. Überhaupt will ich den Artikel nicht als Allheilmittel verstanden wissen, ich wollte nur exemplarisch (von einem realen DDoS ausgehend) darlegen, wie sich diese beispielsweise filtern lassen. Du hast vollkommen recht und ein guter (bzw. schlechter - je nach Standpunkt) DDoS-Angriff wird auch genügend Entropie in den Anfragen haben, sodass ein statischer Filter nutzlos ist.

Meiner Erfahrung nach, ist das jedoch kaum bis nie der Fall. Die allermeisten Angriffe waren zwar wirkungsvoll aber plump und lassen sich relativ einfach filtern. Eine kleine Auswahl:
-) Stetige Suchanfragen vier zufällig generierten Buchstaben
-) Anfragen an ein und die selbe Seite
-) Anfragen mit ein und demselben (User-Agent|Referer|Cookie) etc.
-) Anfragen mit immer dem selben Klickpfad
-) Fehler/Bugs im Script der Drohne, die immer die selben Fehler im Log erzeugen

Du überschätzt die Intelligenz der meisten Angreifer. Überhaupt will ich den Artikel nicht als Allheilmittel verstanden wissen, ich wollte nur exemplarisch (von einem realen DDoS ausgehend) darlegen, wie sich diese beispielsweise filtern lassen.

]]> By: Flo http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1360 Flo Fri, 15 Aug 2008 18:10:12 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1360 Ja, sicherlich weiß ich das. Also bitte... ;) Außerdem schrob ich ja "einen Berg Rechner". :p Ich gehe allerdings davon aus, daß jemand, der einen Haufen Rechner unter seine Kontrolle hat, dort auch so ziemlich alles tun und lassen kann, wie es ihm beliebt. Man muß Perl ja nicht in C:\Perl installieren, sodaß es gleich auffällt. Und jetzt stell Dich meiner grandiosen Uralt-Möglichkeit, weil ich wüßte da so auf Anhieb keine Lösung. ;) Man kann ja spaßeshalber auch das Verhalten der Anfragen nochmals variabel halten, indem sie nicht immer im gleichen Rythmus von den Angriffsrechnern kommen, indem man zufällige Verzögerungen mit ins Spiel bringt. Dann kommt man mit dem Filtern anhand von Verhalten erst recht ins Schwitzen. Ja, sicherlich weiß ich das. Also bitte… ;)
Außerdem schrob ich ja “einen Berg Rechner”. :p

Ich gehe allerdings davon aus, daß jemand, der einen Haufen Rechner unter seine Kontrolle hat, dort auch so ziemlich alles tun und lassen kann, wie es ihm beliebt. Man muß Perl ja nicht in C:\Perl installieren, sodaß es gleich auffällt.

Und jetzt stell Dich meiner grandiosen Uralt-Möglichkeit, weil ich wüßte da so auf Anhieb keine Lösung. ;)

Man kann ja spaßeshalber auch das Verhalten der Anfragen nochmals variabel halten, indem sie nicht immer im gleichen Rythmus von den Angriffsrechnern kommen, indem man zufällige Verzögerungen mit ins Spiel bringt. Dann kommt man mit dem Filtern anhand von Verhalten erst recht ins Schwitzen.

]]> By: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1359 Arno Fri, 15 Aug 2008 17:11:03 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1359 Du weißt aber schon, wofür das erste "D" in DDoS steht oder? Ein DoS mit nur einem D langweilt den durchschnittlichen Server eher. Und eben jenes "D" zusätzlich macht einen gewaltigen Unterschied zur Verfügbarkeit von Perl beispielsweise. Du weißt aber schon, wofür das erste “D” in DDoS steht oder? Ein DoS mit nur einem D langweilt den durchschnittlichen Server eher. Und eben jenes “D” zusätzlich macht einen gewaltigen Unterschied zur Verfügbarkeit von Perl beispielsweise.

]]> By: Flo http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1358 Flo Fri, 15 Aug 2008 03:32:42 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1358 Mittels Perl kann man, soweit ich das mittlerweile weiß, so ziemlich jeden User-Agent übermitteln. Das dann noch ständig zufallsbedingt zu wechseln, ist auch kein Problem. Habe ich dann noch einen Berg Rechner, auf denen mein Perl-Script läuft und Dir ständig was anderes schickt, was tust Du dann? Ist echt jemand so blöd und wechselt die "Browserinfos" nicht, wenn er einen solchen Angriff ausführt? Jeder, der sowas tut, weiß doch wohl sicher, daß das schlichtweg zu auffällig wäre und schreibt halt ein paar Zeilen mehr ins Script. Das kann ja wirklich jeder Depp. ;) Mittels Perl kann man, soweit ich das mittlerweile weiß, so ziemlich jeden User-Agent übermitteln. Das dann noch ständig zufallsbedingt zu wechseln, ist auch kein Problem. Habe ich dann noch einen Berg Rechner, auf denen mein Perl-Script läuft und Dir ständig was anderes schickt, was tust Du dann? Ist echt jemand so blöd und wechselt die “Browserinfos” nicht, wenn er einen solchen Angriff ausführt? Jeder, der sowas tut, weiß doch wohl sicher, daß das schlichtweg zu auffällig wäre und schreibt halt ein paar Zeilen mehr ins Script. Das kann ja wirklich jeder Depp. ;)

]]>