We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

DoS bis zum tot


globe_
20.05.08, 08:27
bei schwachen attacken hilft dies tatsächlich.. aber da greifen auch div. andere dinge wie:

netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
und dann von hand per iptables droppen

oder das ganze automatisiert:
http://deflate.medialayer.com/old/

ein schöner einsatz wäre auch, per mod_evasive zu erkennen und dann automatisiert per iptables zu droppen, damit diese erst gar nicht mehr zum webserver "vordringen"
http://www.fbis.ch/index-de.php?page=12&frameset=4

rkh
19.05.08, 18:37
ok, das ist doch die ultimative Lösung für alle ddos probleme http://imagr.net/uploads/345js3p0nev...dyqdzu3amt.JPG

Enn
07.03.08, 07:11
IPs null-routen

iSO
07.03.08, 06:41
und was soll der dann machen? ausser deinen link komplett abschalten?

sledge0303
07.03.08, 01:57
Zitat Zitat von iSO
hm ich denke das ist bei nem ddos der ja, schon von der bezeichnung her, von vielen hosts kommt, ists nicht mehr einfach den traffic zu filtern.
mit ddos hatten schon sehr grosse webseiten zu kämpfen, das läuft dann in die regel auf redundanz, anbindung, aber auch rechenpower raus. aber filtern bei zugriffen von einer grossen anzahl verschiedener quellen ist glaube ich sehr sehr schwierig
Wenn du bzw dein Netzwerk per DDoS angegriffen wird, kannst du nicht viel machen, sprich dann bist u.a. auf die Hilfe deines Hosters angewiesen.

iSO
06.03.08, 21:23
Zitat Zitat von strex
bei extremen Attacken (hier spreche ich von DDoS Attacken im Bereich von über 100 Mbit/s reicht wohl eine nette E-Mail an oles@ovh.net und das ist schnell rum, der Router auch wenn es nur Cisco sind können das leicht abfangen.
hm ich denke das ist bei nem ddos der ja, schon von der bezeichnung her, von vielen hosts kommt, ists nicht mehr einfach den traffic zu filtern.
mit ddos hatten schon sehr grosse webseiten zu kämpfen, das läuft dann in die regel auf redundanz, anbindung, aber auch rechenpower raus. aber filtern bei zugriffen von einer grossen anzahl verschiedener quellen ist glaube ich sehr sehr schwierig

strex
06.03.08, 16:27
Zitat Zitat von TF_SChw@rZl!cht
Auf der einen Seite wird in anderen Threads über kleine Portscans geheult aber ein Programm, womit jeder Otto-Normaluser DoS-Attacken ausführen kann ist kein Problem?

eure Logik ist mir zu hoch :/

Gabs da auch nicht zufällig ein Gesetz in Deutschland, welches die Verbreitung solcher Programme explizit verbietet?!
Hab ich mich beschwert? Nein, mir ist das egal was die Kinder machen, wer verantwortungsvoll mit seine Server umgeht und sich auch darum kümmert hat mit dieser Art von Balast nichts am Hut. Die restlichen 0,001% die wirklich auf Industriespionage etc. zielen habe eh ganz andere Mittel.

Mein cPanel Fuhrpark fängt ständig solcher kleinen Attacken ab und sperrt einfach die IP für 24h und das auf allen Ports. Der Rest ist für mich egal, bei extremen Attacken (hier spreche ich von DDoS Attacken im Bereich von über 100 Mbit/s reicht wohl eine nette E-Mail an oles@ovh.net und das ist schnell rum, der Router auch wenn es nur Cisco sind können das leicht abfangen.

OVH_Kunde
06.03.08, 15:07
Zitat Zitat von TF_SChw@rZl!cht
Auf der einen Seite wird in anderen Threads über kleine Portscans geheult aber ein Programm, womit jeder Otto-Normaluser DoS-Attacken ausführen kann ist kein Problem?

eure Logik ist mir zu hoch :/

Gabs da auch nicht zufällig ein Gesetz in Deutschland, welches die Verbreitung solcher Programme explizit verbietet?!
In Deutschland gibts ne Menge seltsamer Gesetze.
Einerseits darf man seinen Server nicht auf Sicherheit testen, andererseits haftet man aber für ihn.

Tja...fakt ist aber das du gegen geltende Gesetze verstößt und das hier auch noch im Forum herumposaunst..!

Enn
06.03.08, 13:53
Zitat Zitat von TF_SChw@rZl!cht
Gabs da auch nicht zufällig ein Gesetz in Deutschland, welches die Verbreitung solcher Programme explizit verbietet?!
für was gibt es Drucker + OCR? :P

TF_SChw@rZl!cht
06.03.08, 13:45
Auf der einen Seite wird in anderen Threads über kleine Portscans geheult aber ein Programm, womit jeder Otto-Normaluser DoS-Attacken ausführen kann ist kein Problem?

eure Logik ist mir zu hoch :/

Gabs da auch nicht zufällig ein Gesetz in Deutschland, welches die Verbreitung solcher Programme explizit verbietet?!

sledge0303
06.03.08, 12:42
Kleiner Einwurf: wenn jemand solch einen Test planen sollte, dann vorher beim Anbieter - sprich OVH - bescheid sagen.

whyte
06.03.08, 09:16
Hallo,

ich hatte auch nicht vor, DoS Attacken gegen den Rest des Internets zu fahren. Ich wollte nur eben ein gescheites Tool haben, mit dem ich mein eigenen Server testen kann.

Aber ich werde das erstmal sowieso auf Eis legen.
Gruß
Marco

strex
05.03.08, 22:30
Zitat Zitat von TF_SChw@rZl!cht
sachmtal leute ... gehts noch?!

Wenn ein Server bei F5 schon schlapp macht ... tja dann kann man auch nicht mehr helfen aber man mus sowas nicht provozieren

[ironie]
Ich meine wenn Ihr wollt, können wir ja gleich neue Threads aufmachen

*Hacken für Anfänger (ab 12 Jahren)*
*Hacken für Profis (ab 45 Jahren)*
----------------------------------------
Level 1: *DoS der Anfang (F5 <= Die wurzel allen Übels)*
Level 2: *DoS Koordinierter F5 DDoS mit Freunden*
Level 3: *DoS => Wie baue ich ein Botnetz*
Level 4: *ebay lahmlegen + eigene Zukunft versauen leicht gemacht*
[/ironie]

Ne also mal wirklich ... ich mus das doch nicht noch fördern!

Und die Tools, welche ich für den Test angewendet habe, sind mit F5 nicht vergleichbar.
So eng sollte man das nun auch nicht sehen. 99% der Programme findet man mit 5min googeln. Zu dem gibt es für sowas auch einschläge Foren, die auch gern von Fachmagazinen genannt werden. Wer sowas machen möchte, aber davon nicht viel Ahnung hat, findet trotzdem das was er will. Das ist völlig wurscht ob hier Mama oder Papa irgendwelche Namen nennt. Manchmal geht das Moralaposteln doch zu weit. Sind wir hier im Kinderkarten?

TF_SChw@rZl!cht
05.03.08, 22:15
sachmtal leute ... gehts noch?!

Wenn ein Server bei F5 schon schlapp macht ... tja dann kann man auch nicht mehr helfen aber man mus sowas nicht provozieren

[ironie]
Ich meine wenn Ihr wollt, können wir ja gleich neue Threads aufmachen

*Hacken für Anfänger (ab 12 Jahren)*
*Hacken für Profis (ab 45 Jahren)*
----------------------------------------
Level 1: *DoS der Anfang (F5 <= Die wurzel allen Übels)*
Level 2: *DoS Koordinierter F5 DDoS mit Freunden*
Level 3: *DoS => Wie baue ich ein Botnetz*
Level 4: *ebay lahmlegen + eigene Zukunft versauen leicht gemacht*
[/ironie]

Ne also mal wirklich ... ich mus das doch nicht noch fördern!

Und die Tools, welche ich für den Test angewendet habe, sind mit F5 nicht vergleichbar.

OVH_Kunde
05.03.08, 19:27
http://www.netcup.de/bestellen/produkt.php?produkt=45

Das ist ja mal niedlich ^^

iSO
05.03.08, 18:10
solche tools zu verbieten hilft wohl kaum, denn einen service massenhaft zu benutzen und damit hohe auslastung zu erzeugen, schafft man auch ohne ein spezielles tool (scriptlein bauen etc). die tools sind aber für admins sehr nützlich!

OVH_Kunde
05.03.08, 15:42
Zitat Zitat von TF_SChw@rZl!cht
da ich keine Kiddy-Angriffe beschwören möchte, werde ich hier keine DoS-Programme posten!
Bei nem VServer ist F5 ein hervorragendes DoS Tool.

Und wenn das fünf Leute machen, weils ihnen nicht schnell genug geht (manchmal hilfts ja bei lahmen Websites), ist das dann schon eine Hackergruppe?

Naja, die Dinger gehören verboten ^^

pendulum
05.03.08, 15:37
Manche nennen es neuerdings "DoS-Programme", manche aber auch schlichtweg Stresstesting Tools.
Ein paar häufig verwendete: siege, ab, httpload

Enn
05.03.08, 15:31
Dafür reichen einige Zeilen Code...

TF_SChw@rZl!cht
05.03.08, 13:57
da ich keine Kiddy-Angriffe beschwören möchte, werde ich hier keine DoS-Programme posten!

whyte
05.03.08, 09:44
Hi, mit welchem Programm hast du denn den Test ausgeführt ???

iSO
04.03.08, 19:28
problem war soweit ich das sehe, dass die kiste voll ins swappen gekommen ist und sogar der swapspace knapp wurde.
ich denke bei einer konfiguration die weniger threads erlaubt und eventuell der verwendung eines schlankeren webservers (lighttpd z.b.) hätte das auch ziemlich anders aussehen können

Firewire2002
02.03.08, 16:00
Das ist htop.

caraoge
02.03.08, 15:56
Was ist das eigentlich für eine Prozessanzeige? Kenne nur top und das da sieht anderst aus ;-)

OVH_Kunde
02.03.08, 15:20
Netter test
Aber Screenshot per Digicam??

TF_SChw@rZl!cht
27.02.08, 19:35
Eigentlich kenne wir alle das Ergebnis und das Ziel einer DoS-Attacke.

Nun wollte ich allerdings einmal wissen was mein kleiner vServer @ home so aushält. Installiert ist ein Debian etch System mit einem apache und MySQL

Hauptsystem: Debian Etch
Virtualisierungssoftware: vmware

vServer OS: Debian Etch
TestScript: Drupal 6.0
Hardware: P4 1,8 GHz
zugesicherter RAM: 250 MB

Also 10 - 13 Threads hat er noch verkraftet aber dann hörte es langsam auf.

Nach 15 Min. mit 500 Threads sah das ganze dann so aus
http://6awmnm24.multipic.de/190x143/foto2616.jpg

Der server ist selbst nach dem beenden des Angriffes nicht wieder gekommen.
Ausser späteren errors, hat man nichts mehr über die vmware-console gesehen (ssh Zugang war unerreichbar).

Eigentlich erstaunlich bzw. erschreckend, wie schnell man einen Server so lahm legen kann :/