Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Projekt-Hosting: Tagelanger DDoS…

wie hilft sich github?

  1. Thema

Neues Thema Ansicht wechseln


  1. wie hilft sich github?

    Autor: Anonymer Nutzer 30.03.15 - 15:05

    interessant wäre, zu erfahren, welche mittel github einsetzt, um noch erreichbar zu sein. man will ja schließlich dazulernen.

  2. Re: wie hilft sich github?

    Autor: LewxX 30.03.15 - 16:12

    Mittlerweile gibt es schon ein paar Möglichkeiten sich zumindest teilweise zu Helfen,
    Cloudflare ist in der Richtung meines Wissens nach ganz groß.

  3. Re: wie hilft sich github?

    Autor: Plany 30.03.15 - 16:25

    Wenn jemand mit 5 Rootserver versucht meine kleinen vserver web-service abzuschießen stell ich einfach meine routing table um.
    http://linux-ip.net/html/routing-tables.html
    stichwort "blackhole"

    bei ein zb DNS/NTP auf Amp. DDoS wird es schwerer da sollte man vllt wirklich ein Spezialisierten Service in Anspruch nehmen.

    solange es kein bot-netz oder IP-spoofing DDoS attacken sind sollte man der lage eigendlich recht einfach Herr werden.

    aber wie genau man nun so ein Großangriff abwehrt, kann ich auch nicht sagen ... ich würde denken ab in den Schützengraben und abwarten. :)



    1 mal bearbeitet, zuletzt am 30.03.15 16:27 durch Plany.

  4. Re: wie hilft sich github?

    Autor: lyom 30.03.15 - 17:08

    "Wenn jemand mit 5 Rootserver versucht meine kleinen vserver web-service abzuschießen stell ich einfach meine routing table um."

    Du bist noch leider etwas grün, nicht wahr?

    Ich sag dir was passiert.
    Sagen wir, jemand fährt gegen dich einen DDoS. Du hechtest hinter deine Konsole und hämmerst schnell dein iptables -j DROP rein. Schnell noch "Enter" gedrückt! Dein vServer ist gerette- was ist das?

    Dein Hosting Provider null-routet dich. Da wird nicht anhand von Quell-IP blockiert - sondern nach Ziel-IP. Alle deine Services sind tot. Wieso hattest du noch schnell mal den vServer?

    Typischerweise dauern Null-Routen 24 Stunden - auch wenn die Attacke schnell vorbei ist. Dann werden die kurz aufgehoben um zu schauen, ob der Attacktraffic noch kommt. Falls ja ist die Null-Route nochmals für 24 Stunden drinnen, und so weiter. Eigentlich eh egal, deine Nutzer sind nämlich schon lange weg, die glauben du hast dicht gemacht, weil dein Server weg ist.

    Egal! Du zeigt Größe - irgendwann wird sich der Angreifer bei dir die Zähne ausbeißen, wenn er merkt das es nichts bringt! Bald kommt die E-Mail in der er eingesteht, dass er nicht mit deiner Ausdauer gerechnet ha -
    Oha! Neue Mail! Was ist das? Betreff: Kündigung.

    Nachdem dein Service niedergeschossen wurde, ist es deinem Serverprovider zu heiß geworden. Die ständigen Attacken die du anziehst sind schädlich für das Geschäft. Die Dienste anderen Nutzer leiden durch deinen Missbrauch der Netzwerkresourcen, du mögest bitte deine Koffer packen. Die Miete von diesem Monat bekommst du zurück, also nimm dein Geld und verschwinde, aber rasch.

    Oh nein! Schnell einen anderen Provider gewählt. Zum Glück ist der Server in 30 Minuten aufgesetz- oje. Schon die nächste Kündigung. Der DDoS Traffic ist dir gefolgt, der neue Provider will mit dir gar nichts erst zu tun haben.

    The End.
    Deine iptables und route Befehle bringen gar nix, weil der Traffic zu deinem Server schon upstream abgeklemmt wird, und genau 0 bytes / Sekunde auf deinem Netzwerkinterface anliegen.

    "solange es kein bot-netz oder IP-spoofing DDoS attacken sind sollte man der lage eigendlich recht einfach Herr werden. "

    Darum geht es typischerweise aber. Von einer einzelnen IP passiert nicht wirklich was Ernstzunehmendes.



    3 mal bearbeitet, zuletzt am 30.03.15 17:12 durch lyom.

  5. Re: wie hilft sich github?

    Autor: David'96 30.03.15 - 17:12

    Gegen die Attacke über das eingeschleuste Javascript hat Github eine sehr einfache und effiziente Maßnahme gefunden. Die Angreifer haben im Prinzip einfach ein <script src="https://github.com/greatfire/"></script> in die Website eingebaut (allerdings auf eine etwas kompliziertere Variante mit jQuery, warum auch immer) und haben Github somit eine schöne XSS Möglichkeit gegeben. Github hat also einfach anstatt der Website ein alert('...') ausgeliefert und somit die Benutzer gewarnt und gleichzeitig den Angriff unterbrochen, da alert ja bekanntlich die Ausführung von JS stoppt bis das Popup geschlossen wurde. Somit wurden die Seiten nicht mehr ganz alle 2 Sekunden aufgerufen.
    Nähere Informationen dazu hier: http://insight-labs.org/?p=1682
    Und die Diskussion auf ycombinator: https://news.ycombinator.com/item?id=9284226

  6. Re: wie hilft sich github?

    Autor: Richtig Steller 30.03.15 - 17:13

    Plany schrieb:
    --------------------------------------------------------------------------------
    > Wenn jemand mit 5 Rootserver versucht meine kleinen vserver web-service
    > abzuschießen stell ich einfach meine routing table um.
    > linux-ip.net
    > stichwort "blackhole"

    Das bringt dir gar nichts: Du blockierst ja auf Ebene deines Servers, d.h. um entscheiden zu können "Dieses Paket interessiert mich nicht" muss der Server das Paket sehen. Anders gesagt: Sobald jemand mit einer dickeren Leitung deinen Server "angreift", hast du verloren.

    Abwehren kannst du so etwas nur, wenn auf mind. einer Ebene vor deinem Server handeln kannst (und auch nur dann, wenn diese Ebene eben die dickere Leitung hat als der Angreifer). Mir ist jetzt kein Rootserver-Anbieter bekannt, wo du das tun kannst.

    Im übrigen gehen die meisten Anbieter dazu über und setzen eher eine Null-Route auf dich, d.h. sie opfern "dich" damit das RZ und damit die anderen Kunden nicht länger betroffen sind. Zu glauben, dass man für 10¤, lass es selbst 100¤ sein, einen DDoS Schutz bekommt ist sehr naiv.


    Zu CloudFlare oder der deutschen Lösung myracloud: Die helfen nur solange wie du die eigentlichen Upstream-Server (=die Server wo die tatsächliche Seite liegt) geheim gehalten bekommst. Denn diese Dienste verstecken diese Server lediglich dadurch, dass sie sich "davor" schalten. Da diese Lösungen aber quasi nur als Proxy für deine eigenen Server fungieren müssen diese selber Kontakt zu deinen Servern haben. Sprich deine Server sind weiterhin im WWW. Bekommt man diese Adresse nun heraus hast du genau gar nichts gewonnen (und deine Server nur für diese Anti-DDoS Dienste freizugeben geht nicht, sonst könntest du ja - siehe oben - die Angriffe selber abwehren. Du müsstest schon auf mind. einer Ebene davor blockieren können, was du eben nicht kannst). Lies mal beim Herrn Krebs wie er die Skriptkiddies mit ihrem DDoS Service gefunden hat... die haben sich auch versucht hinter CloudFlare zu verstecken ;)


    Fazit: Man selber kann sich gegen so etwas *nicht* schützen. Wer auf Lösungen die myracloud oder CloudFlare setzt muss von Beginn an damit planen. Verplappert sich ein App-Server und nennt bspw. irgendwo eine IP, dann weiß ein Angreifer worauf er feuern muss.



    1 mal bearbeitet, zuletzt am 30.03.15 17:14 durch Richtig Steller.

  7. Re: wie hilft sich github?

    Autor: Kastenbrot 30.03.15 - 17:55

    > Abwehren kannst du so etwas nur, wenn auf mind. einer Ebene vor deinem Server
    > handeln kannst (und auch nur dann, wenn diese Ebene eben die dickere Leitung hat
    > als der Angreifer). Mir ist jetzt kein Rootserver-Anbieter bekannt, wo du das tun
    > kannst.

    Oder man betreibt einfaches Outsourcing.
    D.h. man 2 IPs, lässt die sekundäre angreifen und "Down" gehen, stellt mit einem Script fest dass der Fall eingetreten ist und switcht auf eine Infra, die sowas abkann und filtert den Spaß dort.
    Letztlich sollte man dann aber niemals seine pri. Addy preisgeben.

    So kann man die Prot. in Anspruch nehmen, wenn man sie braucht und bezahlt dann auch nur für diese Zeit.

    Wie man das in die Praxis umsetzt kann sich jeder selbst ausmalen.
    Aber sagen wir es so 50-80Gbits bekommt man damit schon weg und wenn man es richtig macht sogar mehr.

  8. Re: wie hilft sich github?

    Autor: stoneburner 30.03.15 - 18:00

    David'96 schrieb:
    --------------------------------------------------------------------------------
    > Gegen die Attacke über das eingeschleuste Javascript hat Github eine sehr
    > einfache und effiziente Maßnahme gefunden. Die Angreifer haben im Prinzip
    > einfach ein in die Website eingebaut (allerdings auf eine etwas
    > kompliziertere Variante mit jQuery, warum auch immer) und haben Github
    > somit eine schöne XSS Möglichkeit gegeben. Github hat also einfach anstatt
    > der Website ein alert('...') ausgeliefert und somit die Benutzer gewarnt
    > und gleichzeitig den Angriff unterbrochen, da alert ja bekanntlich die
    > Ausführung von JS stoppt bis das Popup geschlossen wurde. Somit wurden die
    > Seiten nicht mehr ganz alle 2 Sekunden aufgerufen.
    > Nähere Informationen dazu hier: insight-labs.org
    > Und die Diskussion auf ycombinator: news.ycombinator.com

    und das hat solange funktioniert bis der angreifer

    window.alert = function() {}

    zusätzlich in sein script eingebaut hat und die popups verschwinden

  9. Re: wie hilft sich github?

    Autor: sn1x 30.03.15 - 19:25

    Welcher dann ohnehin nicht ausgeführt wird. Das Alert() ist schon ganz clever und simple.



    1 mal bearbeitet, zuletzt am 30.03.15 19:26 durch sn1x.

  10. Re: wie hilft sich github?

    Autor: kayozz 31.03.15 - 08:12

    Plany schrieb:
    --------------------------------------------------------------------------------
    >
    > solange es kein bot-netz oder IP-spoofing DDoS attacken sind sollte man der
    > lage eigendlich recht einfach Herr werden.
    >

    Wofür stand nochmal das erste D in DDos?

  11. Re: wie hilft sich github?

    Autor: azeu 31.03.15 - 17:55

    Disturbing? :)

    DU bist ...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  2. M-net Telekommunikations GmbH, München
  3. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  4. OEDIV KG, Oldenburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 344,00€
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
  2. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter
  3. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

  1. Disney: 4K kostet bei Disney+ keinen Aufpreis
    Disney
    4K kostet bei Disney+ keinen Aufpreis

    Ohne Aufpreis für 4K-Streaming will sich Disney zum Start von Disney+ von Konkurrenten wie Netflix abheben. Außerdem wird auf der Plattform Binge-Watching weniger populär sein, denn neue Episoden sollen nacheinander wöchentlich erscheinen.

  2. Kickstarter: Retrostone 2 ist ein Game Boy mit LC-Display und Ethernet
    Kickstarter
    Retrostone 2 ist ein Game Boy mit LC-Display und Ethernet

    Er sieht aus wie eine Mischung aus SNES-Controller und Game Boy: Der Retrostone 2 ist eine mobile Spielekonsole, auf der Gamer ihre alten Spiele als Emulation spielen können. Ungewöhnlich: Mit USB, HDMI und Ethernet eignet sich das System auch als Standkonsole am Fernseher.

  3. Taleworlds: Mount and Blade 2 ist 2020 nach acht Jahren spielbar
    Taleworlds
    Mount and Blade 2 ist 2020 nach acht Jahren spielbar

    Mit dem Schwert und dem Pferd können Fans der Mittelaltersimulation Mount and Blade den langersehnten zweiten Teil spielen. Diese Version wird allerdings im Early Access erscheinen und von daher nicht fertig sein. Zumindest geht es voran.


  1. 13:13

  2. 12:34

  3. 11:35

  4. 10:51

  5. 10:27

  6. 18:00

  7. 18:00

  8. 17:41