Hallo,

ich betreibe mehrere Server im Internet auf denen TCP Anwendungen laufen. Wir besitzen eine Firewall ( http://www.juniper.net/as/en/products-services/security/srx-series/srx210/ ).

Nun, wir werden seit mehreren Tagen in der Nacht von irgendwelchen Hackern angegriffen. Diese senden ca. 150k packete/s, daduch das die Firewall den massiven attacken nicht standhalten kann schaltet sie das Netzwerk komplett ab.

Jetzt hat unser hoster ein Angebot gemacht uns die Firewall SRX 650 http://www.juniper.net/as/en/products-services/security/srx-series/srx650/ einzubauen.

Nun wäre meine frage, wäre es sinnvoill das Angebot anzunehmen? Bekommst man evtl. für den Selben Preis (11k €uro) bessere Firewalls?

Der "Hacker" verlangt 1500€ um aufzuhören. Allerdings kann es keine lösung zu sein ihm das zu bezahlen, denn dann kommt der nächste und will auch Geld haben.

Vielen dank,
Grüße,
bluesoul

Evt etwas mehr Infos:
Was für Anwendungen, was für Pakete?
Hast du evt ein paar Logs von den Paketen?
SYN Pakete?
Linux/Windows?
iptables schon konfiguriert?

Und eine bitte am Rand: Das sind keine Hacker sondern einfach Kriminelle ;)

Mal etwas offtopic am Rande..
Ich find solch ein Verhalten aka "Ey Junge ich DDoS mal deine Seite und verlang ne Menge an Kohle um aufzuhören aber werds eh nicht tun haha" einfach nur behindert und asi -.- Was haben solche Leute davon? I-wann bekommen die eh auf die Fresse..

Bei der Summe von 11.000 Euro wird ja bestimmt mehr drin als ein Post hier im Forum.
Such dir lieber einen Profi für WebSec (Firma).

Evt etwas mehr Infos:
Was für Anwendungen, was für Pakete?
Hast du evt ein paar Logs von den Paketen?
SYN Pakete?
Linux/Windows?
iptables schon konfiguriert?

Und eine bitte am Rand: Das sind keine Hacker sondern einfach Kriminelle ;)

Vielen dank für die schnelle meldung. Es läuft ein Gameserver drauf, welcher TCP Pakete sendet und empfägt. Die Server laufen alle auf Windows, wodurch iptables nicht in frage kommen würde.

Hier ein paar Screenshots der Firewall.

http://img4host.net/upload/121644084f37de4867242.png
http://img4host.net/upload/121644504f37de727b511.png

Danke euch!

hmm.. Windows ist nicht wirklich mein Gebiet. Ich kann dir ein paar Antworten geben, weiß aber nur unter Linux wie man das dann auch umsetzt.

Hast du im Moment eine Firewall laufen? Dann solltest du schonmal alle Pakete die an Ports ankommen die du nicht brauchst droppen (nicht rejecten, dabei wird ein Paket zurück geschickt)

Ich weiß nicht genau wie Gameserver funktionieren und wie der aufgebaut ist der bei dir läuft, aber eigentlich sollte da eine TCP Verbindung für einige Zeit reichen. Du kannst versuchen, auf dem Port auf dem dein Gameserver läuft, nur alle 2min ein SYN Paket zuzulassen. Ansonsten.. Wenn du sagst er arbeitet über TCP.. Dh die UDP Pakete gehören nicht zum Gameserver? Soweit ich weiß arbeiten einige mit solchen Paketen. Evt läuft der Angriff über einen UDP Flood, bei dem das Problem viel mehr die Bandbreite sein wird.

Ansonsten sieht die ICMP Zahl relativ hoch aus.

Aus welchem Zeitraum sind denn die Zahlen?
Hast du evt einen Vergleich zwischen der Zeit ohne und mit DDoS?

Eine Anzeige ist übrigens eine Option die du nebenbei noch erwägen kannst ;)

Ich würde auch erstmal UDP sperren wenn du das für die Gameserver nicht weiter brauchst.
Außerdem würde ich versuchen die IP ('s) des Angreifers zu blocken. Es wird sicherlich ne Möglichkeit in der Firewall geben bei Verdacht auf Flood (Wird ja offensichtlich von der FW auch erkannt) die IP des Angreifers zu blocken.
Ich gehe nicht davon aus dass die Absender-IP's gefälscht werden, der Angriff wird wahrscheinlich aus einem Botnet kommen.

Schade anscheinend hat Bluesoul eine Lösung gefunden oder ähnliches.
Hätte das Thema gerne weiter beobachtet, weil das Thema ja immer wieder auftritt und es kommt immer öfters vor.

Mal etwas offtopic am Rande..
Ich find solch ein Verhalten aka "Ey Junge ich DDoS mal deine Seite und verlang ne Menge an Kohle um aufzuhören aber werds eh nicht tun haha" einfach nur behindert und asi -.- Was haben solche Leute davon? I-wann bekommen die eh auf die Fresse..
Du verkennst, dass dies häufig gut ausgebildete Informatiker aus Ost-Europa sind. Die auch ganz sicher nie von irgendjemanden "auf die Fresse" bekommen.


Ich würde auch erstmal UDP sperren wenn du das für die Gameserver nicht weiter brauchst.
WAT? http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers <- Filter nach "Game" und "UDP".


Ich gehe nicht davon aus dass die Absender-IP's gefälscht werden, der Angriff wird wahrscheinlich aus einem Botnet kommen.
Sinnfreie, unlogische Aussage. Zwischen Verwendung IP-Spoofing und den Quell-IPs (aus Botnet ja oder nein) besteht kein Zusammenhang.


Hätte das Thema gerne weiter beobachtet, weil das Thema ja immer wieder auftritt und es kommt immer öfters vor.
WAT? Es kommt öfters vor, dass jemand eine SRX210 rumstehen hat und sie nicht bedienen kann??!?!





BTW, der Thread-Starter hat sich de-anonymisiert mit dem Posten der Screenshots.




Fraud4Life

BTW, der Thread-Starter hat sich de-anonymisiert mit dem Posten der Screenshots.

What? Ich wollte anonym bleiben?

Naja, danke für deine sehr gute Hilfe.

Grüße

Sinnfreie, unlogische Aussage. Zwischen Verwendung IP-Spoofing und den Quell-IPs (aus Botnet ja oder nein) besteht kein Zusammenhang.

Doch.
Ab Windows XP SP2 kannst du keine RAW-Sockets mehr verwenden:


Three years after the Windows XP release, Microsoft silently limited Winsock's raw socket support in a non-removable hotfix and offered no further support or workarounds for applications that used them.

(Abgesehen von der installation bestimmter Netzwerktreiber, ist hier nicht relevant).
Ein mit einem Bot infizierter Rechner wird seine Absender-IP also wahrscheinlich nicht spoofen. Eine Gruppe Angreifer die z.B. ein alternatives OS verwenden könnten das aber sehr wohl.


<- Filter nach "Game" und "UDP".


ich betreibe mehrere Server im Internet auf denen TCP Anwendungen laufen

Für TCP-Anwendungen braucht er kein UDP, zudem er per UDP geflooded wird.

Ich kann dir das programm Peer Guardian 2 empfehlen, da konnten wir perfekt die IPs range bannen.
Uns hat es damals sehr geholfen bei unserem Gameserver als es DDoS Attacken gab.

MfG Sanonym

Ich hatte schon nen ähnlichen angriff und die lösung kann ich dir gerne weitergeben.
1. UDP filtern, falls nicht gebraucht
2. herrausfinden in welchen ranges die bots liegen um ihre herkunft zu bestimmen
3. ranges bannen

4. die bot herkunft mit der herkunft der kunden vergleichen. zielt ihr nur auf deutsche ab könnt ihr ja das ganze ausland droppen
4.1 um den traffic zu verringern gibt es noch nen geodns mod für bind und andere nameserver, damit kann man asien, amerika usw. direkt auf localhost zurückleiten und man hat ganz ruhe vor denen

man sollte zu 4. noch sagen das es eher ne experimentelle emthode ist, aber enorm wirkungsvoll wenn es geht.

150k pps, ich denke nicht das ihr da 11k€ ausgeben müsst.

Aber da das Budget vorhanden ist, besorgt euch gute FilterServer für 800€ aufwärts.

Hoffe ihr bekommt das ganze in den Griff, denn ich kann mir vorstellen. Das der Entstehende Schaden durch den DDoS, auch nicht gerade niedrig sein wird.

Hallo,

ich betreibe mehrere Server im Internet auf denen TCP Anwendungen laufen. Wir besitzen eine Firewall ( http://www.juniper.net/as/en/products-services/security/srx-series/srx210/ ).

Nun, wir werden seit mehreren Tagen in der Nacht von irgendwelchen Hackern angegriffen. Diese senden ca. 150k packete/s, daduch das die Firewall den massiven attacken nicht standhalten kann schaltet sie das Netzwerk komplett ab.

Jetzt hat unser hoster ein Angebot gemacht uns die Firewall SRX 650 http://www.juniper.net/as/en/products-services/security/srx-series/srx650/ einzubauen.

Nun wäre meine frage, wäre es sinnvoill das Angebot anzunehmen? Bekommst man evtl. für den Selben Preis (11k €uro) bessere Firewalls?

Der "Hacker" verlangt 1500€ um aufzuhören. Allerdings kann es keine lösung zu sein ihm das zu bezahlen, denn dann kommt der nächste und will auch Geld haben.

Vielen dank,
Grüße,
bluesoul

Bezahl da blos nix.. ich hatte schon in einem anderen Thread gepostet das du zb eine Sperrliste anlegen kannst da du sicher auf die host datein zugriff hast.. da du aber auch eine gute firewall hast solltest du eig gut geschützt sein! Vielleicht magst du dir das mal anschauen http://www.juniper.net/de/de/training/jnbooks/junos_fd.html

Ansonsten hast du schonmal (D)Dos Deflate versucht?

http://deflate.medialayer.com/
(D)DoS Deflate is a lightweight bash shell script designed to assist in the process of blocking a denial of service attack. It utilizes the command below to create a list of IP addresses connected to the server, along with their total number of connections. It is one of the simplest and easiest to install solutions at the software level.
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n IP addresses with over a pre-configured number of connections are automatically blocked in the server's firewall, which can be direct iptables or Advanced Policy Firewall (APF). (We highly recommend that you use APF on your server in general, but deflate will work without it.)
Notable Features



It is possible to whitelist IP addresses, via /usr/local/ddos/ignore.ip.list.
Simple configuration file: /usr/local/ddos/ddos.conf
IP addresses are automatically unblocked after a preconfigured time limit (default: 600 seconds)
The script can run at a chosen frequency via the configuration file (default: 1 minute)
You can receive email alerts when IP addresses are blocked.

Installation

wget http://www.inetbase.com/scripts/ddos/install.sh chmod 0700 install.sh ./install.sh Uninstallation

wget http://www.inetbase.com/scripts/ddos/uninstall.ddos chmod 0700 uninstall.ddos ./uninstall.ddos


sonst kannst du auch gern mich per pm fragen, bin netzwerk admin .. sind zwar nur 3 mal 50 pcs auf na astaro FW aber hey ;>

windows server und schutz... hm oO...
xD... also es gibt da ne ziemlich gute firewall. die man irgendwie mit iptables vergleichen kann. ist aber ziemlich kompliziert einzustellen und ich weiß nicht mehr ob die das jetzt.direkt nach der installation alles dicht macht. müssteste so nochmal zu hause testen und server virtualisieren oä. aber die fw sollte vor ziemlich vielen angriffen schützen.

name: filseclap

oder halt auf linux wechseln. mit iptables gibts da viel mehr möglichkeiten.

Der Thread ist zwar schon etwas älter aber noch nicht alt genug :D

@echoslider

Du meinst vermutlich die Windows Firewall selber... man kann damit auch ganz gute Dinge betreiben wenn man sich ein wenig auskennt. Mit "netsh" kann man auch auf der Windowskonsole IPs sperren. Man bräuchte nur ein Script das die DDoS IPs ausfiltert und dann automatisch sperrt. Bei Windows ist es gefühlt nicht so einfach wie bei Linux aber dennoch möglich. Sinnvoller isses trotzdem wenn man einen transparenten Linux-Proxy dazwischenstellt, dann ist man etwas flexibler.

DDoS ist generell nicht sooo schwer abzuwehren solange es nicht massemäßig die maximale Netzwerkgeschwindigkeit überschreitet.