DDoS Angriffe

Eine Woche ist es nun her, dass die DDoS Angriffe auf HTTP-Ebene begannen. In Google habe ich noch nicht viel über derartige Angriffsmuster gefunden. Ist auch schwer danach zu suchen. Die HTTP-Anfragen geben zu wenig Information.

Hier die Chronologie des oder der Angriffe.

Mittwoch, 21.11.

Letzten Mittwoch fing es harmlos an. Die Zugriffe (Hits) auf diese Seite vervierfachten sich von etwa 20.000 pro Tag auf 75.000 pro Tag. Das Muster der Zugriffe war immer gleich: Dutzende Zugriff in der Sekunde auf die Hauptseite von mehreren IP-Adressen mit verschiedenen Referer und User-Agent Angaben. Die 50.000 zusätzlichen Zugriffe verdreifachten auch den Datentransfer. Im Grunde nicht schlimm. Aber 1 GByte sinnloser Datentransfer will auch bezahlt werden. [1]

„DDoS Angriffe“ weiterlesen

  1. [1]Ich sollte mal öfter nachschauen, wie die Vertragsbedingungen sich ändern. Der Inklusiv-Traffic ist neuerdings unbegrenzt. Na, dann!

Nun haben sie sich wohl auf mich eingeschossen

Nachdem in Dienstag und Mittwoch schon ein Angriff auf diesen Server stattgefunden hat, geht es seit gestern richtig heftig zur Sache. Freitag hat Strato den Server eine Weile vom Netz genommen, aber die Sache hat sich nicht beruhigt. Ich habe jetzt ca. 1.000 Rechner gezählt, die mit immer anderen Referer- und User-Agent-Angaben die Seiten Hauptseite abrufen. Hier eine Zeile aus dem Log.


121.54.54.45 - - [25/Nov/2012:00:05:43 +0100] "GET / HTTP/1.0" 403 1035 "k9bp0y0rh3.ru" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"

Die Angriffe führen dazu, dass der Speicher zu 90% und der Prozessor meist zu 90-95% ausgelastet ist. Ein kleines Gegenmittel habe ich schon gefunden, aber es bewirkt nur, dass das ausgehende Datenvolumen geringer wird. Ich habe leider noch keinen Weg gefunden, den apache2 zu überreden, gar nicht mehr zu antworten.

Ob mir iptables hilft, hab ich noch nicht richtig nachvollziehen können. Der Apache bringt den Rechner an den Anschlag, sobald ich ihn starte. Leider ist beim Strato VServer nicht die SuSEfirewall sondern andere Firewall aktiv. So ganz werde ich aus den iptables nicht schlau. Was laut Beschreibung funktionieren sollte, gibt Fehlermeldungen oder wirkt nicht. Da werde ich noch etwas probieren müssen.

Gute Nacht – Vielleicht kommt mir ja noch eine Idee.