DDoS auf meinen Server

Dieses Thema im Forum "Technischer Support" wurde erstellt von noah230220, 11. September 2014.

  1. noah230220
    Online

    noah230220

    //Gelöscht
     
    #1
  2. DASPOT
    Offline

    DASPOT Moderator

    Registriert seit:
    1. November 2011
    Beiträge:
    1.445
    Ort:
    minecraftnews.de
    Minecraft:
    DASPOOT
    Also lohnen... denke schon. Denn ein DDOS mit 4 gbit/s ist nicht ohne unter ohne Probleme strfrechtlich verfolgbar. Am besten wäre es, wenn du die IP deinem Hoster zur Verfügung stellst. Der sollte sich im eigenen Interesse darum kümmern. Falls du irgendwie anders an die Daten desjenigen rankommst, wäre es evtl. sinnvoll, da mal anzurufen ( ich denke, das wird wieder ein Kiddy sein. Wenn du da mal mit den Eltern redest kann das auch große Wunder bewirken )

    Sollte dein Hoster nichts unternehmen und die Angriffe weiterhin erfolgen, würde ich, wie du erwähnt hast, mit allen Beweisen mal zu Polizei gehen.
     
    #2
  3. Living-Bots
    Offline

    Living-Bots Verifiziert

    Registriert seit:
    7. Januar 2013
    Beiträge:
    364
    Ort:
    Bremen
    Minecraft:
    NickPicks
    Wenn derjenige mit einem Proxy online war bringt die Anzeige dagegen wohl eher nichts.

    Interessant zu wissen wäre dann doch eher was für ein Angriff das war, wieviele IP Adressen es waren, und warum er trotz angeblicher DDoS Protection ein zweites mal angreifen konnte. Zur not mal die entsprechenden Logs des Angriffes vom Anbieter geben lassen.
     
    #3
    pistorius gefällt das.
  4. Living-Bots
    Offline

    Living-Bots Verifiziert

    Registriert seit:
    7. Januar 2013
    Beiträge:
    364
    Ort:
    Bremen
    Minecraft:
    NickPicks
    Ja wird dann wohl ein TCP SYN Angriff gewesen sein so wie das aussieht, da dein Server mit dem ausgehenden Traffic auf die Anfrage versucht zu antworten. Was gegen die 4 Gbit spricht ist dass du das hier so anzeigen lassen kannst über einen längeren Zeitraum. Solltest du beim nächsten Angriff wieder mal SSH Zugriff haben dann mach mal einen TCP Dump.

    Bei einer echten DDoS Protection dürfen keine 5 Angriffe der gleichen Art durchkommen. Keine Ahnung was und ob die überhaupt eine haben aber seltsam ist es schon.

    Nächstes mal nload -u g verwenden. Dann zeigt es in Gbit an und nicht in mbit. Geht zwar trotzdem nicht über 1 Gbit hinaus aber verhindert eine Verwechslung mit den normalen 90 mbit.
     
    #4
    pistorius gefällt das.
  5. Living-Bots
    Offline

    Living-Bots Verifiziert

    Registriert seit:
    7. Januar 2013
    Beiträge:
    364
    Ort:
    Bremen
    Minecraft:
    NickPicks
    Tut mir leid aber dazu äußere ich mich besser nicht
     
    #5
    pistorius und DASPOT gefällt das.
  6. Legendary
    Offline

    Legendary

    Registriert seit:
    13. August 2012
    Beiträge:
    139
    Minecraft:
    HansWurst0815
    Es sind 12,81 Gigabyte und nicht Gigabit. ;) Das allein sagt nichts über die "Stärke" des DDoS Angriffes aus, sondern nur über eine Menge der Daten, die in einem (mir) unbekannten Zeitraum eingegangen sind.
    Natürlich soll das nicht heißen, dass du nicht "geDDoSt" wurdest.

    Hast du genauere Daten, wer dich "DDoSt"?

    Ich selbst hatte einmal ähnliches, ebenfalls benutzte der Angreifer einen amerikanischen Proxy. Als ich ihm dann androhte, ihn bei der Polizei anzuzeigen, bekam ich eine Abuse-Nachricht von ihm bzw. seinem Server, dass ich ihn nicht angreifen solle. In Amerika kam ich nicht weiter, da DDoS nicht so strafrechtlich verboten ist wie in Deutschland.
    Falls du irgendwie an die IP-Adresse des Angreifers - nicht die des Proxies - kommen solltest, würde ich dir raten, diesen sofort anzuzeigen. Mehr kannst du leider nicht machen; insbesondere nicht, wenn es ein Botnet ist.

    EDIT:
    (Den Edit habe ich gelöscht, da es sich scheinbar um eine Verwechselung handelt)
     
    #6
  7. Living-Bots
    Offline

    Living-Bots Verifiziert

    Registriert seit:
    7. Januar 2013
    Beiträge:
    364
    Ort:
    Bremen
    Minecraft:
    NickPicks
    Nein es sind keine 12,8 Gbit/S. DIe Bandbreite siehst du bei Incoming unter "curr" somit 0,11 Gbit/S etwa 110 Mbit/S. Wieder scheint es sich um einen TCP Syn Angriff zu handeln. Hast du einen TCP dump gemacht? Welche Anwednungen laufen auf dem Server?
     
    #7
    pistorius gefällt das.
  8. GermanUbuntu
    Online

    GermanUbuntu

    Ich glaube Living hat recht!
    Sicher das es ein Minecraft Spieler ist?

    Dazu kommt folgende frage:
    "Welche Ports sind offen?"

    Mein Tipp: "Wende dich am besten an diesen Hoster und frag nach ob dieser Server evt. ein `Zombie`-Server ist und/oder ob man denn Sperren könnte"


    SO VIELE EDITS :D
     
    #8
  9. Living-Bots
    Offline

    Living-Bots Verifiziert

    Registriert seit:
    7. Januar 2013
    Beiträge:
    364
    Ort:
    Bremen
    Minecraft:
    NickPicks
    ich hab mir mal deinen Server angeschaut, falls es der gleiche ist der auch bei dir in der signatur hast dann nimmst du mal bitte folgende Änderungen vor:

    1. echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter sowie bei dir wohl noch echo 1 > /proc/sys/net/ipv4/conf/vent0/rp_filter / dies aktiviert die rp Filter für deinen vserver

    2. iptables -I INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset
    (sollte dein mc Server nicht auf 25565 laufen bitte den Port anpassen. "connlimit-above 3" kann wenn gewünscht auch auf 1 oder 2 gesetzt werden. Es geht hier um die Anzahl der Verbindungen pro IP auf port 25565"

    3. /etc/init.d/apache2 stop bei dir läuft meines erachtens ein Webserver ohne verwendung außer eventuell für phpmyadmin. Kann man dafür dann aber starten und hat 1 Angriffsfläche weniger

    4. echo 1 > /proc/sys/net/ipv4/tcp_syncookies / aktiviert tcp syncookiers

    5. man kann jetzt noch am IpV4 netfilter Einstellungen vornehmen da die Timeout Zeit einer Syn Verbindung normal bei 60 Sekunden liegt und das doch recht hoch ist. Ebenfalls könnte mann die Anzahl der maximal gleichzeitig offenen Syn Verbindungen minimieren. Das machen wir aber erst wenn wir geschaut haben ob sich hiernach etwas ändert.

    Das hier hilft die ausschließlich bei der Abwehr eines Syn Angriffes der nicht ausreichend Bandbreite hat um den Vserver selbst lahm zu legen. Kommen mehr als 1 Gbit/S rein, dann bringen diese änderungen nichts.

    Als letztes, versuch doch bitte mal den Angreifer in Skype zu bekommen. Falls das klappt bitte bei mir melden. Ebenfalls sage ich es nochmal. Beim nächsten Angriff bitte ein TCP dump.
     
    #9
  10. pistorius
    Offline

    pistorius

    Registriert seit:
    12. September 2014
    Beiträge:
    4
    Vertraue hier Living-Bots. Der weiß was er sagt. Hatte genau das gleiche problem. Diese Syn Angriffe kommen bei vielen Anbietern durch und legen den Server lahm. Selbst Ovh konnte mir nicht helfen. Der Server war bei jedem Angriff 2 - 5 Minuten down. Was extrem ärgerlich ist. Bei host unlimited ist das natürlich noch schlimmer weil alles durch geht
     
    #10
  11. Alphakiller33
    Offline

    Alphakiller33

    Registriert seit:
    12. September 2014
    Beiträge:
    1
    Ort:
    Berlin
    Da war kein kiddy am werk..
     
    #11
  12. Living-Bots
    Offline

    Living-Bots Verifiziert

    Registriert seit:
    7. Januar 2013
    Beiträge:
    364
    Ort:
    Bremen
    Minecraft:
    NickPicks
    Ja mit Sicherheit. Admin fordern auf einem kleinen Minecraft Server und wenn man es nicht bekommt mit DDoS antworten, ist natürlich das Werk eines sehr reifen und erwachsenen Menschen der keinerlei Komplexe hat.
     
    #12