Moderne Botnetze sind übrigens noch viel schlauer und schwerer zugänglich organisiert. Um es mal anschaulich zu sagen, stellt euch mal die folgende Situation vor:

- Beliebig viele Arbeits-Bots (gekaperte Windows-Maschinen jeder georgrafischen Provenienz) kommunizieren über mehrere Internet-Adressen wie http:// boese.bots.control, http:// wolf.schalfspelz.im mit einem von vielen Kontroll-Bots.

- Die Internet-Adressen (boese.bots.control) usw. lösen dabei jeweils auf mehrere Kontroll-Bots auf, die ggf. auch noch täglich oder schneller gewechselt werden. D.h. ein Kontroll-Bot bleibt nur kurz am Leben.

- Die Kontroll-Bots erhalten ihre Instruktion von einem oder mehreren Master-Bots.

- Der/die Master-Bots bekommen ihre Instruktionen vom Gangster.

So eine Konstellation ist laut iX heute eher üblich als unüblich, und es gibt keine Möglichkeit, dagegen vorzugehen. Der Gangster ist geschützt, weil er alles leicht über anonymisierende Dienste steuern kann und über die mehrfache Delegation der Kommandos mit den heutigen Internet-Strukturen praktisch nicht rückermittelt werden kann. Und das Botnetz bleibt dank der vielfachen Redundanz ebenfalls geschützt.

Kürzlich habe ich ein Interview mit einem russischen "Hacker" im Spiegel oder Stern gelesen. Danach wäre die Beauftragung einer großen DDOS-Attacke zum Spottpreis möglich (100 bis ein paar hundert Euro). Und weil es so extrem leicht ist, Windows-Maschinen zu kapern, wird sich die Situation so leicht eher nicht entschärfen...

Das Problem bei diesem Thema ist relativ simpel:

Die meisten der hiesigen Leute entwickeln und betreiben Plattformen. Für diese Thematik müßte man dagegen bei einem großen Provider für das Netzwerk, für die Switches und ähnliches zuständig sein. Das dürften nur noch sehr wenige Personen sein - ein paar pro Rechenzentrum.

Erst auf dieser Ebene 'sieht' man die Datenströme, die für DDOS-Angriffe verantwortlich sind, erst dort hat man Zugriff auf Router und Switches, die womöglich Filter oder Sperrmechanismen anbieten.

Da es allerdings auch bei HostEurope seinerzeit geklappt hat, das nach etwa zwei Stunden abzuklemmen, vermute ich, daß es da mehr Möglichkeiten gibt als die, die sich Außenstehende (also alle hier) vorstellen bzw. kennen. In dem Fall blieben übrigens die eigentlichen Server unbehelligt, der Traffic kam gar nicht mehr bis zu den Servern durch. Allerdings weiß ich auch nicht, ob das eine Schutzmaßnahme von HE war. Ich weiß nur, daß, als die Firewall wieder erreichbar war, auch die Rechner wieder da waren - mit praktisch 0 % Auslastung auch in den Minuten zuvor.

Ist umgekehrt der RZ-Betreiber damit überfordert oder kümmert er sich nicht, dann wird das duster. Und es ist zu befürchten, daß dies hier der Fall ist

PS1: Wenn ich sehe, was bei mir an Hackversuchen eintrudelt, wo versucht wird, Scripts mit Shell und neuem Port nachzuladen, dann sind das nicht gepatchte OpenSource-Produkte.

PS2: Erst vor ein paar Tagen gab es die Meldung, daß Pfitzer - Rechner Viagra-Spam verbreiten. Das Problem existiert weltweit - und ist wohl auch immer nicht so einfach.

Ein erfahrener Netz-Techniker kann manuell sicher so einiges ausrichten. Allerdings fürchte ich, dass er gegen einen gezielten DDOS-Angriff per Botnetz heute praktisch kaum noch eine Chance hätte...

@JAuer

Es ist jetzt wohl klar, dass es auch ein Know how Problem und ein Problem der vorhandenen Analyse-Möglichkeiten ist, ob eine DDoS-Attacke abgewehrt werden kann. Sind Cisco Guard DDoS mitigation appliances und Arbor Peakflow solche Tools, mit denen man das Problem in den Griff bekommt? - Und müsste man sagen, dass kleine Rechenzentren auf Dauer verschwinden werden, da sie "Cyber-Kriegen" einfach nicht mehr gewachsen sind.

Könnte man denn theoretisch Datenströme aus Ländern wie Russland, Korea... generell (z.B. schweiz- oder europaweit) einschränken, indem man die Bandbreite pro aufgerufene IP-Adresse radikal beschränkt und so Sachen wie schnelles Anpingen gänzlich unterbindet?

Genau dies ist das Problem. Wenn man sich nicht tagtäglich seit Jahren mit solchen Geräten bzw. der Software-Weiterentwicklung in diesem Bereich beschäftigt, dann sind das böhmische Dörfer - ich habe davon null Detailahnung, die Cisco-Geräte kenne ich gar nicht.

Das kann ziemlich gut sein. Ich vermute (mangels Kenntnis, siehe oben), daß es gegen große Firmendomains (Microsoft u.ä.) längst schon massive DDOS-Angriffe gab, daß diese aber - wohl auch in Zusammenarbeit mit den entsprechenden Netzwerksausrüstern - in den letzten Jahren teilweise Gegenstrategien entwickelt haben, so daß es solche Geräte auf dem Markt gibt. Nur ist das für kleine RZ-Betreiber zu teuer - und diese 'Einsparung' heißt, einem DDOS-Angriff wehrlos ausgeliefert zu sein.

Der Angriff im März 2006 ging nicht gegen meine (bei HE stehenden) Server, sondern gegen das gesamte HE-Netzwerk. Das dürfte also weit mehr gewesen sein als das, was auf sexy-tipps einprasselt. Ich war zwar im ersten Augenblick damals auch entsetzt. Aber rückblickend ist es schon beruhigend, Server bei einem Provider zu haben, der dadurch nicht so einfach lahmgelegt werden kann. So etwas spricht sich ja in den entsprechenden Kreisen auch rum - 'dessen Server stehen in dem RZ, keine Chance, da einen DDOS zu fahren'.

Das sind Überlegungen der 'neuen Netzinfrastruktur', die inzwischen angestellt werden. Das wurde hier allerdings bis jetzt vor allem unter dem Stichwort 'Netzneutralität' meist sehr skeptisch diskutiert.

Ich bin keine Expertin, kenn mich nur bisschen mit Netzwerk und Sicherheit aus ;-)
Vor einigen Jahren hatten wir auch schon solche Angriffe, aber wohl nicht so massiv. Wir haben das damals relativ schnell in den Griff bekommen, weil die Angreifer eine etwas dümmliche Logik benutzt haben. Gegen ein heutiges Botnetz wüsste ich auch nicht wie vorgehen, ohne direkt am angegriffenen Server und seinen Firewalls zu sitzen.

Ein Kapitulationsfall ist mir nicht bekannt, was nicht heisst dass es keinen gab. Die bekannten Fälle sind natürlich die gegen grosse Firmen wie Microsoft, Google und so. Und die haben genug Geld und vor allem auch Einfluss bei Herstellen und Behörden, um solche Probleme schnell zu lösen.

Griessli
Irene

Ich habe erfahren, dass Sexy-Tipp jetzt bei Swisscom gehostet ist, daher auch die andere IP-Adresse. Swisscom ist nun sicher gross genug, um eine mittlere DDoS-Attacke in den Griff zu bekommen. Trotzdem hat sie es nach sechs Tagen keineswegs im Griff; seit dem Umzug zur Swisscom ist es eher noch schlimmer geworden. - Wurde der Angriff eventuell noch verstärkt?

Kann es sein, dass wir es da mit einem wirklich massiven Angriff zu tun haben, der im Nachhinein auch für die Netzwerk-Experten interessante Erkenntnisse bringen wird? - Oder ist es so, dass Swisscom mit den speziellen Geräten, die in der Beta-Phase seien, an einem kleineren Problem jetzt Erfahrungen sammeln möchte?

Was meint ihr Cracks dazu?

Auch rießige Provider haben Probleme mit DDoS-Attacken. Und Swisscom wird sicher seine Kosten auf ST.ch abwälzen, welche auch nicht über unbegrenztes Budget für Abwehrmaßnamen verfügen werden.

Swisscom wird höchstwahrscheinlich alles mögliche tun um ST.ch wieder ans Netz zu bringen. Schließlich werden sie ja dafür bezahlt. Wer mal in so einer Situation steckt (Website, die den kompletten Gewinn einer Firma ausmacht, offline) wird kaum Laune für irgendwelche Tests haben. Es wird sicher viel probiert, aber würde es sich nur um ein "kleineres Problem" handeln, dann wäre ST.ch längst wieder voll erreichbar.

Ich habe folgende Informationen: ST wird offenbar vierfach angegriffen, was das auch immer heisst; wahrscheinlich vier verschiedene Botnetze mit vier unterschiedlichen Angriffstypen. Die Seite ist nun eingeschränkt erreichbar. Offenbar ist es nicht möglich ALLE bösartigen Datenpackete frühzeitig rauszufiltern, da der Server verlangsamt reagiert (Aussage Forummaster). Ich meine, es lohnt sich hier den Verlauf zu beobachten, da der Angriff so gross ist, dass er wahrscheinlich "EDV-Geschichte" machen wird.

Als Sofortmassnahme könnten die doch Mal vorsorglich alle IP-Ranges sperren, die nicht aus der Schweiz stammen?

Warum wird das nicht gemacht?

So auf den ersten Blick wäre das möglich, doch könnten die Absender-IP's gefälscht sein, was ch nicht weiss....

Bei gefälschten IP's würde das SYN-Handshake nicht mehr funktionieren, was dann den Speicher zum Überlauf bringen würde. Doch nehme ich an, dass man genau so die gespooften Adressen erkennen und danach eliminieren könnte.

Wie das in der Praxis genau funktioniert, könnte uns wahrscheinlich einige der Experten in diesem Forum erklären. Ich als Laie bin mir fast sicher, dass man mit guten Firewalls solche Fälschungen erkennen wird.

Zur Zeit sind es offenbar wieder drei Attacken mit diversen Angriffs-Methoden wie SYN und BANDWIDTH.

SYN-Attacken bombardieren den Server mit hunderttausenden von Packeten pro Sekunde und versuchen so die Dienste in die Knie zu zwingen.

BANDWIDTH-Attacken versuchen die Bandbreite zu füllen und so die Seite unerreichbar zu machen.

Offenbar wird koordiniert vorgegangen, doch hat es die Swisscom jetzt offenbar geschafft, die falschen Datenpakete auszufiltern, so dass die Seite wieder geht. Die Frage ist jetzt, ob die Angreifer aufgeben werden.

Und sie geben nicht auf! - Jetzt gerade sind es fünf Attacken, doch die Seite hält.

Ich bin ja schon gespannt, wer einen derartigen Angriff, der jetzt bereits mehr als einen Monat lang andauert, organisieren kann.

Was heisst hier die Seite hält - ich komme nicht drauf.

Angreifer 5 - 0 Sexy-Tipp

wie der Match wohl ausgehen wird??

„Hält“ heisst, dass man sich einloggen und die Funktionen verwenden kann. - Doch in diesem Moment gilt die Aussage nicht mehr, obwohl man anpingen kann. Ein Tor für die Angreifer! – Der Match ist offenbar noch nicht zu Ende gespielt.

club-bluemoon.ch, club-westside.ch, club-globe.ch und der Provider webline.ch sind alle nicht mehr erreichbar. Der DNS löst die Namen nicht einmal mehr auf. Was ist da wohl passiert? - Werden jetzt alle Seiten mit sexuellem Inhalt auf's Korn genommen? Ist es möglich mittels DDoS viele Seiten gleichzeitig lahm zu legen?

Die ST-Seite läuft übrigens, wenn auch relativ langsam.

Weiss jemand etwas über die Webline GmbH. Was ist da passiert? Ist es Zufall, oder hat der Sexy-Tipp-Angriff etwas damit zu tun?

Swisscom musste offenbar heute Morgen Datenleitungen neu booten, angeblich wegen eines Hardwarefehlers. Ist das ebenfalls ein Zufall oder hat alles irgend einen Zusammenhang?

Von Club Globe und Club Westside weiss ich, dass sie angegriffen wurden und diese planen morgen Mittag wieder Online zu gehen. Es ist immer wahrscheinlicher, dass da Fundamentalisten dahinter stecken! - Oder ist es gar ein Krieg im Sexgewerbe, wo der Konkurrenzkampf, vor allem in der Region Zürich immer grösser wird?

nach der demo vor der Extasia, hatte ich auch an Fundamentalisten gedacht.

Tatsächlich wird nun auch die Webline GmbH massiv angegriffen und der ST-ForumMaster hat kommuniziert, dass keine Erpresserforderungen eingegangen seien. - Unter diesen Umständen ist es ermittlungstechnisch umso schwieriger etwas zu unternehmen. - Trotzdem bleibt die Hoffnung, dass irgend jemand nicht dicht hält, denn dahinter steckt sicher keine Einzelperson.

Es tut mir leid, dass ihr Techniker auf eurer Seite zu kurz kommt, doch könntet ihr sicher noch etwas Gescheites zu DDoS-Attacken beitragen.

Ich habe euch hier ein Rätsel: Wenn man die ST-Seite über Google sucht (Microsoft IE 6.0) und folglich indirekt anwählt, dann wird die Seite nicht gefunden. Geht man danach mit dem "Zurück"-Pfeil retour und klickt ein zweites Mal auf "Sexy-Tipp :: Forum", dann funktioniert das Einloggen und man kann recht einwandfrei surfen.

Hat dieses Verhalten mit irgend einer speziellen Regel auf der Firewall zu tun und lässt es technisch auf irgend einen speziellen Umstand rückschliessen?

PS: Es ist mir aufgefallen, dass diese Seite in der Zwischenzeit extrem viele Leser hat