Ist bei mir nicht so. Ob ich nun via Google oder direkt auf die Site geh, sie kommt. Da das mit meinem IE6 geht und mit Deinem anscheinend nicht, würd ich eher auf ein Problem bei der Browser- oder Netzwerkkonfiguration tippen (DNS-Server?).

Mit einer Firewall sollte so ein Problem nicht zu tun haben, jedenfalls nicht mit einer Hardware-Firewall. Software-"Firewalls" wie ZoneAlarm o.äh. können solche und andere Probleme durchaus verursachen ;-)

Griessli
Irene

Danke für deine Hinweise Irene. Aber ich habe das beschriebene Phänomen auf zwei ganz unterschiedlichen Netzwerken beobachtet und auch ein anderer Benutzer machte ähnliche Aussagen, dieser hat allerdings Opera installiert.

Wahrscheinlich wird mit einer Kombination aus Hard- und Software-Firewall abgewehrt und so mehrstufig gefiltert, somit ist deine Aussage zur Software-Firewall absolut richtig.

Es wäre noch interessant, über was für eine Internet-Anbindung du verfügst, da bei dir das Phänomen offenbar nicht auftritt.

Club-Globe, respektive Webline wollte heute Mittag wieder Online sein. Das hat nicht geklappt, sämtliche Verbindungen sind immer noch tot! – Und ST ist ebenfalls nicht mehr erreichbar.

Sexy-Tipp wird es wohl überleben, da nach dem "Krieg" eine erhöhte Publizität bestehen wird und die Verluste dadurch ausgeglichen werden könnten.

Für Club Globe & Co ist der Angriff zwar ärgerlich, doch bezahlen sie die Verluste und Massnahmen wohl aus der Kaffeekasse.

Doch für Webline habe ich etwas Angst, die Anteilsscheine dürften rapide an Wert verlieren. Vielleicht sind sie im heutigen Umfeld einfach zu klein. – Doch würde ich es ihnen gönnen, wenn es für sie gut ausgehen würde und sie gar mit neuem Know-How in die Zukunft gehen könnten.

Gruss
Nik2

Es könnte noch sein, dass das Phänomen nur zeitweise auftritt. Aus technischer Sicht gibt es absolut keinen Unterschied zwischen einer Usereingabe der URL im Browser und einem Klick auf einen Link in den Google Resultaten. Passieren tut da im Hintergrund genau dasselbe.

Ich nehme an, dass auf dem Server keine Software-Firewall drauf ist. Ansonsten würde mich gar nichts mehr wundern ;-)

Meine Anbindung ist eine 2MBit/s-Standleitung, mit eigenem DNS Server, kein Proxy, keine Software-Firewall. Da ich mich nicht mit Problemen und Beschränkungen eines Providers herumschlagen muss, hab ich weniger Probleme als andere ;-)

Griessli
Irene

hmm...

13/09. 22:57 ST-Seite ist nicht erreichbar.

Irene, du hst recht, es passiert dasselbe, doch passierte es eben immer erst auf den zweiten "Klick".

Nun weitere Informationen zur aktiellen Lage:

Club Gobe, respektive Webline wollte heute Mittag wieder Online sein. Das hat nicht geklappt, sämtliche Verbindungen sind immer noch tot! – Und ST ist ebenfalls nicht mehr erreichbar.

Sexy-Tipp wird es wohl überleben, da nach dem "Krieg" eine erhöhte Publizität bestehen wird und die Verluste dadurch wohl ausgeglichen werden können.

Für Club Globe & Co ist der Angriff zwar ärgerlich, doch bezahlen sie die Verluste und Massnahmen wahrscheinlich aus der Kaffeekasse.

Doch für Webline habe ich etwas Angst, die Anteilsscheine dürften rapide an Wert verlieren. Vielleicht sind sie als Provider im heutigen Umfeld einfach zu klein. – Doch würde ich es ihnen natürlich gönnen, wenn es für sie gut ausgehen würde und sie gar mit neuem Know-How in die Zukunft gehen könnten.

Im Moment ist ST bei der Swisscom gehostet, obwohl die Webline gegenüber Switch noch technische Kontaktperson ist. Die beiden eingetragenen Domain Name Server „ns1.ip-plus.net“ und „ns2. ip-plus.net“ gehören der Swisscom Solutions Ltd. Man kann davon ausgehen, dass die Angreifer dies wissen und der Angriff auf Webline wird daher nicht Sexy-Tipp gelten, sondern, wie ich spekuliere, den dort gehosteten Club-Seiten. Zudem wäre es nicht schlau Bandbreite an Webline zu vergeben, mit der man ST direkt treffen könnte.

Zitat: Heute haben zahlreiche Firmen in der Schweiz auch etwas abbekommen. Die DNS- und die Web-Server von IP-Plus (das ist das Swisscom-Angebot für Unternehmen) sind seit heute Nachmittag nicht mehr erreichbar, d.h. weder kann man einen Statusreport abrufen noch funktioniert die Namensauflösung (solange man nicht einen Nameserver eines fremden Providers einträgt). Heute hatte also das Web an vielen Arbeitplätzen in der Schweiz einen Totalausfall. Damit dürften nun wohl die letzten Zweifel ausgeräumt sein, dass diese Attacke existiert und einen gewaltigen Umfang angenommen hat. Bis jetzt ist jedenfalls IP-Plus immer noch weg vom Fenster! Swisscom hat also den Angriffen nicht standhalten können.

Ich bin erstaunt, dass für die Presse ein so gewaltiger Cyber-Krieg kein Thema ist. Doch da das Angriffsziel Sex-Seiten sind, wird es für die Presse und vor allem für die Politiker ein Tabu sein, sich irgendwie zu äussern. Wenn nicht einmal mehr Swisscom standhält, dann bin ich einfach sprachlos ob der Ignoranz.

Club Globe und Club Westside sind jetzt übrigens auch bei Swisscom gehostet und somit treffen alle Angriffe auf diese Seiten geballt auf Swisscom, die offenbar selbst ihre Domain Name Server "ns1.ip-plus.net" und "ns2.ip-plus.ch" verloren hat.

Es ist erstaunlich, dass man auch im Internet fast gar nichts über diese Angriffe lesen kann. - Kommt noch dazu, dass das Meiste von mir selber initiert wurde, indem ich hartnäckig hinterfragte und recherchierte. – Das Interesse der Leute jedoch ist enorm, sonst wäre dieser Gesprächsfaden der Ayom-Site bis heute nicht mehr als 11000 Mal besucht worden.

Heute haben zahlreiche Firmen in der Schweiz auch etwas abbekommen. Die DNS- und die Web-Server von IP-Plus (das ist das Swisscom-Angebot für Unternehmen) sind seit heute Nachmittag nicht mehr erreichbar, d.h. weder kann man einen Statusreport abrufen noch funktioniert die Namensauflösung (solange man nicht einen Nameserver eines fremden Providers einträgt). Heute hatte also das Web an vielen Arbeitplätzen in der Schweiz einen Totalausfall. Damit dürften nun wohl die letzten Zweifel ausgeräumt sein, dass diese Attacke existiert und einen gewaltigen Umfang angenommen hat. Bis jetzt ist jedenfalls IP-Plus immer noch weg vom Fenster! Swisscom hat also den Angriffen nicht standhalten können.

Wann wird die Polizei, bzw. die Spionageabwehr mit dem Fall beauftragt?

Zitat: Folgend Meldung ist nun bei IP-Plus unter den offenen Problemen erschienen. Unüblicherweise kein Wort zur Ursache, es hat auch schon vor 17:30 angefangen. Bei einem so ein gravierenden Problem (Totalausfall über mehrere Stunden) ist das schon etwas verdächtig.

Thursday, 13.09.2007, 23:00
Problems with IP-Plus Nameservers
Severity High Effects IP-Plus DNS, Businessmail, Virus & Spamfilter, Webhosting Effect on service All services Swisscom TT
Responsible
Remarks Since 17:30 we experienced a problem with the IP-Plus nameservers. This lead to a network overload that caused problems also with other IP-Plus services like Mail and Webhosting.
At the moment, the situation is stable, but we're still working on it.


Ich habe eher das Gefühl, dass eine noch höhere Publikation notwendig ist, damit jetzt auch unsere für dieses Problem zuständigen Behörden erwachen. Ich selber werde nichts unternehmen, was über das Schreiben in den drei Foren hinaus geht, solange ich nicht mehr weiss. - Doch wenn es möglich ist so starke Attacken gegen die Swisscom zu fahren, dann könnte auch die ganze EDV-Infrastruktur eines Landes wie die Schweiz gefährdet sein.

Ich äusserte mich schon vor Wochen im Ayom-Forum dahingehend, dass das Ganze sehr gefährlich sei und dass der Staat in Fällen von DDoS-Angriffen von sich aus tätig werden sollte. Und der Angriff ist nicht weniger gefährlich, weil das Ganze mit der Störung von Sex-Seiten anfing. - Allerdings habe ich tatsächlich das Gefühl, dass unsere Bundesanwaltschaft genau deswegen Beisshemmungen hatte/hat und nicht rechzeitig genug reagierte/reagiert.

Die Schweizer Armee hat das Problem übrigens erkannt und eine Abwehr-Truppe, die man im Falle eines Cyber-Krieges einsetzen kann, auf die Beine gestellt.

Das kann sein wenn der DNS-Server zu langsam antwortet. Dann kommt zwar eine Antwort, aber zu spät für den ersten Versuch, und beim zweiten klappts dann. Wann, wo und bei wem das auftritt, hängt nicht nur vom zuständigen DNS-Server ab, sondern auch vom DNS-Server des Users, von dessen Netzwerkkonfiguration und vom verwendeten DNS-Client.

Griessli
Irene

Hier ist die Webline GmbH - Kurze Stellungnahme

Seit Vorgestern morgen offenbar auf Grund des Erfolges der Swisscom-Filters haben die Attacken stark geändert. Anstatt einer SYN Flood gab es erst eine massive Bandbreiten-Attacke, die die Swisscom durch Blackholes im Ausland abgewehrt hat.

In der Folge wurde dann sexy-tipp.ch im DCPLUSPLUS P2P-Netz als Filesharing-Server eingetragen, mit der Folge, dass alle legitimen DC++ Clients versuchen sich mit sexy-tipp.ch zu verbinden. Diese TCP Sessions sind legitim, d.h. sie machen den korrekten TCP Handshake und sind deshalb schwerer zu filtern, Vorgestern abend waren etwa 4000 Sessions aktiv. Swisscom filterte alle PUSH requests und sexy-tipp.ch war wider den ganzen Tag erreichbar.

Gestern Abend um 17:30 Uhr wurden die Angriffe auf die DNS-Server der Swisscom umgeleitet diese sind zusammengebrochen und werden Heute Morgen von der Swisscom neu Konfiguriert/Abgesichert.

https://my.ip-plus.net/nav.de.mpl/network/stat/bb_perf/

Ihr habt viel geschrieben aber die wenigste unter euch haben je eine richtige DDos Attacke erlebt, diese abzuwehren ist nicht eine einfache Sache die man mit eine Firewall oder ein Paar Filter oder via Apache Module Abwehren kann.

Die Attacken kommen mit Spitzen von über eine Million Packet/s und eine Bandbreite von über 7GB wer hat eine Lösung?


Heute sexy-tipp.ch! morgen? niemand ist sicher.

Irene, kann es sein, dass eben die bei Switch für ST eingetragenen DNS "ns1.ip-plus.net" und "ns2.ip-plus.net" der Swisscom, die offenbar schwer angeschlagen sind, für dieses Verhalten verantwortlich waren und man direkt mit der IP-Adresse sicherer einloggen könnte?

Gruess
Nik2

Ich kenne DC++ nicht und weiss deshalb nicht auf welchen Ports diese Verbindungen laufen. Bei Port 80 oder sonstigen üblichen Ports dürfte es schwierig sein, diese rauszufiltern. Bei anderen, spezifischen Ports wäre das relativ einfach, da alle Ports die auf dem Webserver nicht wirklich benötigt werden, sowieso gesperrt sein müssten.

Ich nicht, und ich schätze auch sonst niemand, ohne die genausten Details des Angriffs und der angegriffenen Server, Dienste und Netzwerke zu kennen. Es gibt leider kein Patentrezept gegen DDos-Angriffe. Aber ich würde mal sagen, bei der Swisscom - oder besser IP-Plus - gibts entsprechende Fachleute.

Stimmt leider.

Griessli
Irene

@Webline

7GB sind schon krass - das ist dann wohl kein "mittleres" Botnetz mehr.

Wurde denn Anzeige erstattet?

Ich frage weil wie ihr schreibt, morgen eventuell auch meine Server betroffen sein könnten, und ich habe nicht die finanziellen Mittel, um mich an Swisscom zu wenden.

Da das ganze auch noch ohne Erpressung läuft, kann es sich beim Tatmotiv fast nur um etwas persönliches oder ideologisches handeln.

Wem gehören eigentlich Sexy-Tip, Globe & Co. ? Denn mit den Angriffen kann man vermuten, dass damit der selbe Besitzer angegriffen wird.

NS1 und NS2 der IP-Plus sind nicht die DNS-Server der Swisscom; Swisscom und IP-Plus haben verschiedene Server in verschiedenen IP-Segmenten. Ich habe momentan keine Probleme mit den IP-Plus-Nameservern, und die IP-Plus-Website kommt auch problemlos und so schnell wie üblich. Sie sind aus meiner Sicht also nicht angeschlagen.

Wenn die DNS-Server ausfallen, so ist die logische Folge, dass praktisch gar nichts mehr geht mit der betroffenen Domain, da sämtliche anderen Dienste wie Web, Mail etc. DNS benötigen. In einem solchen Fall gehts trotzdem, wenn man die IP-Adresse des Zielservers kennt und - bei HTTP - nicht Hostheadernames (mehrere Sites pro IP) im Spiel sind. Du kannst also direkt auf die IP-Adresse verbinden und benötigst dann keine DNS-Auflösung. Sicherer ist es deswegen nicht, Du umgehst damit lediglich die DNS-Auflösung.

Griessli
Irene

Es könnte auch ein Testlauf sein. Zum Beispiel um ein neues Botnetz zu testen, oder um einen kleinen Angriff auf eine kleine, unbekannte Site laufen zu lassen. Der Botnetz-Betreiber könnte die Effizienz testen und dann seine Software optimieren, um später einen grossen Angriff auf eine grosse Website zu starten. Ist nur eine Idee, weil das gabs auch schon mal. Oder das Botnetz hat sich selbständig gemacht und lässt sich nicht mehr kontrollieren - wäre zwar krass aber nicht unmöglich.

Griessli
Irene

Ich sehe erst jetzt, dass die Webline vorbildlich kommuniziert hat. Hoffentlich ist es jetzt allen klar, dass die Beteiligten wirklich alles tun und es sich halt um einen sehr sehr grossen Angriff handelt. Mir scheint auch, dass die Angreifer extrem gut informiert sind, offenbar über strategische Pläne verfügen und diese ohne Rücksicht auf Verluste umsetzen. - Gegen solche Leute gehört international ermittelt!

Weiter zeigt sich, dass die Swisscom wirklich kompetent ist, was solch grosse Probleme anbelangt.

Und dass die Webline, als technische Verantwortliche, jetzt offenbar hervorragend kommuniziert und euch Experen um allfällige Hilfe bittet. - Auch wenn ihr das Gefühl habt, dass euer Wissen nicht genügt, so macht doch Vorschläge im Sinne eines Brain-Stormings!


Zur Vollständigkeit der offizielle Fehler-Report der Swisscom dazu (Meldung, wie sie heute Morgen auf .ip-plus.net zu lesen ist):

Thursday, 13.09.2007, 23:00

Problems with IP-Plus Nameservers

Severity High
Effects IP-Plus DNS, Businessmail, Virus & Spamfilter, Webhosting
Effect on service All services
Swisscom TT
Responsible
Remarks Since 17:30 we experienced a problem with the IP-Plus nameservers. This lead to a network overload that caused problems also with other IP-Plus services like Mail and Webhosting.
At the moment, the situation is stable, but we're still working on it.

ja, gegen unbekannten bringt sehr viel

sexy-tipp und globe sind zwei total verschiedene kunden und sind auch nicht auf den gleichen servern haben aber die gleichen swisscom-dns

es sind keine tests sonder gezielte angriffe gegen die domain sexy-tipp.ch

ja die swisscom muss jetzt auch handeln und die dns absichern sie kann sich auch nicht leisten das solche angriffe erfolgreich sein können.

Irenes erklärung, dass es sich beim Angriff um einen Testlauf handeln könnte, halte ich für plausibel. Die betroffenen Websites sind einerseits gut besucht, andererseits sind ihre Inhalte tabuisiert. Die betroffenen Provider haben kaum ein Interesse, dass ihre Aktivitäten in diesem Bereich bekannt werden. Für die Swisscom könnte dies sogar politische Folgen haben. Man muss sich ja bewusst sein, dass das betroffene Forum sehr umstrittene Inhalte publiziert. Man muss nicht umbedingt prüde sein, um sich davor zu distanzieren.

Darum geht es nicht. Der Punkt ist, dass die Behörden oft nichts unternehmen können, wenn keine Anzeige vorliegt.

Der jetzige Angriff auf die Webline GmbH macht keinen Sinn, wenn man davon ausgeht, dass nur Sexy-Tipp (deren Server jetzt bei der Swisscom steht) getroffen werden sollte, da die „Konzentration der Kräfte“ so suboptimal wäre. – Daher gehe ich davon aus, dass der Angriff Sexy-Tipp und bestimmten anderen Club-Seiten gilt, die zufällig, da keine juristische Abhängigkeit zu ST besteht, ebenfalls bei Webline gehostet sind.

Irene hatte zwar eine gute Idee, doch halte ich sie unter obigem Aspekt und nachfolgender Tatsache für wenig wahrscheinlich: Die Globe- und die Westside-Server stehen seit gestern Mittag ebenfalls beim Co-Provider Swisscom im Server-Raum, daher wurden die Angriffe auf Swisscom genau zu diesem Zeitpunkt ebenfalls massiver – „sexy-tipp.ch“ hat die Swisscom-IP „212.243.222.232“, „club-globe.ch“ und „club-westside.ch“ beide die IP-Adresse „212.243.222.231“. Beide IP’s unterscheiden sich dezimal nur in der letzten Stelle, bitmässig in den letzten 4 Bits. Ich habe die IP’s der andern Sites, der zum Globe gehörenden Clubs nicht geprüft, doch werden auch sie jetzt bei der Swisscom gehostet sein.

Wenn Fundamentalisten dahinter stecken würden oder wenn die Angriffe Tests auf zufällig ausgewählten Sex-Sites wären, wieso sind dann ausschliesslich Sexy-Tipp und die erfolgreiche Gruppe der zum Globe gehörenden Clubs, die, Dank guter Dienstleistungen, von den positiven Berichten im Sexy-Tipp profitieren konnten, betroffen. – Wieso bleiben die Sites von Konkurrenz-Clubs bis dato unbehelligt?

Ich kenne nicht alle Details des Angriffs und auch nicht alle Details der Besitzverhältnisse – und die obige Aussage bezieht sich daher auf eine Stichprobe, basierend auf meinem beschränkten Wissensstand. Ich meine auch, dass sich die Angreifer, sollte es nur ein Test sein, mit dem Swisscom-Angriff in sehr gewagte Gewässer begeben hätten.

Daher ist für mich ein Krieg unter verschiedenen Sex-Anbietern die wahrscheinlichste Erklärung und eine Anzeige gegen Unbekannt kann man auch mit Vermutungen unterlegen und macht in vielfacher Weise Sinn. – Irgend wann wird Irgend jemand „undicht“ sein und die Wahrheit ans Tageslicht kommen.

Das mit den tabuisierten Inhalten ist eine gute Bemerkung, doch die Swisscom ist offiziell ein gewinnorientiertes Unternehmen, eine Aktiengesellschaft, bei der sich der Bundesrat nur einmischt, wenn sie ein Geschäftsgebaren mit zu hohem Risiko eingehen würden (man hat aus dem Swissair-Debakel Gott sei Dank gelernt). – Solche Angriffe sind extrem gefährlich und ich vermute, dass zukünftige Kriege Cyber-Kriege sein werden. – Auch die Politik wird diese prinzipielle Gefährlichkeit anerkennen müssen, auch wenn man gegen aussen sicherheitshalber den Moralapostel spielt.

Ich bin froh, dass sich die Swisscom mit so einem Problem befassen muss, den dadurch wird diese ihr Know-How im Bereich Sicherheit und die Sicherheit selber stark verbessern können. Einerseits werden die Firewalls besser werden und anderseits können diverse, bisher theoretische Abwehrmethoden getestet und verbessert, sowie neue Methoden entwickelt werden.

Ich bin auch daher froh, dass es die Swisscom jetzt sozusagen „letal“ betrifft, da ich annehme, dass diese in so einem krassen Fall höchste Ermittlungsinstanzen einschalten werden. – Meine Recherchen habe ergeben, dass es Microsoft und andern grossen Firmen oft gelungen ist, herauszufinden, wer die Übeltäter waren und auch eine Verurteilung erwirken konnten.

Genau das ist der Auslöser meiner Vermutung, dass es sich bei Globe und ST um dieselben wirtschaftlich Berechtigten handeln könnte.
Es leuchtet doch auch ein, gleichzeitig Anbieter und Meinungsmacher zu sein, und es leuchtet auch ein, dass man das geheimhält indem man es über einen Anwalt laufen lässt - sonst würde keiner dem Forum mehr trauen.