N
noah230220
Guest
//Gelöscht
Zuletzt bearbeitet von einem Moderator:
minecraft-server.eu Europas Größte Serverliste
-
Bitte beachte, dass wir eine Serverliste sind!
Wenn du ein Problem auf einem Server hast (z.B. Entbannantrag, etc), dann ist das Forum hier der falsche Ort. -
Es freut uns dass du in unser Minecraft Forum gefunden hast. Hier kannst du mit über 130.000 Minecraft Fans über Minecraft diskutieren, Fragen stellen und anderen helfen. In diesem Minecraft Forum kannst du auch nach Teammitgliedern, Administratoren, Moderatoren , Supporter oder Sponsoren suchen. Gerne kannst du im Offtopic Bereich unseres Minecraft Forums auch über nicht Minecraft spezifische Themen reden. Wir hoffen dir gefällt es in unserem Minecraft Forum!
Also lohnen... denke schon. Denn ein DDOS mit 4 gbit/s ist nicht ohne unter ohne Probleme strfrechtlich verfolgbar. Am besten wäre es, wenn du die IP deinem Hoster zur Verfügung stellst. Der sollte sich im eigenen Interesse darum kümmern. Falls du irgendwie anders an die Daten desjenigen rankommst, wäre es evtl. sinnvoll, da mal anzurufen ( ich denke, das wird wieder ein Kiddy sein. Wenn du da mal mit den Eltern redest kann das auch große Wunder bewirken )
Sollte dein Hoster nichts unternehmen und die Angriffe weiterhin erfolgen, würde ich, wie du erwähnt hast, mit allen Beweisen mal zu Polizei gehen.
Sollte dein Hoster nichts unternehmen und die Angriffe weiterhin erfolgen, würde ich, wie du erwähnt hast, mit allen Beweisen mal zu Polizei gehen.
Wenn derjenige mit einem Proxy online war bringt die Anzeige dagegen wohl eher nichts.
Interessant zu wissen wäre dann doch eher was für ein Angriff das war, wieviele IP Adressen es waren, und warum er trotz angeblicher DDoS Protection ein zweites mal angreifen konnte. Zur not mal die entsprechenden Logs des Angriffes vom Anbieter geben lassen.
Interessant zu wissen wäre dann doch eher was für ein Angriff das war, wieviele IP Adressen es waren, und warum er trotz angeblicher DDoS Protection ein zweites mal angreifen konnte. Zur not mal die entsprechenden Logs des Angriffes vom Anbieter geben lassen.
Ja wird dann wohl ein TCP SYN Angriff gewesen sein so wie das aussieht, da dein Server mit dem ausgehenden Traffic auf die Anfrage versucht zu antworten. Was gegen die 4 Gbit spricht ist dass du das hier so anzeigen lassen kannst über einen längeren Zeitraum. Solltest du beim nächsten Angriff wieder mal SSH Zugriff haben dann mach mal einen TCP Dump.
Bei einer echten DDoS Protection dürfen keine 5 Angriffe der gleichen Art durchkommen. Keine Ahnung was und ob die überhaupt eine haben aber seltsam ist es schon.
Nächstes mal nload -u g verwenden. Dann zeigt es in Gbit an und nicht in mbit. Geht zwar trotzdem nicht über 1 Gbit hinaus aber verhindert eine Verwechslung mit den normalen 90 mbit.
Bei einer echten DDoS Protection dürfen keine 5 Angriffe der gleichen Art durchkommen. Keine Ahnung was und ob die überhaupt eine haben aber seltsam ist es schon.
Nächstes mal nload -u g verwenden. Dann zeigt es in Gbit an und nicht in mbit. Geht zwar trotzdem nicht über 1 Gbit hinaus aber verhindert eine Verwechslung mit den normalen 90 mbit.
Tut mir leid aber dazu äußere ich mich besser nicht
Es sind 12,81 Gigabyte und nicht Gigabit. 
Das allein sagt nichts über die "Stärke" des DDoS Angriffes aus, sondern nur über eine Menge der Daten, die in einem (mir) unbekannten Zeitraum eingegangen sind.
Natürlich soll das nicht heißen, dass du nicht "geDDoSt" wurdest.
Hast du genauere Daten, wer dich "DDoSt"?
Ich selbst hatte einmal ähnliches, ebenfalls benutzte der Angreifer einen amerikanischen Proxy. Als ich ihm dann androhte, ihn bei der Polizei anzuzeigen, bekam ich eine Abuse-Nachricht von ihm bzw. seinem Server, dass ich ihn nicht angreifen solle. In Amerika kam ich nicht weiter, da DDoS nicht so strafrechtlich verboten ist wie in Deutschland.
Falls du irgendwie an die IP-Adresse des Angreifers - nicht die des Proxies - kommen solltest, würde ich dir raten, diesen sofort anzuzeigen. Mehr kannst du leider nicht machen; insbesondere nicht, wenn es ein Botnet ist.
EDIT:
(Den Edit habe ich gelöscht, da es sich scheinbar um eine Verwechselung handelt)
Das allein sagt nichts über die "Stärke" des DDoS Angriffes aus, sondern nur über eine Menge der Daten, die in einem (mir) unbekannten Zeitraum eingegangen sind.Natürlich soll das nicht heißen, dass du nicht "geDDoSt" wurdest.
Hast du genauere Daten, wer dich "DDoSt"?
Ich selbst hatte einmal ähnliches, ebenfalls benutzte der Angreifer einen amerikanischen Proxy. Als ich ihm dann androhte, ihn bei der Polizei anzuzeigen, bekam ich eine Abuse-Nachricht von ihm bzw. seinem Server, dass ich ihn nicht angreifen solle. In Amerika kam ich nicht weiter, da DDoS nicht so strafrechtlich verboten ist wie in Deutschland.
Falls du irgendwie an die IP-Adresse des Angreifers - nicht die des Proxies - kommen solltest, würde ich dir raten, diesen sofort anzuzeigen. Mehr kannst du leider nicht machen; insbesondere nicht, wenn es ein Botnet ist.
EDIT:
(Den Edit habe ich gelöscht, da es sich scheinbar um eine Verwechselung handelt)
Zuletzt bearbeitet:
Nein es sind keine 12,8 Gbit/S. DIe Bandbreite siehst du bei Incoming unter "curr" somit 0,11 Gbit/S etwa 110 Mbit/S. Wieder scheint es sich um einen TCP Syn Angriff zu handeln. Hast du einen TCP dump gemacht? Welche Anwednungen laufen auf dem Server?
G
GermanUbuntu
Guest
Ich glaube Living hat recht!
Sicher das es ein Minecraft Spieler ist?
Dazu kommt folgende frage:
"Welche Ports sind offen?"
Mein Tipp: "Wende dich am besten an diesen Hoster und frag nach ob dieser Server evt. ein `Zombie`-Server ist und/oder ob man denn Sperren könnte"
SO VIELE EDITS
Sicher das es ein Minecraft Spieler ist?
Dazu kommt folgende frage:
"Welche Ports sind offen?"
Mein Tipp: "Wende dich am besten an diesen Hoster und frag nach ob dieser Server evt. ein `Zombie`-Server ist und/oder ob man denn Sperren könnte"
SO VIELE EDITS
ich hab mir mal deinen Server angeschaut, falls es der gleiche ist der auch bei dir in der signatur hast dann nimmst du mal bitte folgende Änderungen vor:
1. echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter sowie bei dir wohl noch echo 1 > /proc/sys/net/ipv4/conf/vent0/rp_filter / dies aktiviert die rp Filter für deinen vserver
2. iptables -I INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset
(sollte dein mc Server nicht auf 25565 laufen bitte den Port anpassen. "connlimit-above 3" kann wenn gewünscht auch auf 1 oder 2 gesetzt werden. Es geht hier um die Anzahl der Verbindungen pro IP auf port 25565"
3. /etc/init.d/apache2 stop bei dir läuft meines erachtens ein Webserver ohne verwendung außer eventuell für phpmyadmin. Kann man dafür dann aber starten und hat 1 Angriffsfläche weniger
4. echo 1 > /proc/sys/net/ipv4/tcp_syncookies / aktiviert tcp syncookiers
5. man kann jetzt noch am IpV4 netfilter Einstellungen vornehmen da die Timeout Zeit einer Syn Verbindung normal bei 60 Sekunden liegt und das doch recht hoch ist. Ebenfalls könnte mann die Anzahl der maximal gleichzeitig offenen Syn Verbindungen minimieren. Das machen wir aber erst wenn wir geschaut haben ob sich hiernach etwas ändert.
Das hier hilft die ausschließlich bei der Abwehr eines Syn Angriffes der nicht ausreichend Bandbreite hat um den Vserver selbst lahm zu legen. Kommen mehr als 1 Gbit/S rein, dann bringen diese änderungen nichts.
Als letztes, versuch doch bitte mal den Angreifer in Skype zu bekommen. Falls das klappt bitte bei mir melden. Ebenfalls sage ich es nochmal. Beim nächsten Angriff bitte ein TCP dump.
1. echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter sowie bei dir wohl noch echo 1 > /proc/sys/net/ipv4/conf/vent0/rp_filter / dies aktiviert die rp Filter für deinen vserver
2. iptables -I INPUT -p tcp --dport 25565 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset
(sollte dein mc Server nicht auf 25565 laufen bitte den Port anpassen. "connlimit-above 3" kann wenn gewünscht auch auf 1 oder 2 gesetzt werden. Es geht hier um die Anzahl der Verbindungen pro IP auf port 25565"
3. /etc/init.d/apache2 stop bei dir läuft meines erachtens ein Webserver ohne verwendung außer eventuell für phpmyadmin. Kann man dafür dann aber starten und hat 1 Angriffsfläche weniger
4. echo 1 > /proc/sys/net/ipv4/tcp_syncookies / aktiviert tcp syncookiers
5. man kann jetzt noch am IpV4 netfilter Einstellungen vornehmen da die Timeout Zeit einer Syn Verbindung normal bei 60 Sekunden liegt und das doch recht hoch ist. Ebenfalls könnte mann die Anzahl der maximal gleichzeitig offenen Syn Verbindungen minimieren. Das machen wir aber erst wenn wir geschaut haben ob sich hiernach etwas ändert.
Das hier hilft die ausschließlich bei der Abwehr eines Syn Angriffes der nicht ausreichend Bandbreite hat um den Vserver selbst lahm zu legen. Kommen mehr als 1 Gbit/S rein, dann bringen diese änderungen nichts.
Als letztes, versuch doch bitte mal den Angreifer in Skype zu bekommen. Falls das klappt bitte bei mir melden. Ebenfalls sage ich es nochmal. Beim nächsten Angriff bitte ein TCP dump.
Vertraue hier Living-Bots. Der weiß was er sagt. Hatte genau das gleiche problem. Diese Syn Angriffe kommen bei vielen Anbietern durch und legen den Server lahm. Selbst Ovh konnte mir nicht helfen. Der Server war bei jedem Angriff 2 - 5 Minuten down. Was extrem ärgerlich ist. Bei host unlimited ist das natürlich noch schlimmer weil alles durch geht
Alphakiller33
Minecrafter
Da war kein kiddy am werk..
Ja mit Sicherheit. Admin fordern auf einem kleinen Minecraft Server und wenn man es nicht bekommt mit DDoS antworten, ist natürlich das Werk eines sehr reifen und erwachsenen Menschen der keinerlei Komplexe hat.
