Toon posts:

[Win2Kserver] Ddos attack?

Pagina: 1
Acties:

woensdag 22 december 2004 22:50

Acties:
  • MacDokie
  • Registratie: Juli 2001
  • Laatst online: 20-11 14:37

MacDokie

Topicstarter
offtopic:
Ik ben er niet 100% zeker van of dit in de goede afdeling staat, maar aangezien hier de pro's op het gebied van netwerken zitten dacht ik dat het aardig in de buurt zou moeten komen.


Ik loop stage bij een internet bedrijf (waarvan ik de naam liever niet noem), waar we vandaag (naar wat we vermoeden) een DDos attack hebben of hadden. Aan de grafieken van het bandbreedtegebruik te zien waren er pieken van meer dan 60Mbit verbruik, en hebben we alleen al in 13 uur meer dan 180Gb dataverkeer gehad. Normaliter zit dit op 60-70Gb. Er staan op de server een paar zeer grote websites met ongeveer zo'n 35-40000 per dag.

Alles plat dus en een leuke factuur in het vooruitzicht voor de bandbreedte. (en nog steeds nu)

We hebben gezien dat er vanuit verschrikkelijk veel hoeken van de wereld aanvragen binnen komen en soms vanuit bijvoorbeeld LA meer dan 20 tegelijk vanuit dezelfde dns. Er zit wel een proxy/firewall voor maar blijkbaar werkt deze niet goed of kan hij het niet tegenhouden omdat het allemaal http aanvragen zijn.

Vraag 1 dus:
Is dit nou een ddos attack en moeten we gewoon afwachten totdat het overgaat? We hebben nu de netwerkkaarten afgegrendeld op 10mbit zodat het bandbreedtegebruik een beetje binnen de perken blijft, maar dit moet niet veel langer doorgaan...

Vraag 2 in navolging:
Welke bedrijven raden jullie aan om op afstand onze servers te beveiligen tegen dit soort rotzooi. We zijn buurtjes van GoT en ik knipoog altijd even tegen de mooie kastjes van Tweakers bij Redbus :P , maar we we zitten zelf 200km verderop en elke keer naar Amsterdam scheuren zijn we zat. Remote tools etc hebben we wel en gebruiken we ook altijd, maar soms moet je er gewoon heen. En voor dit soort onzin ook, Vnc'en gaat lastig zonder bandbreedte.

edit:

bij nader inzien had dit denk ik in B&V moeten staan sorry

[ Voor 3% gewijzigd door MacDokie op 22-12-2004 22:51 ]

"Have you ever noticed that their stuff is shit and your shit is stuff?" - George Carlin -

donderdag 23 december 2004 00:48

Acties:

Verwijderd

Ik weet niet of dit je hebt maar ik heb eens met secureIIS gewerkt.
Een zeer goed programma dat je IIS beschermd tegen verschillende soorten aanvallen.

Logging is je keyword. Zoek eerst goed uit wie je aanvalt en bepaal dan je reactie.

Meer info:
http://www.eeye.com/html/products/secureiis/index.html

donderdag 23 december 2004 00:54

Acties:
  • jep
  • Registratie: November 2000
  • Laatst online: 30-11 17:24

jep

Je netwerk provider laten filteren. Elke goede ISP kan dat voor je doen.

Ik heb vaak last van DDoS attacks op onze shellhosting server (gescheiden van overige servers) en die worden snel en professioneel weg gefilterd door Trueserver. Daarna hoop je dat 't snel stopt, maar dat is altijd zo.

donderdag 23 december 2004 08:52

Acties:
  • Firefox
  • Registratie: Juni 1999
  • Laatst online: 08-09-2024

Firefox

Een Vurig Vosje

alleen met de zwaarste packet filters kun je DDoS storms tegen houden, dat schiet niet op.

Zoals Dycell al zei, je logs zijn je vriend hierin. Haal de adressen er uit die duidelijk teveel traffic genereren en vraag je ISP deze te blokken. Aangezien je buurmannetje bent van Tweakers neem ik aan dat je bij Trueserver zit. Zij hebben (zoals ws ook de meeste andere hosting providers) redelijk wat ervaring met DDoS attacks.

Aangezien er een rekening aan zit te komen, kun je met de verzamelde gegevens ook contact op nemen met de Politie (afdeling Computer Criminaliteit.) Waarschijnlijk zul je wel in Amsterdam aangifte moeten doen, aangezien daar de Colo is, en ze - vermoed ik - in andere korpsen minder goed weten wat ze met dergelijke aangiftes moeten doen.

Het zou mooi zijn als je een idee hebt van de identiteit van degene die de DDoS bots heeft geactiveerd, dat kan enorm helpen in de opsporing.

Better to have loved and lost then never loved at all... yeah right.

donderdag 23 december 2004 09:02

Acties:
  • jep
  • Registratie: November 2000
  • Laatst online: 30-11 17:24

jep

De politie zal je niet helpen. Zelfs in attacks waarbij ik exact weet wie de dader is hebben ze geen zin. Ik belde en men vertelde dat er boeiendere zaken (moorden) waren op te lossen, hierbij waren ook internet en computer zaken betrokken.

Ze zeiden tevens dat ik wel aangifte kan doen, maar dat dit puur voor de statistiek is.

Er moet dus nog veel verbeterd worden op dat vlak.. :)

donderdag 23 december 2004 11:23

Acties:
  • MacDokie
  • Registratie: Juli 2001
  • Laatst online: 20-11 14:37

MacDokie

Topicstarter
Mmh ja logfiles, maar het is voor ons onmogelijk om al het dataverkeer te loggen, dat gaat gewoon TE snel. Paar duizend tcp connecties per minuut is gewoon niet te doen.

Of moet je hiervoor een andere pc eraan gaan koppelen?

"Have you ever noticed that their stuff is shit and your shit is stuff?" - George Carlin -

donderdag 23 december 2004 11:26

Acties:
  • jep
  • Registratie: November 2000
  • Laatst online: 30-11 17:24

jep

Je moet 1 hop voor de server een packetfilter/bridge/router plaatsen, waarop je realtime traffic kunt monitoren. Als ik 't door de hoeveelheid packets op de server zelf (dmv tcpdump) niet meer kan zien kan Trueserver 't wel.. dus zo zie je 't altijd. Er is altijd wel een patroon te ontdekken. Grootte van de packets, port, source, destination, patroon.. etc.

donderdag 23 december 2004 12:34

Acties:
  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 24-10 15:07

Maarten @klet.st

jep schreef op donderdag 23 december 2004 @ 09:02:
De politie zal je niet helpen. Zelfs in attacks waarbij ik exact weet wie de dader is hebben ze geen zin. Ik belde en men vertelde dat er boeiendere zaken (moorden) waren op te lossen, hierbij waren ook internet en computer zaken betrokken.
Ze zeiden tevens dat ik wel aangifte kan doen, maar dat dit puur voor de statistiek is.
Er moet dus nog veel verbeterd worden op dat vlak.. :)
Ja, er is nog steeds meer aandacht voor zaken als moord, kinderporno, ook bij de bureau's Digitale Recherche (zoals in A'dam). Maar het lijkt me toch zinvol om, als je zeker weet dat je aangevallen bent/wordt, aangifte te doen. Zonder die statistiek wordt het probleem nooit duidelijk. Beslissingen over meer aandacht voor dit soort zaken worden genomen door mensen de over het algemeen af gaan op cijfertjes.

Maar de TS geeft aan zelf niet zeker te zijn. Aangezien ik niet lees welke site het betreft wordt het gissen, maar wellicht is er een andere reden waarom je opeens veel meer bezoek hebt. Staat er interessante content op de server(s)? Of heeft iets/iemand een link geplaatst op een grote site (in de trand van Slashdot oid) ? Ik zou zeggen, kijk de webserver logs eens door. Kijk welke pagina's opgevraagd worden, of er refererinformatie is, welke agent(s) gebruikt worden etc.etc. Wordt er steeds dezelfde pagina opgevraagd door dezelfde client(s), dan zal het wel een DDoS poging zijn.

Hoe dan ook kun je imho best zelf wat gegevens verzamelen die mogelijk interessant zijn c.q. enige verduidelijking bij een aangifte kunnen zijn of je provider helpen bij het blocken van aanvallen.

donderdag 23 december 2004 15:03

Acties:

Verwijderd

Move PNS> BV

vrijdag 24 december 2004 18:45

Acties:
  • MacDokie
  • Registratie: Juli 2001
  • Laatst online: 20-11 14:37

MacDokie

Topicstarter
Het lijkt er steeds minder op dat dit een dos-attack is. Het bandbreedte gebruik is weliswaar wat afgenomen, maar kent nog steeds pieken van meer dan 17mbit. Daarnaast, als we de sites gekoppeld aan een bepaald ip binnen IIS service van W2K stoppen, houd het gelijk op.

Er moet dus een proces, (hidden) website of bestand zijn wat die uitgaande bandbreedte zo omhoogknalt. Maar welk bestand, proces oid??

Het wordt wel veroorzaakt door tcp verkeer. Inmiddels zitten alle websites achter een nieuwe debian proxy/firewall, maar dit helpt dus niets omdat die geen tcp verkeer afsluit, de websites moeten immers bereikbaar zijn. Daarnaast is er nog een ip waarmee we met VNC op de mainserver moeten kunnen komen.

-Alle updates gedraaid van W2K die beschikbaar waren
-verschillende patches geprobeerd
-talloze fora afgestruind
-Hitman Pro spyware removal gebruikt
-4x verschillende virusscanner gebruikt, Trojan gevonden, maar was niet de boosdoener.
-IP's veranderen, afschermen, DNS'sen omwisselen m.b.v. provider etc..

Het mocht allemaal niet helpen. Bezoekersaantallen zijn laag, de sites draaien superrrtraag.

Met andere woorden (^%*^%&^%(^)(*^help......

"Have you ever noticed that their stuff is shit and your shit is stuff?" - George Carlin -

vrijdag 24 december 2004 18:49

Acties:
  • Caeruleus
  • Registratie: November 2001
  • Laatst online: 22:24

Caeruleus

Kun je nagaan welke bestanden worden aangeroepen? Kan me voorstellen dat er op mysterieuze wijze een paar dvd's op je server staan en dat het adres van de server nu op een fxp board staat gepubliceerd.

no animals were harmed during the production of this message

vrijdag 24 december 2004 19:22

Acties:
  • MacDokie
  • Registratie: Juli 2001
  • Laatst online: 20-11 14:37

MacDokie

Topicstarter
Caeruleus schreef op vrijdag 24 december 2004 @ 18:49:
Kun je nagaan welke bestanden worden aangeroepen? Kan me voorstellen dat er op mysterieuze wijze een paar dvd's op je server staan en dat het adres van de server nu op een fxp board staat gepubliceerd.
Nou, dat is het hem juist, Ik kan niet achterhalen of, en welke bestanden gedowload worden.

"Have you ever noticed that their stuff is shit and your shit is stuff?" - George Carlin -

vrijdag 24 december 2004 19:26

Acties:
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Heb je geen IIS logfiles?

vrijdag 24 december 2004 19:28

Acties:
  • MacDokie
  • Registratie: Juli 2001
  • Laatst online: 20-11 14:37

MacDokie

Topicstarter
GlowMouse schreef op vrijdag 24 december 2004 @ 19:26:
Heb je geen IIS logfiles?
Jawel maar die staan uit omdat de server dan snel volraakt met zoveel bezoekers, maar ik ga dat inderdaad even proberen en kijken wat het oplevert.

"Have you ever noticed that their stuff is shit and your shit is stuff?" - George Carlin -

vrijdag 24 december 2004 19:32

Acties:
  • DDemolition
  • Registratie: Augustus 2003
  • Laatst online: 30-11 19:02

DDemolition

slopen is mijn lust en leven

ik heb ooit een kopietje van norman iis gedraait waarin ddos attack blocking zit. Volgens mij is het niet echt heel moeilijk om dit tege te houden.
Veel routers ondersteunen ook al dat er geen grotere pings gestuurd mogen worden.
Dit is gewoon een lastig geval van hammering
suc6 ermee verder...

[ Voor 12% gewijzigd door DDemolition op 24-12-2004 19:34 ]

Specs: Server, WS boven, WS beneden

vrijdag 24 december 2004 19:37

Acties:
  • MacDokie
  • Registratie: Juli 2001
  • Laatst online: 20-11 14:37

MacDokie

Topicstarter
Nou logfiles eens bekeken, mijn collega had ze iid vanmiddag ook al aangezet, maar geen bijzondere informatie uit kunnen halen.

Er staat gewoon niet zo verschrikkelijk veel in. Heel vreemd.

"Have you ever noticed that their stuff is shit and your shit is stuff?" - George Carlin -

vrijdag 24 december 2004 19:44

Acties:
  • JasperE
  • Registratie: December 2003
  • Laatst online: 28-11 14:21

JasperE

ik zou op die debian firewall met bv iptables er eerst achter zien te komen op welke poort en ip al dat verkeer wel niet binnenkomt, ook zou je per site de statistieken kunnen bekijken om te zien welke site verantwoordelijk is al dat verkeer.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq