pi_56063439
Ik heb een eigen website maar ondervind regelmatig problemen.
Ze proberen telkens mijn site plat te leggen met een DDoS aanval.

Ze sturen dan 100-en normale http requests per seconde naar mijn site (HTTP Flood)
waardoor deze overbelast raakt. Ze doen dit met 50 verschillende IP adressen meestal.

Het is niet zozeer dat de webserver het zwaar heeft maar alle connecties raken vol waardoor
normaal verkeer niet meer mogelijk is.

Ik werk met Apache met PHP op een Windows XP machine en er zit een router tussen.
Deze router heeft een firewall maar kan hier niets tegen doen.

Wie weet er een oplossing?

[ Bericht 13% gewijzigd door SweetLakeFlasher op 16-01-2008 00:42:28 ]
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
  woensdag 16 januari 2008 @ 00:42:29 #2
120621 Piet_Piraat
*De Scheve Schuit*
pi_56063561
Daar doe je weinig tegen, de IP's loggen is beste wat je kan doen.
-= Piet Piraat Piet Piraat schip ahoy hoy hoy =-
pi_56063622
Dat heb ik gedaan maar wat moet ik met een lijst met 1000 IPs?
Ze komen van 10-tallen providers uit meer dan 10 landen.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
pi_56063706
ff een paar abuse mailtjes sturen naar de providers van die kiddies kijken als ze het nog zo leuk vinden als ze niet meer online kunnen.

hmm eerst had je het over 50 ip adressen maar goed je kunt ook een beter abbonement nemen zodat je website het verkeer beter aankan.
  woensdag 16 januari 2008 @ 00:50:36 #5
120621 Piet_Piraat
*De Scheve Schuit*
pi_56063731
quote:
Op woensdag 16 januari 2008 00:45 schreef SweetLakeFlasher het volgende:
Dat heb ik gedaan maar wat moet ik met een lijst met 1000 IPs?
Ze komen van 10-tallen providers uit meer dan 10 landen.
IP ranges blocken is 't beste wat je kan doen als er enig verband inzit.
-= Piet Piraat Piet Piraat schip ahoy hoy hoy =-
pi_56063768
quote:
Op woensdag 16 januari 2008 00:49 schreef Gercos het volgende:
ff een paar abuse mailtjes sturen naar de providers van die kiddies kijken als ze het nog zo leuk vinden als ze niet meer online kunnen.

hmm eerst had je het over 50 ip adressen maar goed je kunt ook een beter abbonement nemen zodat je website het verkeer beter aankan.
Ik bedoel per aanval 50 IPs maar ik word elke dag wel een keer aangevallen met telkens andere addressen.

Ik weet dat de PCs waarvan het afkomt een bot hebben geinstalleerd, die mensen weten niet dat aan die aanval meedoen.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
  woensdag 16 januari 2008 @ 00:53:44 #7
120621 Piet_Piraat
*De Scheve Schuit*
pi_56063781
quote:
Op woensdag 16 januari 2008 00:49 schreef Gercos het volgende:
ff een paar abuse mailtjes sturen naar de providers van die kiddies kijken als ze het nog zo leuk vinden als ze niet meer online kunnen.

hmm eerst had je het over 50 ip adressen maar goed je kunt ook een beter abbonement nemen zodat je website het verkeer beter aankan.
Dat gaat via overgenomen PC's. Mail naar de provider helpt soms. En je snapt nog niets van heleboel requests op een website.
-= Piet Piraat Piet Piraat schip ahoy hoy hoy =-
pi_56063808
Er bestaan hardwarematige oplossingen voor, maar die kost nogal wat centen.
  woensdag 16 januari 2008 @ 00:55:10 #9
68576 eleusis
can I get a hit of your weed?
pi_56063809
Heb je controle over de server, of is het een webhostingaccountje?
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intu´tief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
pi_56063816
quote:
Op woensdag 16 januari 2008 00:50 schreef Piet_Piraat het volgende:

[..]

IP ranges blocken is 't beste wat je kan doen als er enig verband inzit.
Een logisch verband zit er niet helaas
Ik kan op mn router helaas geen IP adressen blo;keren.

Ik doe dit nu wel met een script, ik blokkeer IPs via IP Security Policies van Windows.
Dan maakt dat IP geen connectie meer in Windows zelf.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
pi_56063825
quote:
Op woensdag 16 januari 2008 00:55 schreef soylent het volgende:
Heb je controle over de server, of is het een webhostingaccountje?
Yep alle controle, de server staat bij mij thuis
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
pi_56063859
quote:
Op woensdag 16 januari 2008 00:55 schreef F04 het volgende:
Er bestaan hardwarematige oplossingen voor, maar die kost nogal wat centen.
Mn hobby moet wel betaalbaar blijven
Ik weet dat er Cisco routers bestaan waar je in kan programeren en waar je dan packets kunt filteren en blokkeren maar zoals je zegt... dat kost aardig wat.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
  woensdag 16 januari 2008 @ 01:00:55 #13
68576 eleusis
can I get a hit of your weed?
pi_56063894
Ah ja. Nouja, in dat geval zou ik ook het maken van zo'n script aanraden dat IP-adressen in de firewall plaatst, zoals je zelf al hebt geklust. Je hebt dan nog wel het inkomend verkeer, wat mogelijk je verbinding volblaft zodat echte requests trager worden, maar veel meer is er niet tegen te doen. Behalve natuurlijk proberen er achter te komen wie het doet (er is altijd een motief), en hopen dat ze niet overstappen op effectiever methoden.

Een hardware router moet ook pakketjes weggooien, dat kan je Windowssysteem ook wel doen. Het nare is als je inkomende verbinding vol raakt, en daar doe je zelf weinig tegen...
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intu´tief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
  woensdag 16 januari 2008 @ 01:07:08 #14
120621 Piet_Piraat
*De Scheve Schuit*
pi_56063984
quote:
Op woensdag 16 januari 2008 01:00 schreef soylent het volgende:
Ah ja. Nouja, in dat geval zou ik ook het maken van zo'n script aanraden dat IP-adressen in de firewall plaatst, zoals je zelf al hebt geklust. Je hebt dan nog wel het inkomend verkeer, wat mogelijk je verbinding volblaft zodat echte requests trager worden, maar veel meer is er niet tegen te doen. Behalve natuurlijk proberen er achter te komen wie het doet (er is altijd een motief), en hopen dat ze niet overstappen op effectiever methoden.

Een hardware router moet ook pakketjes weggooien, dat kan je Windowssysteem ook wel doen. Het nare is als je inkomende verbinding vol raakt, en daar doe je zelf weinig tegen...
Inderdaad, een verband zoeken tussen de IP's en gebruikte proxys.
-= Piet Piraat Piet Piraat schip ahoy hoy hoy =-
pi_56064016
quote:
Op woensdag 16 januari 2008 01:00 schreef soylent het volgende:
Ah ja. Nouja, in dat geval zou ik ook het maken van zo'n script aanraden dat IP-adressen in de firewall plaatst, zoals je zelf al hebt geklust. Je hebt dan nog wel het inkomend verkeer, wat mogelijk je verbinding volblaft zodat echte requests trager worden, maar veel meer is er niet tegen te doen. Behalve natuurlijk proberen er achter te komen wie het doet (er is altijd een motief), en hopen dat ze niet overstappen op effectiever methoden.

Een hardware router moet ook pakketjes weggooien, dat kan je Windowssysteem ook wel doen. Het nare is als je inkomende verbinding vol raakt, en daar doe je zelf weinig tegen...
Ja klopt heb je gelijk in.

Ik weet eigenlijk niet of er programma's zijn die packets filteren en blokkeren voordat Windows een verbinding opengooit?

Ik weet het motief van de makers wel, ik heb namelijk de oplossing van een MSN Virus op m'n site, dat virus installeert namelijk zo'n bot op die PC en dan kunnen ze die gebruiken in hun netwerk welke via IRC aangestuurd word, bv voor DoSS aanvallen.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
pi_56064039
quote:
Op woensdag 16 januari 2008 01:07 schreef Piet_Piraat het volgende:

[..]

Inderdaad, een verband zoeken tussen de IP's en gebruikte proxys.
Al die IP adressen zijn van PCs bij normale gebruikers die besmet zijn geraakt met een MSN virus.
Die mensen weten van niets als het ware. Ze maken zelden of nooit gebruik van een proxy.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
  woensdag 16 januari 2008 @ 01:15:25 #17
1972 Swetsenegger
Egocentrische Narcist
pi_56064100
quote:
Op woensdag 16 januari 2008 00:58 schreef SweetLakeFlasher het volgende:

[..]

Mn hobby moet wel betaalbaar blijven
Ik weet dat er Cisco routers bestaan waar je in kan programeren en waar je dan packets kunt filteren en blokkeren maar zoals je zegt... dat kost aardig wat.
Er zijn diverse thuisroutertjes op de markt die een DoS protectie hebben
pi_56064151
quote:
Op woensdag 16 januari 2008 01:15 schreef Swetsenegger het volgende:

[..]

Er zijn diverse thuisroutertjes op de markt die een DoS protectie hebben
Ook tegen een HTTP Flood?
Mijn router kan ook een aantal DDoS aanvallen herkennen en blokkeren maar deze helaas niet.
Wel SYN Floods en Ping Of Death attacks en portscans.
Het probleem is dat het allemaal toegestane normale HTTP aanvragen zijn.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
pi_56064192
quote:
Op woensdag 16 januari 2008 01:20 schreef SweetLakeFlasher het volgende:

[..]

Ook tegen een HTTP Flood?
Mijn router kan ook een aantal DDoS aanvallen herkennen en blokkeren maar deze helaas niet.
Wel SYN Floods en Ping Of Death attacks en portscans.
Het probleem is dat het allemaal toegestane normale HTTP aanvragen zijn.
Dat ga je met een Sitecom ding niet tegenhouden.
"...en ik ga er een boek over schrijven!"
pi_56064256
Na-apers herkennen geen na-apers
pi_56064347
quote:
Op woensdag 16 januari 2008 01:29 schreef Manono het volgende:
google?

http://www.tech-mavens.com/synflood.htm

http://lists.virus.org/incidents-0105/msg00052.html

yuba.stanford.edu/~casado/flowshort.express.pdf
De aanval is geen SYN flood of ping flood maar het zijn normale HTTP requests.... alleen dan 100 per seconde of misschien wel meer
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.
  woensdag 16 januari 2008 @ 08:43:46 #22
20004 EggsTC
The Dark One
pi_56065962
Sonicwall Firewalls hebben ook een DDoS protection.
Winter is Coming
  woensdag 16 januari 2008 @ 10:12:14 #23
84926 WyriHaximus
Release the hounds smithers!
pi_56067239
Webserver uitzetten/port niet meer forwarden als tijdelijke oplossing en voor de langere termijn misschien toch je website bij een professionele hoster neer planten?
Wyri.Haxim.us | WoW Maps / Screenshots
phluphy for president!
pi_56067723
quote:
Op woensdag 16 januari 2008 01:07 schreef Piet_Piraat het volgende:

[..]

Inderdaad, een verband zoeken tussen de IP's en gebruikte proxys.
Botnet?
pi_56071347
quote:
Op woensdag 16 januari 2008 10:41 schreef sentiao. het volgende:

[..]

Botnet?
Ja het is een botnet dat mij aanvalt.
Heb je het "omg jij naakt ?" virus? Klik dan hier voor de oplossing.
Bestel Kaspersky Anti-Virus 7.0 of Kaspersky Internet Security 7.0 tegen virussen, trojans en spyware.
Bestel paddo's online bij Azarius of cactussen online bij CactusPlaza.

Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')