Onderwerp: DDoS attack

Ik heb sinds een maand een site, die meteen succesvol was. We waren 1 na grootste in ons genre, en schijnbaar is de concurentie jaloers.

Daarom werden we geflood, 10 keer per seconde gemiddeld. Kostte ons database connecties, maar we hebben het kunnen blokkeren op user_agent » daardoor kwamen ze de site niet binnen, en werdt er in php meteen een die(); uitgevoerd.

De site kwam uiteindelijk weer online, na een week van rare problemen bij host. Dezelfde dag nog werden de aanvallen sterker, er was nu sprake van een DDoS attack. Mijn host wilde me niet meer hosten tot de aanvallen gestopt zijn, en ik zit nu dus flink in de shit vanwegen dit alles.

Naar mijn idee moet er toch een oplossing zijn, of een manier waarop we de dader kunnen achterhalen. Graag vraag ik jullie, de hosting providers om advies voor mij, of iets wat ik aan mijn hoster kan geven zodat die er misschien wat aan kan doen.

^ Lege user_agent
^ Nep ip's uit alle landen waar IK nog nooit geweest ben :-s
^ Zeer waarschijnlijk DDoS attack

Help mij! Via msn ben ik te contacteren ook: wes@wizardzone.nl

Alvast bedankt,
Wesley Oudshoorn!

Ik vrees dat je dan netblocks moet gaan nullrouten. Maar ik denk dat je ISP daar niet aan wilt beginnen

Misschien is het slimmer dat je contact probeert te zoeken met de dader, niet om hem te vervolgen maar om het probleem netjes op te lossen.

Bij DDOS atacks kan je eigenlijk weinig wat aan doen. Helaas bent u gewoon de slachtoffer voor de DDOS en als het continu door gaat kunt u eventueel scannen welk IP verbind. Maar de dader zal waarschijnlijk niet gevonden worden.

een firewall op de server en een IP ban helpt al redelijk wat hoor. Moet je maar ff contact opnemen misschien dat ik je daarmee kan helpen

Origineel geplaatst door Phretorian
een firewall op de server en een IP ban helpt al redelijk wat hoor. Moet je maar ff contact opnemen misschien dat ik je daarmee kan helpen

Het probleem is dat de packets nog steeds bij je bak aankomen, ook al worden deze packets daarna tegengehouden. Of je die bounced of niet maakt weinig uit; je bandbreedte groeit langzaam dicht tot het punt dat je niet meer bereikbaar bent.

Het is wel verstandig om in een firewall maatregelingen te nemen zodat in ieder geval je draaiende services niet omvallen.

Achterhalen wie je (D)DoSt is vaak lastig of onbegonnen werk. Het beste wat je denk ik kan doen is proberen een route terug te tracen en nagaan bij de ISP of jouw bevindingen overeenkomen met hun gegevens. (Als het source IP al internet-routable blijkt te zijn)

Tuurlijk kun je daar achter komen, ik zou zeggen post eens op een forum waar veel mensen zitten met verstand van beveiliging. Zelf ben ik op dat onderwerp al een tijdje uitgekeken dus ik kan je niet verder helpen.

Wat ik je wel kan zeggen is dat Distributed Denial of Service attacks
erop neerkomt dat je vanaf meerdere pc's tegelijk loze pakketjes naar 1 pc (server) stuurt zodat die in de war raakt. Server wil al jou loze pakketjes data behandelen terwijl hij er niks mee kan en verzuipt gewoon in het werk.
Echte pakketjes data komen dus niet aan of worden niet verwerkt.

Maar, het probleem is, zo'n ddos aanval komt niet vanaf 1 pc, maar vanaf tientallen/honderden. En die pc's zijn niet allemaal van dezelfde persoon maar van mensen die er vast niks vanaf weten>Zei hebben gewoon een virus>worm op hun pc staan die dit automatisch doet.

Zolang die computers dus geinfecteerd zijn blijf je die attacks krijgen, misschien is het wat om over te stappen naar een andere webhost, dan kun je iig. weer online en dan ben je van die ddos aanvallen af, totdat die concurentie weer een worm schrijft die ervoor zorgt dat je op je nieuwe adres weer ddos aanvallen binnenkrijgt.

Als je nou een aantal ip adressen weet en zorgt dat je in kontakt komt met die mensen, dan zou je misschien die worm te pakken kunnen krijgen, en deze zou je dan door iemand kunnen laten uitpluizen misschien staat er iets nuttigs in over de dader.

Succes.

Het komt er dus eigenlijk op neer dat er niets aan te doen is? Ik krijg namelijk veel halve oplossingen, of oplossingen waar ik niets van begrijp. Bovendien is mijn host niet echt een host die er alles aan doen om me te helpen, tenminste zo komt het bij mij over.

Ik kijk dan maar eens wat ik eraan ga doen, of dat ik mijn site dan maar gewoon stop

Waslijn: Uw host is waarschijnlijk bezorgt over zijn eigen afspraken mbt. bandbreedte gebruik. Een ander nadeel van een DDoS attack is namelijk dat er enorme hoeveelheden bandbreedte kunnen worden gebruikt die uiteindelijk aan iemand moet worden gefactureerd. De makkelijkste stap van uw host is om uw site daarom tijdelijk uit de lucht te halen.

Wellicht dat u in overleg met uw host tot een meer constructieve aanpak van het probleem kunt komen; zij zijn ook een slachtoffer van een DDoS aanval.

Hopelijk zal dit niet leiden tot het stopzetten van uw site. Ik zou persoonlijk het zeer jammer vinden als onrecht wederom zege viert.

Origineel geplaatst door Waslijn
Het komt er dus eigenlijk op neer dat er niets aan te doen is? Ik krijg namelijk veel halve oplossingen, of oplossingen waar ik niets van begrijp.

IP's blocken is (of kan) grote onzin zijn. Stel dat de aanvaller(s) gebruik maken van nep ips (wat het waarschijnlijk is ). Dan worden er op de hele servers "onschuldige" ip's geblockt. Lijkt mij in iederg geval niet fijn voor de overige sites op dezelfde server..

Origineel geplaatst door Waslijn
Bovendien is mijn host niet echt een host die er alles aan doen om me te helpen, tenminste zo komt het bij mij over.

Wat heeft de host allemaal gedaan?

Ik vroeg mij af...

Als ze die site nu op een andere server zetten met een ander ip adres, is dat zo dan niet op te lossen?

of ben ik verkeerd?

Origineel geplaatst door Cyberfreak
Ik vroeg mij af...

Als ze die site nu op een andere server zetten met een ander ip adres, is dat zo dan niet op te lossen?

of ben ik verkeerd?

Ligt eraan, is de DDoS op IP adres of hostnaam?
Leuke tip (indien men op hostnaam een DDoS uitvoerd), wijzig je A record naar 127.0.0.1 of iets interns (192.168.x.x, e.d.).

Helaas is er verder tegen een echte DDoS vrij weinig te doen, zie ook The Slashdot DDoS: What Happened?

Indien een DDoS op een IP word uitgevoerd is gewoon het handigste dit ip tijdelijk uit te schakelen bij een attack op een hostname is zoals al eerder vermeld de beste oplossing gewoon even de boel op localhost te zetten (127.0.0.1, 192.168.0.2 of iets dergelijks).

Een andere oplossing zou ik ook niet zo snel kunnen bedenken

Mijn hoster blijkt flink fout te zitten. Op het moment dat ze hem weer offline haalde waren er 7/7 connecties per seconde. Een DDoS attack heeft heel wat meer connecties toch?

In ieder geval bedankt allemaal!

7/7 connecties seconden is niks, beetje grote suite met aardig wat servers heeft dat ook aan arp verkeer.

correct me if i`m wrong

Origineel geplaatst door Mikey
7/7 connecties seconden is niks, beetje grote suite met aardig wat servers heeft dat ook aan arp verkeer.

correct me if i`m wrong

Is daar echt een grote suite nodig met aardig wat servers nodig? Erg benieuwd hoe dit in te schatten is, maar goed