Tag auch,
da wir jetzt verwundbarer gegen DDoS-Angriffe geworden sind, hier einfach mal reinschreiben wann welche stattgefunden haben und fuer wie lange.
Wir hatten heute zwischen 11.28 Uhr und 11:45 Uhr auf unseren zweiten BBB-Server, spaeter gegen den ersten und dann auch noch gegen Moodle. Im Moment geht das noch gegen den ersten und zwar massiv. Unverhaeltnismaessig lange heute, das ist insgesamt schon eine knappe Stunde, teilweise gleichzeitig gegen 2 IPs, also nicht das 10€/Monat-Produkt.
syslog kriegt das nicht mit, unsere BBB-Server fuettern die Netzlast (RX/TX) auf einen MQTT-Broker draussen, den hab ich abonniert, schreib das in InfluxDB und mache nette Grafiken mit Grafana draus, aehnlich wie die hier oft genutzte Monitorloesung und wenn ich da ploetzlich 1GBit/s im Eingang sehe, dann weiss ich es ist wieder soweit. Ein Grafana-Alert schickt mir noch eine nette Telegramnachricht („system fucked up“ oder so aehnlich), deshalb hab ich Grafana ja auch draussen, bei 1GBit/s auf dem Eingangsinterface kriegt das der Server dann naemlich auch nicht mehr raus, die paar MQTT-Pakete kriegt er noch gewuppt.
Ein iftop (falls Du noch drauf kommst) zeigt dann auch so um die 1000GBit/s reinkommen, dann geht halt nix mehr.
ein Ex-Schüler von mir, dem ich von der Problematik und Gefahr der DDOS-Angriffe erzählt habe und der im IT-Bereich auch damit konfrontiert wird (normal macht er solche Dinger wie SDWAN, GRE-Tunnel, leistungsfähige Proxies für Firmen und Elastic Search) meinte, dass „normale“ Angriffe dieser Art von seinen Providern „weggesteckt“ würden - leider hat er mir nicht erzählt, WIE die das machen. Es klang nach einem Modell, wo der ISP dafür sorgt, dass bei Überlast Mechanismen (Routing? DNSwasweißich,Load-Balancer,…) die böse Paketflut gar nicht mehr bis zum Server kommt. Ich weiß nicht, wie teuer und wirkungsvoll solche Lösungen sind, es klang aber nicht schlecht.
Die werfen das auf den BGP-Routern vorm Rechenzentrum schon in /dev/null, da wird einfach die Route zur IP entsorgt -> Server weg.
Oder man hat ein CDN wie Akamai oder Cloudflare davor, das kostet (Cloudflare hat da einen kostenlosen Schnupperservice), die machen das ueber Kaskaden von weltweit verteilten Routern, Firewalls, IPs und dynamischen DNS-Eintraegen, bewerfen das Problem mit Geld. Cloudflare gibt aber auch den Bootern/Stressern Zuflucht, Drecksverein.
ja, habe eben K. befragt. Er hat quasi abgewinkt „Gewaltsame DDOS-Angriffe“ ließen sich nur mit ähnlicher „Gewalt“ bekämpfen - eben mit cloudflare & Co.
Sehr schade - aber:
Vielleicht gelingt uns Schulen da eine geschickte Lösung, die so aussehen könnte, dass wir über ein Infoportal (Schulhomepage) jeweils einen Backup-Server bekanntmachen, der vorher nicht in Erscheinung getreten ist, der aber regelmäßige Daten-Upgrades erhält, z.B. zweimal am Tag.
Im ärgerlichsten Fall gehen dann 12 Stunden Arbeit mit Moodle hops, aber während der Hauptserver noch bombardiert wird, arbeiten wir längst mit einem - vielleicht sogar über DynDNS angebundenen - Ersatz-Server und bedienen unsere SuS. Bei DynDNS könnte man eine Reihe von Hostnamen vorhalten, die man im Bedarfsfall mit der „unbekannten“ IP koppeln kann - evtl. kann man dies sogar automatisieren.
Auf der Infopage steht dann der Name des Servers, mit dem man sich verbinden kann.
(- Dies nur mal quick & dirty und keineswegs als durchdacht zu verstehe - !)
Funktioniert nicht, der Taeter zieht ja auf die neuen Server mit um und kennt diese dann auch gleich.
Wenn man DDoS-Angriffe macht und kein Geld damit verdient, will man zumindest mitbekommen, dass der Dienst nicht mehr tut, sonst kann man sich ja das Geld sparen.
Wenigstens einmal im Leben ein bisschen Macht haben - da scheint leider im Vorfeld einiges, vermutlich in der Familie, schiefgelaufen zu sein.
Das ist aber wie mit Stromausfaellen, wenn bei uns mal fuer eine halbe Stunde der Strom ausfaellt, dann drehen alle ab, in anderen Laendern juckt das keinen wirklich. Ich war mal vor vielen Jahren auf der Insel Tassos, da wurde abends immer mal wieder vom Festpland aus der Strom abgeschaltet, weiss der Teufel wieso, die holen dann die Kerzen raus und grillen einfach weiter.
So wird das auch sein, wenn sich das mal einbuergert und irgendwann wird’s dann halt doch langweilig anzugreifen.
Ich geh morgen mal durch alle BBB-Klassenzimmer und geb einen Crashkurs in Anstand, Vernunft und §303 StGB, denke danach ist erstmal Ruhe.
der Täter zieht nur dann um, wenn er mitbekommt, dass jetzt ein Umstieg angekündigt wird. Er muss also die ganze Zeit auf die Info-Page sehen, wo dann ein neuer, unbekannter Host mit neuer IP auftaucht - ist das nicht sehr aufwändig ?
Weitere Idee: Vielleicht sollte man in den DNS-Einstellungen für den eigenen Server IPv6 ungeroutet lassen / nicht zulassen / angeben. Die vielen ipv6-Botgeräte können dann schon mal nicht angreifen…
Die meisten Geräte können DS, das sollte nicht bringen. Kommt auch auf die Art der Attacke an. Was vlt was bringt ist die Ports vorübergehend austauschen. IP’s stark einschränken, das muss aber vor dem Server am besten passieren.
Wenn ich es richtig gelesen habe, bietet Hetzner by default so einen Schutz an. Ich denke die großen Rechenzentren / Anbieter haben alle so etwas in Petto.
evtl. OT:
in einem anderen Thema hier habe ich die Frage aufgeworfen, welchen Sinn IP6 auf z.B. Hetzner-Server für mich haben sollte.
Einsatz: Moodle/Mail/BBB/Turn/Scalelite.
Leider kam keine Antwort.
Mag sich jemand meiner Frage annehmen?
VG Andre
Viele Internetzugänge benutzen heute DSLite, sprich ein reiner IPv6 Zugang und der IPv4 Verkehr wird getunnelt und bei einem gemeinsamen Server beim Provider augeleitet. Sprich hunderte von unterschiedlichen Kunden des Providers hängen hinter einer IPv4 Adresse. Sperrst du jetzt die IPv4 Adresse, so ist quasi der Störer, aber auch viele andere Nutzer vom Angebot ausgeperrt. Bei IPv6 sperrst du explizit das Gerät bzw. auch ein gesamtes Präfix, aber nicht andere Teilnehmer.
Auf deinem Server ist, wenn du eine IPv4 hast und mehrere Seiten hostest, brauchst du immer den vhost. Bei reinem v6 kannst du jedem Webprojekt einge eigene Adresse zuweisen. Sprich bisher hast du das Problem, dass nur ein Dienst am Port der IPv4 Adresse lauschen darf. Beispielsweise nginx am Port 443 an der IPv4. Mit IPv6 hab ich mehrer Adressen auf dem server zur Verfügung und kann daher beispielsweise mehrere Services nginx und coturn am gleichen Port lauschen lassen auf unterschiedlichen IPv6 Adressen, wenn man es richtig konfiguriert.
Der Taeter hat ja immer die URL, entweder vom BBB-Server oder vom Moodleserver und dahinter wird durch den DNS-Eintrag die aktuelle IP, dann halt die neue - das ist ein Katz&Maus-Spiel.
Wir hatten das gestern und ich vermute, dass wir sogar den DDoS-Abgriff mit rueber zu den LFB-Servern genommen haben, nicht so geil. Wenn das nochmal passiert, dann muss ich die Ausweichlinks zu den LFB-Servern rausnehmen.
Die Booter/Stresser-Frontends loesen Dir auch automatisch die URLs auf, frueher konnte man sogar einfach einen Skypenamen eingeben, die Stresser haben sich die dahinterliegende IPs der Plasterouter selbst gesucht. Das kommt ja auch aus der Zockerszene, die Angebote zielen nicht nur auf Profistresser sondern auch auf die Kids, die mal eben die Zockergegner aus dem Netz schiessen wollen. Die wissen aber gar nicht, was sie damit anrichten.