Kommentare zu: DDoS-Abwehr mit Lighttpd und mod_magnet http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/ Zucht und Ordnung from hell Thu, 21 Aug 2008 22:57:00 +0000 Von: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1370 Arno Tue, 19 Aug 2008 11:08:30 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1370 Ich <a href="http://burnachurch.com/60/syn-flood-kurz-erklaert/" rel="nofollow">weiß</a>, wie toll Perl ist. ;) Ich weiß, wie toll Perl ist. ;)

]]> Von: Flo http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1366 Flo Mon, 18 Aug 2008 05:17:52 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1366 Oh, danke Dir für die Antwort. Nein, daß Du ein Allheilmittel präsentieren wolltest, so kam das zumindest bei mir auch gar nicht rüber. Ich hab eh nicht alles davon verstanden. Da ich nie mit solchen Angriffen zu tun hatte und mich eben seit kurzer Zeit mit den verdammt tollen Möglichkeiten von Perl beschäftige, dachte ich mir halt, ich frag mal, wenn man schon einen Fachmann "zur Hand" hat. Es wundert mich bei Deiner Darstellung aber wirklich, daß man einen Angriff dann derart stümpferhaft ausführt. Gut, wahrscheinlich erreicht er auch so schon meist größtenteils seinen Zweck, aber es wäre derartig einfach, das auch noch zu tarnen, daß es mich wunderte und interessierte. Nun gut, dann bin ich soweit auf jeden Fall zufrieden und danke für die Aufmerksamkeit. Einen schönen Tag Dir noch und wenig Ärger mit solcherlei und anderen Problemen wünsche ich mal. Oh, danke Dir für die Antwort.

Nein, daß Du ein Allheilmittel präsentieren wolltest, so kam das zumindest bei mir auch gar nicht rüber. Ich hab eh nicht alles davon verstanden. Da ich nie mit solchen Angriffen zu tun hatte und mich eben seit kurzer Zeit mit den verdammt tollen Möglichkeiten von Perl beschäftige, dachte ich mir halt, ich frag mal, wenn man schon einen Fachmann “zur Hand” hat.

Es wundert mich bei Deiner Darstellung aber wirklich, daß man einen Angriff dann derart stümpferhaft ausführt. Gut, wahrscheinlich erreicht er auch so schon meist größtenteils seinen Zweck, aber es wäre derartig einfach, das auch noch zu tarnen, daß es mich wunderte und interessierte.

Nun gut, dann bin ich soweit auf jeden Fall zufrieden und danke für die Aufmerksamkeit. Einen schönen Tag Dir noch und wenig Ärger mit solcherlei und anderen Problemen wünsche ich mal.

]]> Von: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1365 Arno Sun, 17 Aug 2008 20:32:02 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1365 Du hast vollkommen recht und ein guter (bzw. schlechter - je nach Standpunkt) DDoS-Angriff wird auch genügend Entropie in den Anfragen haben, sodass ein statischer Filter nutzlos ist. Meiner Erfahrung nach, ist das jedoch kaum bis nie der Fall. Die allermeisten Angriffe waren zwar wirkungsvoll aber plump und lassen sich relativ einfach filtern. Eine kleine Auswahl: -) Stetige Suchanfragen vier zufällig generierten Buchstaben -) Anfragen an ein und die selbe Seite -) Anfragen mit ein und demselben (User-Agent|Referer|Cookie) etc. -) Anfragen mit immer dem selben Klickpfad -) Fehler/Bugs im Script der Drohne, die immer die selben Fehler im Log erzeugen Du überschätzt die Intelligenz der meisten Angreifer. Überhaupt will ich den Artikel nicht als Allheilmittel verstanden wissen, ich wollte nur exemplarisch (von einem realen DDoS ausgehend) darlegen, wie sich diese beispielsweise filtern lassen. Du hast vollkommen recht und ein guter (bzw. schlechter - je nach Standpunkt) DDoS-Angriff wird auch genügend Entropie in den Anfragen haben, sodass ein statischer Filter nutzlos ist.

Meiner Erfahrung nach, ist das jedoch kaum bis nie der Fall. Die allermeisten Angriffe waren zwar wirkungsvoll aber plump und lassen sich relativ einfach filtern. Eine kleine Auswahl:
-) Stetige Suchanfragen vier zufällig generierten Buchstaben
-) Anfragen an ein und die selbe Seite
-) Anfragen mit ein und demselben (User-Agent|Referer|Cookie) etc.
-) Anfragen mit immer dem selben Klickpfad
-) Fehler/Bugs im Script der Drohne, die immer die selben Fehler im Log erzeugen

Du überschätzt die Intelligenz der meisten Angreifer. Überhaupt will ich den Artikel nicht als Allheilmittel verstanden wissen, ich wollte nur exemplarisch (von einem realen DDoS ausgehend) darlegen, wie sich diese beispielsweise filtern lassen.

]]> Von: Flo http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1360 Flo Fri, 15 Aug 2008 18:10:12 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1360 Ja, sicherlich weiß ich das. Also bitte... ;) Außerdem schrob ich ja "einen Berg Rechner". :p Ich gehe allerdings davon aus, daß jemand, der einen Haufen Rechner unter seine Kontrolle hat, dort auch so ziemlich alles tun und lassen kann, wie es ihm beliebt. Man muß Perl ja nicht in C:\Perl installieren, sodaß es gleich auffällt. Und jetzt stell Dich meiner grandiosen Uralt-Möglichkeit, weil ich wüßte da so auf Anhieb keine Lösung. ;) Man kann ja spaßeshalber auch das Verhalten der Anfragen nochmals variabel halten, indem sie nicht immer im gleichen Rythmus von den Angriffsrechnern kommen, indem man zufällige Verzögerungen mit ins Spiel bringt. Dann kommt man mit dem Filtern anhand von Verhalten erst recht ins Schwitzen. Ja, sicherlich weiß ich das. Also bitte… ;)
Außerdem schrob ich ja “einen Berg Rechner”. :p

Ich gehe allerdings davon aus, daß jemand, der einen Haufen Rechner unter seine Kontrolle hat, dort auch so ziemlich alles tun und lassen kann, wie es ihm beliebt. Man muß Perl ja nicht in C:\Perl installieren, sodaß es gleich auffällt.

Und jetzt stell Dich meiner grandiosen Uralt-Möglichkeit, weil ich wüßte da so auf Anhieb keine Lösung. ;)

Man kann ja spaßeshalber auch das Verhalten der Anfragen nochmals variabel halten, indem sie nicht immer im gleichen Rythmus von den Angriffsrechnern kommen, indem man zufällige Verzögerungen mit ins Spiel bringt. Dann kommt man mit dem Filtern anhand von Verhalten erst recht ins Schwitzen.

]]> Von: Arno http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1359 Arno Fri, 15 Aug 2008 17:11:03 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1359 Du weißt aber schon, wofür das erste "D" in DDoS steht oder? Ein DoS mit nur einem D langweilt den durchschnittlichen Server eher. Und eben jenes "D" zusätzlich macht einen gewaltigen Unterschied zur Verfügbarkeit von Perl beispielsweise. Du weißt aber schon, wofür das erste “D” in DDoS steht oder? Ein DoS mit nur einem D langweilt den durchschnittlichen Server eher. Und eben jenes “D” zusätzlich macht einen gewaltigen Unterschied zur Verfügbarkeit von Perl beispielsweise.

]]> Von: Flo http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1358 Flo Fri, 15 Aug 2008 03:32:42 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-1358 Mittels Perl kann man, soweit ich das mittlerweile weiß, so ziemlich jeden User-Agent übermitteln. Das dann noch ständig zufallsbedingt zu wechseln, ist auch kein Problem. Habe ich dann noch einen Berg Rechner, auf denen mein Perl-Script läuft und Dir ständig was anderes schickt, was tust Du dann? Ist echt jemand so blöd und wechselt die "Browserinfos" nicht, wenn er einen solchen Angriff ausführt? Jeder, der sowas tut, weiß doch wohl sicher, daß das schlichtweg zu auffällig wäre und schreibt halt ein paar Zeilen mehr ins Script. Das kann ja wirklich jeder Depp. ;) Mittels Perl kann man, soweit ich das mittlerweile weiß, so ziemlich jeden User-Agent übermitteln. Das dann noch ständig zufallsbedingt zu wechseln, ist auch kein Problem. Habe ich dann noch einen Berg Rechner, auf denen mein Perl-Script läuft und Dir ständig was anderes schickt, was tust Du dann? Ist echt jemand so blöd und wechselt die “Browserinfos” nicht, wenn er einen solchen Angriff ausführt? Jeder, der sowas tut, weiß doch wohl sicher, daß das schlichtweg zu auffällig wäre und schreibt halt ein paar Zeilen mehr ins Script. Das kann ja wirklich jeder Depp. ;)

]]> Von: Claus http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-823 Claus Mon, 19 May 2008 08:29:22 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-823 Einfacher ist es den UA wie folgt zu filtern: lighttpd.conf: $HTTP["useragent"] =~ "libwww-perl" { url.access-deny = ( "" ) } Gefunden auf: http://www.cyberciti.biz/tips/the-rise-of-bots-spammers-crack-attacks-and-libwww-perl.html Einfacher ist es den UA wie folgt zu filtern:

lighttpd.conf:

$HTTP[”useragent”] =~ “libwww-perl” {
url.access-deny = ( “” )
}

Gefunden auf:
http://www.cyberciti.biz/tips/the-rise-of-bots-spammers-crack-attacks-and-libwww-perl.html

]]> Von: Onkel Willi http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-791 Onkel Willi Sat, 26 Apr 2008 21:59:34 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-791 EIn Hinweis noch: ein tracert auf die IP Deines Servers kann Dir Hinweise geben auf die Anbindung Deines Providers - es ist generell keine schlechte Idee, das Kriterium "Netzanbindung" bei der Auswahl des Providers recht hoch anzusetzen - an Nummer 1 steht natürlich ganz klar: SERVICE! Also Erreichbarkeit, schnelle Reaktion, hohes Fachwissen. Wenn Du Deine IP oder Dein Netz nicht selber managen kannst oder willst, müssen die Leute, die es tun, die besten sein, die Du bekommen kannst! EIn Hinweis noch: ein tracert auf die IP Deines Servers kann Dir Hinweise geben auf die Anbindung Deines Providers - es ist generell keine schlechte Idee, das Kriterium “Netzanbindung” bei der Auswahl des Providers recht hoch anzusetzen - an Nummer 1 steht natürlich ganz klar: SERVICE! Also Erreichbarkeit, schnelle Reaktion, hohes Fachwissen. Wenn Du Deine IP oder Dein Netz nicht selber managen kannst oder willst, müssen die Leute, die es tun, die besten sein, die Du bekommen kannst!

]]> Von: Onkel Willi http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-790 Onkel Willi Sat, 26 Apr 2008 20:38:17 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-790 Sollte heissen: Blöderweise sind die meisten kleinen Provider gar nicht in der Lage, solche EINngriffe vorzunehmen - das ist aber das einzige, was hilft. Sollte heissen:

Blöderweise sind die meisten kleinen Provider gar nicht in der Lage, solche EINngriffe vorzunehmen - das ist aber das einzige, was hilft.

]]> Von: Onkel Willi http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-789 Onkel Willi Sat, 26 Apr 2008 20:34:01 +0000 http://burnachurch.com/77/ddos-abwehr-mit-lighttpd-und-mod_magnet/#comment-789 Also meine Schreibfehler sind echt unerträglich, sorry, den einen muss ich aber inhaltlich klarstellen, sollte natürlich heissen: Blöderweise sind die meisten kleinen Provider gar nicht in der Lage, solche EINgriffe vorzunehmen - das ist aber das einzige, was hilft. (nicht ANgriffe, sondern EINgriffe). Also meine Schreibfehler sind echt unerträglich, sorry, den einen muss ich aber inhaltlich klarstellen, sollte natürlich heissen:

Blöderweise sind die meisten kleinen Provider gar nicht in der Lage, solche EINgriffe vorzunehmen - das ist aber das einzige, was hilft.

(nicht ANgriffe, sondern EINgriffe).

]]>