DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Ik heb een eigen website maar ondervind regelmatig problemen.
Ze proberen telkens mijn site plat te leggen met een DDoS aanval.
Ze sturen dan 100-en normale http requests per seconde naar mijn site (HTTP Flood)
waardoor deze overbelast raakt. Ze doen dit met 50 verschillende IP adressen meestal.
Het is niet zozeer dat de webserver het zwaar heeft maar alle connecties raken vol waardoor
normaal verkeer niet meer mogelijk is.
Ik werk met Apache met PHP op een Windows XP machine en er zit een router tussen.
Deze router heeft een firewall maar kan hier niets tegen doen.
Wie weet er een oplossing?
[ Bericht 13% gewijzigd door SweetLakeFlasher op 16-01-2008 00:42:28 ]
Ze proberen telkens mijn site plat te leggen met een DDoS aanval.
Ze sturen dan 100-en normale http requests per seconde naar mijn site (HTTP Flood)
waardoor deze overbelast raakt. Ze doen dit met 50 verschillende IP adressen meestal.
Het is niet zozeer dat de webserver het zwaar heeft maar alle connecties raken vol waardoor
normaal verkeer niet meer mogelijk is.
Ik werk met Apache met PHP op een Windows XP machine en er zit een router tussen.
Deze router heeft een firewall maar kan hier niets tegen doen.
Wie weet er een oplossing?
[ Bericht 13% gewijzigd door SweetLakeFlasher op 16-01-2008 00:42:28 ]
Dat heb ik gedaan maar wat moet ik met een lijst met 1000 IPs?
Ze komen van 10-tallen providers uit meer dan 10 landen.
Ze komen van 10-tallen providers uit meer dan 10 landen.
ff een paar abuse mailtjes sturen naar de providers van die kiddies kijken als ze het nog zo leuk vinden als ze niet meer online kunnen.
hmm eerst had je het over 50 ip adressen maar goed je kunt ook een beter abbonement nemen zodat je website het verkeer beter aankan.
hmm eerst had je het over 50 ip adressen maar goed je kunt ook een beter abbonement nemen zodat je website het verkeer beter aankan.
IP ranges blocken is 't beste wat je kan doen als er enig verband inzit.quote:Op woensdag 16 januari 2008 00:45 schreef SweetLakeFlasher het volgende:
Dat heb ik gedaan maar wat moet ik met een lijst met 1000 IPs?
Ze komen van 10-tallen providers uit meer dan 10 landen.
Ik bedoel per aanval 50 IPs maar ik word elke dag wel een keer aangevallen met telkens andere addressen.quote:Op woensdag 16 januari 2008 00:49 schreef Gercos het volgende:
ff een paar abuse mailtjes sturen naar de providers van die kiddies kijken als ze het nog zo leuk vinden als ze niet meer online kunnen.
hmm eerst had je het over 50 ip adressen maar goed je kunt ook een beter abbonement nemen zodat je website het verkeer beter aankan.
Ik weet dat de PCs waarvan het afkomt een bot hebben geinstalleerd, die mensen weten niet dat aan die aanval meedoen.
Dat gaat via overgenomen PC's. Mail naar de provider helpt soms. En je snapt nog niets van heleboel requests op een website.quote:Op woensdag 16 januari 2008 00:49 schreef Gercos het volgende:
ff een paar abuse mailtjes sturen naar de providers van die kiddies kijken als ze het nog zo leuk vinden als ze niet meer online kunnen.
hmm eerst had je het over 50 ip adressen maar goed je kunt ook een beter abbonement nemen zodat je website het verkeer beter aankan.
Heb je controle over de server, of is het een webhostingaccountje?
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Een logisch verband zit er niet helaasquote:Op woensdag 16 januari 2008 00:50 schreef Piet_Piraat het volgende:
[..]
IP ranges blocken is 't beste wat je kan doen als er enig verband inzit.
Ik kan op mn router helaas geen IP adressen blo;keren.
Ik doe dit nu wel met een script, ik blokkeer IPs via IP Security Policies van Windows.
Dan maakt dat IP geen connectie meer in Windows zelf.
Yep alle controle, de server staat bij mij thuisquote:Op woensdag 16 januari 2008 00:55 schreef soylent het volgende:
Heb je controle over de server, of is het een webhostingaccountje?
Mn hobby moet wel betaalbaar blijvenquote:Op woensdag 16 januari 2008 00:55 schreef F04 het volgende:
Er bestaan hardwarematige oplossingen voor, maar die kost nogal wat centen.
Ik weet dat er Cisco routers bestaan waar je in kan programeren en waar je dan packets kunt filteren en blokkeren maar zoals je zegt... dat kost aardig wat.
Ah ja. Nouja, in dat geval zou ik ook het maken van zo'n script aanraden dat IP-adressen in de firewall plaatst, zoals je zelf al hebt geklust. Je hebt dan nog wel het inkomend verkeer, wat mogelijk je verbinding volblaft zodat echte requests trager worden, maar veel meer is er niet tegen te doen. Behalve natuurlijk proberen er achter te komen wie het doet (er is altijd een motief), en hopen dat ze niet overstappen op effectiever methoden.
Een hardware router moet ook pakketjes weggooien, dat kan je Windowssysteem ook wel doen. Het nare is als je inkomende verbinding vol raakt, en daar doe je zelf weinig tegen...
Je hebt dan nog wel het inkomend verkeer, wat mogelijk je verbinding volblaft zodat echte requests trager worden, maar veel meer is er niet tegen te doen. Behalve natuurlijk proberen er achter te komen wie het doet (er is altijd een motief), en hopen dat ze niet overstappen op effectiever methoden.Een hardware router moet ook pakketjes weggooien, dat kan je Windowssysteem ook wel doen. Het nare is als je inkomende verbinding vol raakt, en daar doe je zelf weinig tegen...
Ik in een aantal worden omschreven: Ondernemend | Moedig | Stout | Lief | Positief | Intuïtief | Communicatief | Humor | Creatief | Spontaan | Open | Sociaal | Vrolijk | Organisator | Pro-actief | Meedenkend | Levensgenieter | Spiritueel
Inderdaad, een verband zoeken tussen de IP's en gebruikte proxys.quote:Op woensdag 16 januari 2008 01:00 schreef soylent het volgende:
Ah ja. Nouja, in dat geval zou ik ook het maken van zo'n script aanraden dat IP-adressen in de firewall plaatst, zoals je zelf al hebt geklust.
Een hardware router moet ook pakketjes weggooien, dat kan je Windowssysteem ook wel doen. Het nare is als je inkomende verbinding vol raakt, en daar doe je zelf weinig tegen...
Ja klopt heb je gelijk in.quote:Op woensdag 16 januari 2008 01:00 schreef soylent het volgende:
Ah ja. Nouja, in dat geval zou ik ook het maken van zo'n script aanraden dat IP-adressen in de firewall plaatst, zoals je zelf al hebt geklust.
Een hardware router moet ook pakketjes weggooien, dat kan je Windowssysteem ook wel doen. Het nare is als je inkomende verbinding vol raakt, en daar doe je zelf weinig tegen...
Ik weet eigenlijk niet of er programma's zijn die packets filteren en blokkeren voordat Windows een verbinding opengooit?
Ik weet het motief van de makers wel, ik heb namelijk de oplossing van een MSN Virus op m'n site, dat virus installeert namelijk zo'n bot op die PC en dan kunnen ze die gebruiken in hun netwerk welke via IRC aangestuurd word, bv voor DoSS aanvallen.
Al die IP adressen zijn van PCs bij normale gebruikers die besmet zijn geraakt met een MSN virus.quote:Op woensdag 16 januari 2008 01:07 schreef Piet_Piraat het volgende:
[..]
Inderdaad, een verband zoeken tussen de IP's en gebruikte proxys.
Die mensen weten van niets als het ware. Ze maken zelden of nooit gebruik van een proxy.
Er zijn diverse thuisroutertjes op de markt die een DoS protectie hebbenquote:Op woensdag 16 januari 2008 00:58 schreef SweetLakeFlasher het volgende:
[..]
Mn hobby moet wel betaalbaar blijven
Ik weet dat er Cisco routers bestaan waar je in kan programeren en waar je dan packets kunt filteren en blokkeren maar zoals je zegt... dat kost aardig wat.
Ook tegen een HTTP Flood?quote:Op woensdag 16 januari 2008 01:15 schreef Swetsenegger het volgende:
[..]
Er zijn diverse thuisroutertjes op de markt die een DoS protectie hebben
Mijn router kan ook een aantal DDoS aanvallen herkennen en blokkeren maar deze helaas niet.
Wel SYN Floods en Ping Of Death attacks en portscans.
Het probleem is dat het allemaal toegestane normale HTTP aanvragen zijn.
Dat ga je met een Sitecom ding niet tegenhouden.quote:Op woensdag 16 januari 2008 01:20 schreef SweetLakeFlasher het volgende:
[..]
Ook tegen een HTTP Flood?
Mijn router kan ook een aantal DDoS aanvallen herkennen en blokkeren maar deze helaas niet.
Wel SYN Floods en Ping Of Death attacks en portscans.
Het probleem is dat het allemaal toegestane normale HTTP aanvragen zijn.
google?
http://www.tech-mavens.com/synflood.htm
http://lists.virus.org/incidents-0105/msg00052.html
yuba.stanford.edu/~casado/flowshort.express.pdf
http://www.tech-mavens.com/synflood.htm
http://lists.virus.org/incidents-0105/msg00052.html
yuba.stanford.edu/~casado/flowshort.express.pdf
Jusqu'ici tout va bien...
De aanval is geen SYN flood of ping flood maar het zijn normale HTTP requests.... alleen dan 100 per seconde of misschien wel meerquote:Op woensdag 16 januari 2008 01:29 schreef Manono het volgende:
google?
http://www.tech-mavens.com/synflood.htm
http://lists.virus.org/incidents-0105/msg00052.html
yuba.stanford.edu/~casado/flowshort.express.pdf
Webserver uitzetten/port niet meer forwarden als tijdelijke oplossing en voor de langere termijn misschien toch je website bij een professionele hoster neer planten?
phluphy for president!
Botnet?quote:Op woensdag 16 januari 2008 01:07 schreef Piet_Piraat het volgende:
[..]
Inderdaad, een verband zoeken tussen de IP's en gebruikte proxys.
|
|
