[erledigt] Massive Attacken von multiplen IP-Adressen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

[erledigt] Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 12.08.2019 20:55:05

Moin

Jetzt gerade werfe ich mal eben in der Werbung ein Blick auf mein tägliches Log und bin erst mal geschockt. Offensichtlich hats gestern eine heftige Attacke auf meinen Server gegeben, wie ich sie vorher noch nie gesehen habe. Ich vermute mal, dass ich noch nicht mal alles sehe, weil das größen-orientierte Log-Rotate vermutlich nen Teil schon wieder gelöscht hat. Aber was ich gesehen hab, hat mich echt geschockt. Nicht eine IP, die es etliche Male versucht hat, sondern etliche IPs abgestimmt auf die gleiche Zeit... fast wie eine konzertierte Aktion.

Das ist das Log: NoPaste-Eintrag40814

An den letzten 2 Paketen sehe ich, dass die Attacken nicht bis zum eigentlichen Service durchgekommen sind, zumindest ist in dessen Logs nix ungewöhnliches zu sehen. Der Paketfilter hat das also vorher erfolgreich abgefangen. Aber ein solches Ausmaß ist echt heftig.

Kann jemand irgendwas dazu sagen...?... wie man damit umgeht...?... oder so einen Vorfall interpretiert? Ich würde jetzt sagen, meine Filter-Maßnahmen waren erst mal erfolgreich, der Server läuft wie gehabt weiter. Aber unsicher lässt es einen doch zurück... diese Dimension war völlig unerwartet und neu für mich :roll:

Nachtrag: Das obige Log war von heute morgen 00:01 Uhr und betrachtet den gestrigen Tag. Jetzt gerade -mit Blick auf heute- sehe ich, die Attacken liefen weiter, bis heute abend um 19:40 Uhr, mit gleicher Heftigkeit und in gleicher Größenordnung :oops:
Zuletzt geändert von TomL am 17.08.2019 09:59:23, insgesamt 1-mal geändert.
vg, Thomas

Benutzeravatar
schorsch_76
Beiträge: 1902
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von schorsch_76 » 12.08.2019 22:24:44

Hallo TomL,
Ich habe deshalb meine Blockzeit auf 1 Woche ausgedehnt mit drop anstatt Block in der Firewall/fail2ban. So lass ich den Angreifer in lange Timeouts rein laufen anstatt ihm Info zu geben. Mehr als Sicherheitsupdates und mehr oder weniger sichere Konfiguration kann man fast nicht machen. Evtl Cloudfront oder so... Aber das ist dann nicht mehr Hobby Bereich ;)
Gruß Georg

mludwig
Beiträge: 583
Registriert: 30.01.2005 19:35:04

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mludwig » 13.08.2019 09:48:34

Seltsam finde ich, dass bei oberflächlicher Prüfung der IPs/Netze mit whois ein großer Teil von der gleichen AS aus den Niederlanden zu kommen scheint. Hast du irgendwelche Holländer geärgert?

Fast alles aus AS50673 Serverius

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 13.08.2019 10:16:44

Moin
mludwig hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 09:48:34
Hast du irgendwelche Holländer geärgert? Fast alles aus AS50673 Serverius
Serverius....?... das hatte ich noch gar geprüft.... war viel zu geschockt.... aber interessant isses schon, dass das von einer Stelle kommt. Und nein, ich habe natürlich keine Holländer geärgert. Ich vermute mal, entweder haben die MyFritz gehackt, weil die von dort vergebene DynDNS ja kaum lesbar und noch schlechter zu merken ist, oder meine öffentliche IPv4 wurde zufällig getroffen.... anzumerken ist, die wird ja momentan noch einmal täglich zwangsgetrennt.

Seit gestern abend 19:40 Uhr ist Ruhe... alles wieder wie immer. Anhand meiner Logs kann ich jetzt rückwirkend eine Mindestlaufzeit der Attacken vom 11.08.19, 14:50 bis 12.08.19, 19:40 erkennen. Ich muss aber davon ausgehen, dass das Log-Rotate schon Sätze entfernt hat. Aber Fakt ist, die Attacke lief durchgehend mindestens 29 Stunden :oops: .
schorsch_76 hat geschrieben: ↑ zum Beitrag ↑
12.08.2019 22:24:44
Ich habe deshalb meine Blockzeit auf 1 Woche ausgedehnt mit drop anstatt Block in der Firewall/fail2ban.
Fail2ban habe ich mir mal angesehen und speziell für meine Bedürfnisse als ungeeignet verworfen. Mir war das zu träge, weil damit erst im Anschluß der beim Service ankommende Failed-Traffice analysiert wird und dann darauf reagiert wird. Ich packe solche Pakete schon an, bervor sie beim Service ankommen und entsorge sie sofort. Das ist aber eine speziale Lösung und nicht pauschal anwendbar. Hier werden solche Pakete auch gedropt, und zwar rigoros, mit einer Sperrzeit der IP von 1 Stunde. Aber weil die IPs ja durchweg reingekommen sind, waren sie quasi durchgängig gesperrt.

Am meisten würde mich hier interessieren, ob meine öffentliche IP vielleicht doch nur ein Zufallstreffer war.... was ich ja eigentlich gerne glauben möchte..... :roll:
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 13.08.2019 11:37:51

TomL hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 10:16:44
Ich vermute mal, entweder haben die MyFritz gehackt, weil die von dort vergebene DynDNS ja kaum lesbar und noch schlechter zu merken ist, oder meine öffentliche IPv4 wurde zufällig getroffen.... anzumerken ist, die wird ja momentan noch einmal täglich zwangsgetrennt.

... Aber Fakt ist, die Attacke lief durchgehend mindestens 29 Stunden :oops: .
[....
Am meisten würde mich hier interessieren, ob meine öffentliche IP vielleicht doch nur ein Zufallstreffer war.... was ich ja eigentlich gerne glauben möchte..... :roll:
Wenn es 29 Stunden waren, dann müssen es ja 2 deiner öffentliche IP-Adressen gewesen sein.

Oder war es doch der DynDNS deines MyFritz-Accounts, ... denn MyFritz ist ja mehr als nur ein DynDNS-Service.
Seit wann hast Du diesen MyFritz-Account? ... schon vor 2014 (... das Jahr des Massenhack von AVM-FritzBoxen) oder nach 2014?

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 13.08.2019 14:15:36

mat6937 hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 11:37:51
Wenn es 29 Stunden waren, dann müssen es ja 2 deiner öffentliche IP-Adressen gewesen sein.
Ja, richtig, so war es auch ... hab es gerade geprüft. Danke für den Tip, auf diesen Zeitpunkt zu gucken bin ich selber erst mal gar nicht gekommen. Ich hatte mich wohl mehr mit der Motivation des Angriffs und den Konsequenzen beschäftigt. Zum Zeitpunkt der Trennung reisst der Angriff tatsächlich ab, und geht dann etwa ne viertelstunde später mit einer IP weiter. Kurz darauf sind es dann wieder etliche unterschiedliche IPs.
Oder war es doch der DynDNS deines MyFritz-Accounts, ... denn MyFritz ist ja mehr als nur ein DynDNS-Service. Seit wann hast Du diesen MyFritz-Account? ... schon vor 2014
Also jetzt, nach Deinem Hinweis nehme ich auch an, dass meine DynDNS-Adresse des MyFritz-Kontos das Ziel war. Spätestens mit der Zwangstrennung hätte das ja beendet sein müssen... wars aber nicht... :roll:
Wie lange habe ich den Account...?...*hmmm* ... seit wann hat NoIp die Free-Accounts auf 30 Tage limitiert.... etwa so lange. Ich werde das jetzt ein paar Tage beobachten und wenns wieder passiert, lösch ich den DynDNS und richte ihn mit neuer Adresse neu ein.
vg, Thomas

wanne
Moderator
Beiträge: 6117
Registriert: 24.05.2010 12:39:42

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von wanne » 13.08.2019 15:24:55

schorsch_76 hat geschrieben: ↑ zum Beitrag ↑
12.08.2019 22:24:44
Ich habe deshalb meine Blockzeit auf 1 Woche ausgedehnt mit drop anstatt Block in der Firewall/fail2ban. So lass ich den Angreifer in lange Timeouts rein laufen anstatt ihm Info zu geben.
Das machst du genau so lange bis du mal ne echte ddos abbekommst. Ein nginx (oder sonst die meisten services) können um Größenordnungen mehr Verbindungen/s ab als ein iptables mit tausenden von ail2ban regeln. IMHO ist das die häufigste Art und weise wie Leute wegen CPU-Last down gehen.
Meine Fette empfehlung: Wenn du nicht mit schlechten passwörtern rechnest lass die finger von fail2ban.
rot: Moderator wanne spricht, default: User wanne spricht.

nobody2311
Beiträge: 97
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von nobody2311 » 13.08.2019 15:43:39

Mit einer ipfire vor dem Webserver (oder mit nginx selbst) kann man doch die Anzahl der Verbindungen pro IP-Adresse begrenzen.

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 13.08.2019 15:59:40

nobody2311 hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 15:43:39
... kann man doch die Anzahl der Verbindungen pro IP-Adresse begrenzen.
Warum sollte man die Anzahl der Verbindungen begrenzen?, ... wenn doch der richtig konfigurierte Dienst/service mit einem (echten) DDOS besser "umgehen" kann als der Paketfilter (oder gleichwertig).

nobody2311
Beiträge: 97
Registriert: 04.04.2016 18:53:19
Lizenz eigener Beiträge: MIT Lizenz

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von nobody2311 » 13.08.2019 16:08:23

Ich habs im Eifer des Gefechts etwas unglücklich formuliert. :hail:

Es hätte mal eine Frage werden sollen, die du aber damit beantwortet hast :mrgreen:

Benutzeravatar
novalix
Beiträge: 1733
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von novalix » 13.08.2019 16:29:19

wanne hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 15:24:55
schorsch_76 hat geschrieben: ↑ zum Beitrag ↑
12.08.2019 22:24:44
Ich habe deshalb meine Blockzeit auf 1 Woche ausgedehnt mit drop anstatt Block in der Firewall/fail2ban. So lass ich den Angreifer in lange Timeouts rein laufen anstatt ihm Info zu geben.
Das machst du genau so lange bis du mal ne echte ddos abbekommst. Ein nginx (oder sonst die meisten services) können um Größenordnungen mehr Verbindungen/s ab als ein iptables mit tausenden von ail2ban regeln. IMHO ist das die häufigste Art und weise wie Leute wegen CPU-Last down gehen.
Meine Fette empfehlung: Wenn du nicht mit schlechten passwörtern rechnest lass die finger von fail2ban.
Sorry can not resist:
Was sind "die meisten services"?
Hast Du da auch belastbare Zahlen?

Was sicherlich richtig ist: fail2ban ist in seiner neuen Architektur viel "fetter" (speicherhungriger) geworden und bei einem "echten ddos" sowieso eher ein Klotz am Bein. Es wird relativ aufwändig geprüft und geprüft, aber nichts gesperrt.

Reines Netfilter (z.B. mit recent modul) wäre da schon deutlich leichtgewichtiger, würde aber bei vollständiger distribution genauso ins Leere laufen und letztlich nur überflüssige zusätzliche Last erzeugen.

Nichtsdestotrotz ist ein wirklicher ddos dann doch eher selten. Die meiste Zeit (oder sogar immer) leisten solche Methoden (fail2ban, recent) genau die gewünschte und wichtige Arbeit der Abwehr von Angriffsversuchen.

Für ein dezidiertes DDOS-Szenario sollte man - so lange man auf sich allein gestellt ist - ein sinnvolles Monitoring einrichten, um das Event zu entdecken und die services vom Netz nehmen, bevor sie von sich aus in die Knie gehen.
Da wäre ein laufender fail2ban sicherlich ein erster Kandidat.

@TomL
Soweit ich das korrekt erinnere, sind bei Dir sowieso keine daemons von außen zu erreichen. Du könntest einfach das Logging des Netzfilters unterbinden. Das minimiert noch mal zusätzlich den Rechenaufwand und verheimlicht einem die unangenehmen Informationen. :mrgreen:
Im Ernst: Ich vermute, dass es sich bei dieser Sache um keinen gezielten Angriff auf Deinen Server, sondern um ein schon etwas aufwändigeren Versuch, *irgendein* Opfer in dem Dyndns-Namensraum aufzuspüren, handelt.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 13.08.2019 18:17:09

mat6937 hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 15:59:40
Warum sollte man die Anzahl der Verbindungen begrenzen?, ... wenn doch der richtig konfigurierte Dienst/service mit einem (echten) DDOS besser "umgehen" kann als der Paketfilter (oder gleichwertig).
So richtig bin ich mit der Aussage auch noch nicht fertig, dass nginx besser mit einem DDOS umgehen kann, als ein Paketfilter... direkt oder via fail2ban. Was tut denn Nginx...?... es begrenzt die Request-Rate und die Anzahl der Connects und verwirft "failed" Anfragen. Ich rede jetzt hier ausdrücklich nicht von Passwörtern, sondern das, was auf Paketebene stattfindet. Ein Paketfilter (resp. fail2ban) macht doch da aber nix anderes... nur halt eben früher, er limitiert die Request-Rate, die Anzahl der Connects und drop'd "failed" Pakete. Warum soll das schlechter sein? Wie kann man das verständlich erklären, dass das schlechter ist? An fail2toban habe ich nur die Kritik, dass es mir zu träge ist und nur nachgeschaltet erst nach etlichen Prüfungen reagiert. Bis dahin könnte ein Daemon schon angeschossen sein.
novalix hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 16:29:19
Soweit ich das korrekt erinnere, sind bei Dir sowieso keine daemons von außen zu erreichen.
Doch natürlich, ansonsten wärs ja Blödsinn, einen Port im Router zu öffnen und auf den Server weiterzuleiten. Bei mir isses ein auf dem TCP-Stack lauschender VPN-Daemon.... den ich natürlich auch benötige.

Das Ablauf ist bei mir allerdings so, dass verdächtige TCP-Pakete gar nicht erst bis zum Daemon durchkommen, also bis zur tatsächlich verarbeitenden Programmebene. Zunächst mal ist es hier so, das jedes fremde TCP-Paket tatsächlich auch auf dem NIC meines Server ankommt. Gestern eben waren's diese zigtausend. Das heisst, ein neuer Request passiert zunächst auch mal ganz ungehindert meinen Paketfilter auf dem System, was natürlich ja auch so gewollt ist. Aber es verreckt dann in der HMAC-Firewall, wenn es auf dem TLS-Channel als ungültig erkannt wird, und bevor es die 'Arbeitsebene' des laufenden Daemons erreicht wird es schon verworfen. Und nun bei jedem weiteren attackierenden Folgepaket mit der gleichen SADDR greift jetzt der Paketfilter via "recent" zu... das bedeutet, die weiteren Pakete erreichen noch nicht mal mehr die HMAC-Firewall, ganz zu schweigen vom eigentlichen Prozess meines Daemons.
Du könntest einfach das Logging des Netzfilters unterbinden. Das minimiert noch mal zusätzlich den Rechenaufwand und verheimlicht einem die unangenehmen Informationen.
Ja, das wäre vermutlich eine passende Lösung. Allerdings muss ich zugeben, dass die in der Vergangenheit geloggten Attacken eher auch eine beruhigende Wirkung hatten... "siehe da, der Paketfilter ist aktiv und werkelt fleissig vor sich hin". Ohne diese Logs müsste ich ja dann einen umgekehrten Schluss ziehen, und zwar ist alles OK, solange der Daemon selber nix berichtet. *hmmm*. Aber dann immer ohne zu wissen, ob einfach nix vorgefallen ist oder ob der Filter dafür verantwortlich ist. :roll:
Im Ernst: Ich vermute, dass es sich bei dieser Sache um keinen gezielten Angriff auf Deinen Server, sondern um ein schon etwas aufwändigeren Versuch, *irgendein* Opfer in dem Dyndns-Namensraum aufzuspüren, handelt.
Ich will das auch glauben.... das scheint mir auch die wahrscheinlichste Ursache zu sein. Ich werds jetzt einfach mal die nächsten Tage beobachten.
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 14.08.2019 00:39:43

TomL hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 18:17:09
mat6937 hat geschrieben: ↑ zum Beitrag ↑
13.08.2019 15:59:40
Warum sollte man die Anzahl der Verbindungen begrenzen?, ... wenn doch der richtig konfigurierte Dienst/service mit einem (echten) DDOS besser "umgehen" kann als der Paketfilter (oder gleichwertig).
So richtig bin ich mit der Aussage auch noch nicht fertig, dass nginx besser mit einem DDOS umgehen kann, als ein Paketfilter... direkt oder via fail2ban. Was tut denn Nginx...?... es begrenzt die Request-Rate und die Anzahl der Connects und verwirft "failed" Anfragen. Ich rede jetzt hier ausdrücklich nicht von Passwörtern, sondern das, was auf Paketebene stattfindet. Ein Paketfilter (resp. fail2ban) macht doch da aber nix anderes...
OK, wenn nur die Anzahl der Connects limitiert wird, betr. das ja auch die zulässigen Verbindungsversuche.

Aber in deinem konkreten Fall, z. B. OpenVPN. Du benutzt doch auch "HMAC packet authentication" mit tls-crypt (bzw. mit tls-auth), oder?

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 14.08.2019 10:03:46

mat6937 hat geschrieben: ↑ zum Beitrag ↑
14.08.2019 00:39:43
Aber in deinem konkreten Fall, z. B. OpenVPN. Du benutzt doch auch "HMAC packet authentication" mit tls-crypt (bzw. mit tls-auth), oder?
Ja, richtig, ich denke, dass mein Server ziemlich gut gehärtet ist, da ist jedenfalls nix durchgekommen. Mich hat aber die hinter der Attacke stehende Motivation echt beunruhigt und die Frage in den Raum gestellt "zufällig oder gezielt?". Und natürlich möchte ich gerne glauben, dass meine IPs zufällige Opfer waren ... aber wer betreibt das denn dann 29 Stunden lang, bei einem unbekannten Ziel und sogar weiter nach einem IP-wechsel? Damit hab ich ein Problem. :roll: Aber novalix' Sichtweise relativiert das wieder einigermaßen.
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 14.08.2019 14:03:17

TomL hat geschrieben: ↑ zum Beitrag ↑
14.08.2019 10:03:46
... ich denke, dass mein Server ziemlich gut gehärtet ist, ...
Ja, der Server ist gut gehärtet, ... aber es stellt sich die Frage, was ist Ressourcen schonender im Falle eines (Dauer-)Angriffs, die HMAC-Firewall oder der Paketfilter?

Antworten