Flooding

[nurxso]

Hallo zusammen !

Weiss nicht so recht, ob das hier für meine Frage der richtige Ort ist. Ich versuchs mal:

Heute wurde mein Server mit einer Flooding-Attacke lahmgelegt und ist zur Zeit gesperrt. Mein Provider meinte, dass dies an den Sicherheitslücken in meinem Script liegt. Dieses läuft seit 10 Jahren einwandfrei.

Der Provider meint, er könne mir nicht mehr sagen, als dass es ein Flooding-Angriff war.....

Da ich ein relativ bescheidenes Wissen in Sachen Programmierung oder Sicherheitsvorkehrungen gegen solche Attacken habe, meine Frage:

Was kann ich nun tun ? (Auf dem Server liegt ein grösseres Objekt mit vielen Nutzern....).
Wie kann ich diese Flooding-Attacken unterbinden oder zumindest eingrenzen ? IP`s gibt es anscheinend nicht - so der Provider.

Ich weiss auch nicht, wo man ansetzen könnte am Script.

Für etwas Hilfe, wie ich weiterkomme wäre ich dankbar.

 

[derlolomat]

Datenverkehr protokollieren bis eine neue Attacke auftritt. Dann weißt du exakt wie wo wann und womit angegriffen wurde und kannst dementsprechend reagieren.

 

[nkler]

Ich würde vorschlagen beim Erstellen von Beiträgen von nicht Registrierten Usern, mit einem CAPTCHA oder einer Sicherheitsfrage zu kontrollieren ob es ein Mensch oder eine Maschine ist.

 

[nurxso]

Captcha habe ich natürlich. Auch muss ich selber freischalten.

Ergänzung (17. Januar 2012)

Sorry, aber wie protokolliere ich - von wo aus

 

[Fipsi16]

Weitere Informationen wären vielleicht interessant:
Ist es nur ein Webhosting Paket oder ein echter Server bzw vServer?
Bei welchem Anbieter bist du?
Welche Systeme setzte du ein (Betriebssystem, CMS, Forum, Blog, ...)?

Protokollieren hängt dann von den oben beantworteten Fragen ab.

 

[nurxso]

Ich bin bei eArea.de und habe einen gemanagten Server.

Text des Providers zum Server:

Unsere Server sind in der Grundkonfiguration mit einem Maximum an Sicherheit auszustatten.

Selbstverständlich sind alle unsere Server RAID1 Konfiguriert.
RAID 1 wird auch als „Mirroring“ bezeichnet. Dies sagt bereits aus, um was für ein
Verfahren es sich hier handelt. Alle Zugriffe finden gleichzeitig auf 2 Festplatten statt,
beide Laufwerke sind Spiegelbilder voneinander. Das erhöht die Sicherheit der Daten erheblich.

Zusätzlich sind alle unsere Server mit Backuppartition Konfiguriert.
Backuppartition wird benötigt um ein Backup der Logdateien, MySQL Datenbanken und
Emails durchzuführen.

Wenn Sie eine Datenbank versehentlich löscht oder ein unsicheres Script ausgenutzt wird, besteht somit die Möglichkeit die Datenbank wiederherzustellen.

 

[Fipsi16]

Hat dir dein Provider auch gesagt um was für eine Art des Flooding es sich handelt?
Ping Flooding
Syn Flooding
...

Hast du bemerkt wie sich das ausgewirkt hat? Ansonsten einfach mal den Provider nach einem Log der Zugriffe fragen, wenn du selber auf deinem Server nicht mitloggst.

 

[nurxso]

Nein, hat er mir nicht gesagt. Er meinte lediglich - auf mehrmalige Anfrage - dass es sich um Flooding handele.

Angefangen hat es heute mittag. Da waren plötzlich meine Seiten nicht mehr erreichbar. Daraufhin habe ich den Provider kontaktiert, der meinte, ein Techniker würde sich bereits kümmern. Ca. 1 Stunde später lief wieder alles - bis eben vor ca. 4 Stunden. Dann schaltete er das web, auf dem das Projekt liegt, ab.

Okay, aber ich frage mal nach der Flooding-Art und nach dem Log der Zugriffe.

Melde mich dann morgen nochmals.

Danke erstmal. Jetzt weiss ich, nach was konkret ich fragen muss.

 

[Fipsi16]

Vielleicht wurde auch ein rechenintensiver Request angefordert.
Wenn du zB eine Seite hast wo extreme Berechnungen ausgeführt werden und der Angreifer fragt die Seite einige Male in der Sekunde ab, dann ist der Server auch lahmgelegt.
Deswegen auch nachfragen ob nur das Netzwerk dicht ist oder ob die CPU Auslastung oder Datenbank Request auch sehr hoch sind.
Bei einem Managed Server kann man wohl erwarten, dass die sich 1mal in 10 Jahren um so etwas kümmern.

 

[nurxso]

Vielen Dank für die Infos. Habe die Fragen an meinen Provider gestellt. Warte noch auf Antwort.....