gulli: gulli.com durch DDoS - Attacke lahmgelegt

Anzeige

gulli:Toolbox

gulli news abonnieren
gulli:news feedburner stats

gulli auch auf deiner Seite:

Newsfeed abonnierennews feed
Suche auf deiner Seitesuchbox
Banner und Buttonsbanner & buttons

Voting

Worüber wollt ihr mehr News?
Netzwelt
Untergrund
Filesharing
Datenschutz
Hacking
Demoszene
Mobiles (Handy)
Linux
Feature (Gulli Glosse)
10. Mai 2005

gulli.com durch DDoS - Attacke lahmgelegt

Angriff verursachte mehrstündige Downtime

Durch eine Distributed Denial of Service - Attacke wurden gestern abend temporär die Server von gulli.com sowie des gulli:boards teilweise bis komplett unerreichbar. Die verteilte Attacke dürfte von einem größeren Botnetz aus gefahren worden sein: der 100-Mbit-Uplink des Switch, an dem beide Server angeschlossen waren, wurde stellenweise mit 600 Mbit incoming Traffic überlastet.

Eine Trafficanalyse konnte nicht stattfinden, um Näheres über das angreifende Netzwerk herauszufinden: ssh-Remote Login war durch die überlastete Leitung nicht möglich. Entsprechend wurde stattdessen nach Rücksprache mit dem Hoster IP-Exchange die IP von gulli.com direkt beim de-cix genullroutet.

Für gulli.com wurden geeignete Maßnahmen ergriffen, um den Server wieder erreichbar zu machen. Einige Stunden nach Beginn der Attacke konnte so auf gulli.com sowie das gulli:board wieder zugegriffen werden. Weiterhin wurden Vorkehrungen für die Zukunft getroffen, die die Reaktionszeit auf solche Attacken merklich verringern wird. Weitere Angriffe gab es seit gestern nicht mehr.

Alternativ zu den bei gulli.com getroffenen Maßnahmen werden auch häufiger Loadbalancer zur Abwehr bestimmter DDoS-Attacken verwendet: neben der Verteilung der Load auf mehrere Server können mit dem Balancer auch bestimmte Pakete ausgefiltert werden. Mit einem Synflood kann beispielsweise ein Rechner lahmgelegt werden, ohne dass die vorhandene Bandbreite überhaupt ausgereizt wird. Der Apache wird durch das Filtern der Syn - Pakete des Angreifers an Port 80 dann geschützt.

Angriffe per DDoS nehmen schon seit längerem zu: entsprechende Botnetze entstehen durch die massenhafte Verseuchung von Rechnern mit Trojanern. Die infizierten Rechner können zu einem beliebigen Zeitpunkt ferngesteuert dazu genutzt werden, einen Server massenhaft mit (meist ungültigen) Datenpaketen zu bombardieren. Die Blockade ist in der Regel schwierig - da in der Regel tausende von Rechnern an der Attacke beteiligt sind, können diese nur schwer einzeln blockiert werden. Entsprechende Zombie - Netzwerke können inzwischen stundenweise gemietet werden, ebenso gibt es inzwischen Möglichkeiten zum Fernsteuern von Trojaner-Netzwerken per Script, die DoS - Attacken mit zahlreichen infizierten Systemen auch Scriptkiddies ermöglichen.

 

© Copyright 1998-2008 gulli.com  | home | sitemap | kontakt | impressum | Partner | downloads |