Brauche Expertenmeinung [HackAngriff]

[hansenrum 10]

hallo freunde

 

ich nutze einen internetdienst.

dieser wird zur zeit angegriffen sodas ich nicht mehr an mein konto komme. der servie dort sagt er tue alles mögliche, anscheinend bekomme sie die sache aber nicht in den griff.

 

jetzt meine frage, weiss jemand wie man dieses problem beheben kann, langt es nicht sich eine neue feste ip zu holen oder irgendwelche hardware als block davor zu schieben.

 

die seite ist jetzt seit montag down [also seit 5 tagen],

sind die heutigen it kräfte so schlecht ausgebildet das man sowas nicht beheben kann? nicht daran zu denken wenn sowas z.b in der it abteilung in einem krankenhaus passieren würde.

 

danke für eure meinung und vorschläge

 

hier die orginal email von dem service:

Sehr geehrter Kunde,

wie Sie sicherlich schon bemerkt haben, ist unsere Seite immer noch nicht zugänglich. Leider sind wir auch weiterhin massiven DoS Angriffen ausgesetzt.

Ein DoS Angriff ist ein gleichzeitiges Beladen unseres Servers mit vielen Anfragen von virtuellen Benutzern, dies wird von entführten PCs oder Servern aus geführt. Wenn die Last zu groß wird, wird die Seite langsam oder funktioniert gar nicht mehr.

 

Wir arbeiten momentan weiterhin mit Hochdruck an dem Problem und sind auch in Kontakt mit der Polizei und anderen Behörden, um solche Vorfälle in Zukunft zu verhindern. Ein DoS-Angriff hat keinerlei Einfluss auf die sicherheitsrelevanten Daten des Systems - das gilt sowohl für die Geldströme auf Ihrem Konto und Ihre persönlichen Einstellungen

 

Wir bedauern die Umstände und bedanken uns für Ihr Verständnis.

[Dr.Melzer 191]

Um was für eine Webseite geht es denn? Welchen Provider nutzt du?

 

Unsere Seite (http://www.mcseboard.de) Ist von so etwas nicht betroffen.

[micdiemum 10]

Tjaaaaaa :-)

 

also zur verteidigung der admins deines hosters gibt eigentlich ne menge vorzutragen ...

 

Internetserver haben auf niedriger Ebene betrachtet die Aufgabe Verbindungsanfragen von entfernten Rechnern anzunehmen ... und mehr passiert bei ner dos-Attacke ja auch garnet. Der Server erfüllt also genau die Aufgabe für die er da ist. Nur hat er leider etwas unter Überlast zu leiden.

 

Sicherlich kann sich der Anbieter ne neue IP holen .... nur die kostet Geld und ist wars***einlich auch garnicht sofort da.... und ab jetzt bin ich mir nicht mehr ganz sicher ob alles stimmt was ich sage .....

nur hilft die neue IP eventuell garnicht, sollte der Dos-Angriff nicht auf die IP sondern über die DNS gehen (also http://www.name.de) wird der Angriff gleich auf die neue IP weitergeleitet.

 

In der Literatur die ich kenne wird ein DOS-Angriff immer als sehr hinterhältig bezeichnet, da er die Leistung des Server angreift (auslastet) für die der Server da ist. Abwehr durch ausschalten ? Dann kommst du ja auch net ran ....

 

naja, MS hats mal geschafft durch einen vorgeschalteten Server DOS-Attacken umzuleiten, aber da muss man wohl sehr viel über die Angriffsstruktur wissen.

 

 

soviel erstmal

 

gruss

mdm

[edv-olaf 10]

Hallo,

 

DoS-Attacken (hier ist wohl eher DDoS gemeint) sind wirklich schwierig für den ISP. Wenn es jedoch ein "guter" ist, sollte es möglich sein, nach einigen Stunden vorkehrungen zu treffen. Frag mich bitte nicht, welche genau, ich habe aber schon mehrere Berichte gelesen, in denen stand, dass es funktioniert, ohne jedoch genau Infos dazu zu liefern.

 

Zusammengefasst: kleine ISPs können wenig machen, je "größer" und bedeutender dein ISP ist, desto bessere Chancen hat er, die DDoS zu umgehen.

 

Grüße

Olaf

[hansenrum 10]

hi

 

danke bislang, mir ging es ja auch nur um stimmen zu dem thema und ob so eine lange downzeit überhaupt gerechtfertigt ist.

 

habe jetzt schon öfters gelesen das solche probleme innerhalb der ersten 3 tage erledigt sein sollten.

 

um einwenig hintergrundwissen zu bekommen würde ich gerne wissen mit welchen mitteln man sowas bekämpfen kann?

 

ich habe gehört das ein "guter" router sowas schon regeln könnte.

 

gruss

[Wildi 10]

Hallo,

 

das ist in der Tat eine gute Frage, wie man DOS-Attaken bekämpfen kann. Das ein Router DOS abwehrt hab ich auch gehört, aber wie bitteschön soll er das denn machen?

 

DOS ist ja nichts anderes wie eine gewöhnliche Anfrage an einen Webserver nur halt in geballter Ladung, so dass die Bandbreite der Leitung erschöpft wird bzw. der Webserver extrem ausgelastet wird.

 

Woher soll nun ein Router zwischen gewöhnlichen Anfragen oder einer solchen Attacke unterscheiden können?

[Bronto2k 10]

Hallo,

 

die heutigen Router können sowas. Kosten aber auch einiges. Die Frage ist halt welche Backplane hat der Router und wie groß war der Angriff, DSL oder 10/100/? MBit ?

 

Ciao

[Wildi 10]

@bronto

 

diese Router, die das angeblich können sind gar nicht mal teuer. z.B. wirbt Netgear damit, dass die gesamte ProSafe Serie neben SPI auch DoS können. Und diese Router fangen bei unter 100€ an.

 

Schöne Sache, aber ich frag mich wirklich wie ein Router soetwas 'abblocken' kann? Denn eine DoS Attacke ist ja nix anderes, als würden 100.000 User jetzt gerade meinen Webserver abfragen. Nun, dass könnte ja auch in der Tat so sein. Also, woher sollte der Router denn dann wissen, ob es echte Anfragen oder einen Attacke ist?

[Bronto2k 10]

gelöscht

[Wildi 10]

Das ist nicht das Thema. Die Dinger können DoS laut Hersteller. Davon abgesehen seh ich nicht ein einem Schreinereibetrieb, der nen kleinen Webserver betreibt, weil er nen Onlineshop besitzt nen CISCO für 8.000.000€ zu verkaufen. Da tut es ein Billigteil allemal.

 

Davon abgesehen. Netscreen ist auch ein Kandidat. Hallo Doc Melzer :)

[Bronto2k 10]

Soweit ich lese handelt es sich um einen ISP, und der hat bestimmt einen Router der mehr kostet als 100 € (8 Mio vielleicht nicht ganz ;) )

[edv-olaf 10]

Hach, jetzt ist mir eine Idee gekommen, wie man DOS-Attacken blocken kann am Router:

Bsp.: Linux-FW (IPTables) kann "mitzählen", wie oft welches Protokoll angefordert wird, meistens wird dies verwendet, um Pings (ICMP) zu blocken. Aber es geht auch mit TCP, Port 80. Erlaubt sind zB. 100 Anfragen pro sec., dann nur noch 60 pro min.

Damit blockt man DDoS'se bereits am Router. OK, echte Anfragen gehen dann auch nicht mehr durch.

 

Aber ich halte es für ein Gerücht, dass ein ISP es in 3 Tagen nicht schafft, eine Lösung zu finden. Wirft zumindest kein vertrauenserweckendes Licht auf ihn. Frag doch mal den Support, was sie aktiv dagegen unternehmen. (kleine Fangfrage :))

 

Grüße

Olaf

[Bronto2k 10]

Naja 3 Tage sind zuviel, 2 sollten es höchstens sein.

 

Dann ist die Frage ist es ein direkter ISP oder "nur" ein Reseller, Reseller haben ja keinen Router zugriff :)

 

Eventuell ändern die auch die Routingtabellen, dann ist man schon mal 24h vom Netz weg. Und wenn man einen Fehler drin hat direkt nochmal ein paar Stunden :D

 

Ciao

[Telek 10]

ich will es mal so sagen. Dahilft nur ISP Wechsel zu einem der größeren. Und zwar zu einem der nicht nur Reseller ist sondern vernünftige hardware dastehen hat.

 

5 Tage ist verdammt lang. wobei ein DDoS der solange anhält ja schon mehr ist wie ein kleines ärgernis.

 

Wir hatten in meiner Alten Firma einen angriff auf eine unsere Websites. Das gute war das wir mehrer IPs hatten und dadurch einfach die betroffene abgeschaltet haben und umgeleitet haben. Nach zwei tagen wars gut. Der Ausfall war nach 1 Stunde behoben.

 

IPs sind garnicht mehr so teuer.

[Bronto2k 10]

Dann kommt der Angriff halt per DNS, da helfen keine IP's mehr.

 

Also mit billiger Hardware houst heute kein ISP mehr, nur bei den Preislagen eines Core Routers ist das halt so eine Sache welchen ich kaufe.

 

IP's kann man übrigens nicht kaufen, mal so allgemein :)

 

Wenn jemand den Namen des ISP nennen könnte könnte ich eventuell auch mehr helfen/erzählen.

 

 

Ciao