Hoe beveilig je een site tegen een ddosattack? - Privacy en beveiliging

vrijdag 1 oktober 2004 23:28

Acties:

Verwijderd

Topicstarter

Hallo allemaal.

Ik heb een vraagje. Ik run sinds 9 weken een profielensite voor jongeren, het gaat heel erg goed, en aangezien sommige mensen hier niet tegen kunnen gaan ze lopen kloten met een ddosattack. Normaal gebruik ik elke dag 2 a 3 gb aan verkeer, vandaag kijk ik op me server en toe me verbazing gisteren gewoon meer dan 25 gb aan dataverkeer. Dit kan niet anders dan een ddosattack zijn. Alleen ik weet dus niet hoe ik me eigen hier tegen kan beveiligen.

Ik post ook een screenshot zodat jullie ook even kunnen kijken.

http://www.yourprofile.nl/stats.jpg

Kan iemand mij uitleggen hoe ik dit in het vervolg kan tegengaan, want ik kom er niet uit heb op diverse site's op internet gezocht maar niks boeiends gevonden. Ik hoop dat iemand mij wat wijzer kan maken.

vrijdag 1 oktober 2004 23:38

Acties:

PipoDeClown

Izze Zimpell

denk dat je er een extra apparaat voor moet hebben die dan het verkeer in de gaten houdt en eventueel actie onderneemt bij bepaalde omstandigheden.

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.

vrijdag 1 oktober 2004 23:41

Acties:

Verwijderd

Topicstarter

denk dat je er een extra apparaat voor moet hebben die dan het verkeer in de gaten houdt en eventueel actie onderneemt bij bepaalde omstandigheden.

Ja maar wat, ik kijk denet en de dataverbruik voor vandaag is ook weer tegen de 23 gb aan

Ik word gesponserd door een vriend, maar dit is natuurlijk tegek voor woorden. Kan ik hier nou echt niks aandoen, eventueel stappen ondernemen tegen diegene weet ik het. Pfff baal hier echt van, stop je zoveel tijd in je site zoveel inzet moeite proberen anderen het te slopen.

vrijdag 1 oktober 2004 23:43

Acties:

Freee!!

Trotse papa van Toon en Len!

Staan er misschien plaatjes op je site waarnaartoe gelinkt kan worden? Dat lijkt mij een veel logischer verklaring dan een DDOS.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

vrijdag 1 oktober 2004 23:43

Acties:

Nvidiot

notepad!

Neem even contact op met de hoster en vraag of zij bepaalde ip adressen kunnen bannen zodat ze geen dataverkeer meer genereren. Ook een mailtje naar abuse@isp van diegene die die aanval uitvoeren is een goed idee

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

vrijdag 1 oktober 2004 23:47

Acties:

Verwijderd

Topicstarter

Mr. Liu schreef op 01 oktober 2004 @ 23:43:
Staan er misschien plaatjes op je site waarnaartoe gelinkt kan worden? Dat lijkt mij een veel logischer verklaring dan een DDOS.

Ja je kan linken ja, maar aan 25 gb linken dat kan niet he dat is toch wel overdreven vind je niet.

vrijdag 1 oktober 2004 23:47

Acties:

marshal

Reality beats fiction by far

ddos aanvallen zijn niet echt makkelijk te traceren dus ik denk dat je er vrij weinig tegen kan doen. Het enige wat je zou kunnen doen is op de router het ddos verkeer afvangen.

Je zou het DDOS verhaal op grc.com kunnen doorlezen, misschien dat daar iets interessants in staat.

vrijdag 1 oktober 2004 23:52

Acties:

Freee!!

Trotse papa van Toon en Len!

Verwijderd schreef op 01 oktober 2004 @ 23:47:
[...]
Ja je kan linken ja, maar aan 25 gb linken dat kan niet he dat is toch wel overdreven vind je niet.

Moet jij eens opletten wat er gebeurt als er één linkje (binnen <img> tags) naar een plaatje van 100 KB op een populaire site staat. Ik zou je haast aanraden om het een keer te testen in een populair subforum hier op GoT (na toestemming van de modjes van het correcte subforum).

marshal schreef op 01 oktober 2004 @ 23:47:
ddos aanvallen zijn niet echt makkelijk te traceren dus ik denk dat je er vrij weinig tegen kan doen. Het enige wat je zou kunnen doen is op de router het ddos verkeer afvangen.

Je zou het DDOS verhaal op grc.com kunnen doorlezen, misschien dat daar iets interessants in staat.

Dat zijn inderdaad heel aardige verhalen, daarom ook dat ik niet geloof dat het een DDOS aanval is.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

vrijdag 1 oktober 2004 23:56

Acties:

Verwijderd

Topicstarter

Ik heb is gekeken en de 19 gb dataverkeer laat die onbekend zien.
Vandaag is er weer rond de 23 gb dataverkeer gebruikt.

http://www.yourprofile.nl/stats1.jpg

zaterdag 2 oktober 2004 00:00

Acties:

Freee!!

Trotse papa van Toon en Len!

Verwijderd schreef op 01 oktober 2004 @ 23:56:
Ik heb is gekeken en de 19 gb dataverkeer laat die onbekend zien.
Vandaag is er weer rond de 23 gb dataverkeer gebruikt.

http://www.yourprofile.nl/stats1.jpg

En de site is verder wel redelijk bereikbaar

Dan is het echt geen Dedicated/Distributed Denial of Service aanval.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zaterdag 2 oktober 2004 00:01

Acties:

Occy74

Verwijderd schreef op 01 oktober 2004 @ 23:56:
Ik heb is gekeken en de 19 gb dataverkeer laat die onbekend zien.
Vandaag is er weer rond de 23 gb dataverkeer gebruikt.

http://www.yourprofile.nl/stats1.jpg

Site is inderdaad niet vooruit te branden, misschien iets te populair aan het worden?

Systeem Specs

zaterdag 2 oktober 2004 00:01

Acties:

Verwijderd

Topicstarter

Mr. Liu schreef op 02 oktober 2004 @ 00:00:
[...]

En de site is verder wel redelijk bereikbaar Dan is het echt geen Dedicated Denial of Service aanval.

Nou de site is nu dus helemaal niet bereikbaar

zaterdag 2 oktober 2004 00:02

Acties:

holoX

Dit lijkt me geen echte ddos aanval.

- Je site is niet echt heel erg populair zo te zien, hij is nog in de groei en zal op het moment nog niet echt tot de grotere profielensites behoren;

- Het lijkt me heel erg sterk dat die grotere profielensites dit doen want die hebben ook niet zoveel bandbreedte over om jouw site te gaan Ddossen. En ik zie het niet voor mekaar krijgen;

- Bij een goeie Ddos aanval is je site meestal onbereikbaar of ontzettend traag, of je moet enorm veel bandbreedte (duur) ter beschikking hebben. 23 gb per dag is best weinig.

Kortom, je hoster kan je hier meer over weten. Laat hem het traffic ff analyeren. Doen dus

edit: nu is de site traag

10 minuten geleden ging het nog gewoon snel...

[ Voor 6% gewijzigd door holoX op 02-10-2004 00:03 ]

zaterdag 2 oktober 2004 00:04

Acties:

Freee!!

Trotse papa van Toon en Len!

]-[Skinlab]-[ schreef op 02 oktober 2004 @ 00:02:
nu is de site traag 10 minuten geleden ging het nog gewoon snel...

Natuurlijk, iedereen hier vraagt nu die stats op

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zaterdag 2 oktober 2004 00:06

Acties:

marshal

Reality beats fiction by far

]-[Skinlab]-[ schreef op 02 oktober 2004 @ 00:02:
Dit lijkt me geen echte ddos aanval.

- Je site is niet echt heel erg populair zo te zien, hij is nog in de groei en zal op het moment nog niet echt tot de grotere profielensites behoren;

- Het lijkt me heel erg sterk dat die grotere profielensites dit doen want die hebben ook niet zoveel bandbreedte over om jouw site te gaan Ddossen. En ik zie het niet voor mekaar krijgen;

- Bij een goeie Ddos aanval is je site meestal onbereikbaar of ontzettend traag, of je moet enorm veel bandbreedte (duur) ter beschikking hebben. 23 gb per dag is best weinig.

Kortom, je hoster kan je hier meer over weten. Laat hem het traffic ff analyeren. Doen dus

edit: nu is de site traag 10 minuten geleden ging het nog gewoon snel...

Lijkt mij een beetje het /GoT effect

maar ik krijg bij het opvragen van die laatste stats pagina nu een Alert te zien dat de redirection limit exceeded is.

zaterdag 2 oktober 2004 00:17

Acties:

Verwijderd

Topicstarter

]-[Skinlab]-[ schreef op 02 oktober 2004 @ 00:02:
Dit lijkt me geen echte ddos aanval.

- Je site is niet echt heel erg populair zo te zien, hij is nog in de groei en zal op het moment nog niet echt tot de grotere profielensites behoren;

- Het lijkt me heel erg sterk dat die grotere profielensites dit doen want die hebben ook niet zoveel bandbreedte over om jouw site te gaan Ddossen. En ik zie het niet voor mekaar krijgen;

- Bij een goeie Ddos aanval is je site meestal onbereikbaar of ontzettend traag, of je moet enorm veel bandbreedte (duur) ter beschikking hebben. 23 gb per dag is best weinig.

Kortom, je hoster kan je hier meer over weten. Laat hem het traffic ff analyeren. Doen dus

edit: nu is de site traag 10 minuten geleden ging het nog gewoon snel...

Ja ik heb me hosting gebeld en die is nu op msn om het probleem optelossen. Ik ga zometeen zowiezo hotlinking verbieden en een aantal beperkingen leggen voor het uploaden van foto's. En volgens me hosting heeft Axel DNLH.nl | PC: 95% voltooid. zegt:
de server heeft een load van 14.2 (13.1 van yp)

zaterdag 2 oktober 2004 00:23

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Een serieuze ddos is zeer moeilijk tegen te gaan zonder een boel bandbreedte. Of dat hier het geval is wil je echter nog achterhalen door de access logs te bekijken: wat wordt opgevraagd en door hoeveel IP adressen?

Heel misschien kan je wat doen met handige firewall configs, maar tegen een echte ddos valt weinig te doen...

Als geen echte expres ddos is hotlinking tegengaan idd zeker een goede optie.

Wel wil je natuurlijk zorgen dat je geen bekende patches niet hebt geinstalleerd.

edit:

trouwens nog welkom

[ Voor 25% gewijzigd door F_J_K op 02-10-2004 00:26 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 2 oktober 2004 00:27

Acties:

Verwijderd

Topicstarter

F_J_K schreef op 02 oktober 2004 @ 00:23:
Een serieuze ddos is zeer moeilijk tegen te gaan zonder een boel bandbreedte. Of dat hier het geval is wil je echter nog achterhalen door de access logs te bekijken: wat wordt opgevraagd en door hoeveel IP adressen?

Heel misschien kan je wat doen met handige firewall configs, maar tegen een echte ddos valt weinig te doen...

Als geen echte expres ddos is hotlinking tegengaan idd zeker een goede optie.

edit:

trouwens nog welkom

De server word opnieuw opgestart, hoop dat dit helpt. En dankje voor het welkom heten.Trouwens ik vind de statistieken voor yourprofile netjes, ik besta pas 9 weken,en sta voor derest ook nergens aangemeld bij zoekmachine's

zaterdag 2 oktober 2004 00:37

Acties:

marshal

Reality beats fiction by far

Verwijderd schreef op 02 oktober 2004 @ 00:27:
[...]

De server word opnieuw opgestart, hoop dat dit helpt. En dankje voor het welkom heten.Trouwens ik vind de statistieken voor yourprofile netjes, ik besta pas 9 weken,en sta voor derest ook nergens aangemeld bij zoekmachine's

2e link op google

Je hoeft je tegenwoordig ook niet meer aan te melden, google gaat zelf alle websites af (nouja, niet helemaal vanzelf natuurlijk, die haalt het weer uit andere websites). Dit kun je tegengaan door een robots.txt (? extensie weet ik niet zeker)op je website te zetten, als je dat wilt tenminste..

zaterdag 2 oktober 2004 00:44

Acties:

Verwijderd

Topicstarter

Axel DNLH.nl | Problemen server Shrek (NL), er wordt aangewerkt! zegt:
de httpd doet het niet
Axel DNLH.nl | Problemen server Shrek (NL), er wordt aangewerkt! zegt:
httpd has failed, please contact the sysadmin.
Axel DNLH.nl | Problemen server Shrek (NL), er wordt aangewerkt! zegt:
dat kan je dus vergeten

En de serverbeheerder is op dit moment niet bereikbaar nu zit ik dus met een probleem