[erledigt] Massive Attacken von multiplen IP-Adressen

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 14.08.2019 14:20:16

mat6937 hat geschrieben: ↑ zum Beitrag ↑
14.08.2019 14:03:17
Ja, der Server ist gut gehärtet, ... aber es stellt sich die Frage, was ist Ressourcen schonender im Falle eines (Dauer-)Angriffs, die HMAC-Firewall oder der Paketfilter?
Tja, die Frage überfordert mich. So rein laienhaft würde ich vermuten, weil die HMAC-FW schon ein dem Paketfilter nachgeschalteter Prozess ist, ist es hier eben ein weiterer, zusätzlicher Verarbeitungsschritt, und das (im Gegensatz zu den Netfilter-Modulen) sogar außerhalb des Kernels und darüber hinaus imho auch auf einem höheren Layer. Außerdem verewigen sich die HMAC-Failed's ja auch im LOG, nur halt im VPN-Log, das heisst, statt journald im Log des Daemons... also auch nicht wirklich eine Verbesserung.

Im Grundegenommen liegen also die Conntrack-Module auf der einen Waage-Seite, und die Daemon-eigenen Prozesse auf der anderen... was wiegt hinsichtlich CPU-Last mehr? Aber ich kann (und will) ja nicht grundsätzlich aufs Traffic-Tracking verzichten, ich halte das für wertvoll... und so groß sind die Recent-Tabellen selbst durch die Attacke nicht geworden... es waren ja nicht tausende von SADDR, sondern nur 1000e von Zugriffen einer eher kleineren Anzahl von SADDR.

Ich würde jetzt sagen, wenn ich auf das Logging des Paketfilters verzichten würde, wäre der Paketfilter imho die performanteste Verarbeitung... aber diese Entscheidung an einem einzigen Vorfall in etlichen Jahren festzumachen, wäre m.M.n. auch ein wenig unüberlegter Aktionismus. Außerdem, was mir auch wichtig ist/war, ich verwende das Journald-Logging eben auch als faktisches Positiv-Fazit beim täglichen Kontrollüberblick. Darauf müsste ich dann verzichten... und ich glaube, das würde mir weniger gut gefallen.
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 14.08.2019 14:28:43

TomL hat geschrieben: ↑ zum Beitrag ↑
14.08.2019 14:20:16
Darüber hinaus verewigen sich die HMAC-Failed's ja auch im LOG, nur halt im VPN-Log, das heisst, statt journald im Log des Daemons... also auch nicht wirklich eine Verbesserung.
Das Loggen sollte nicht das Problem sein, denn man könnte VPN so konfigurieren, dass nicht geloggt wird und journald könnte man deaktivieren.

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 14.08.2019 14:32:48

Das halte ich überhaupt nicht für eine gute Idee. Das Logging ist ja (zumindest für mich) ein wesentlicher Bestandteil meiner Maßnahmen zur Sicherstellung der lokalen Netzhygiene. Das abzuschalten halte ich sogar für grob fahrlässig, egal obs der Daemon ist oder journald. Außerdem, der Paketfilter loggt ja nicht automatisch nach journald, ich habe das ja für diese Recent-Kandidation ausdrücklich so eingestellt. Generelles Abschalten schließe ich jedenfalls aus :roll:

Hast Du das bei Dir alles deaktiviert?
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 14.08.2019 14:45:10

TomL hat geschrieben: ↑ zum Beitrag ↑
14.08.2019 14:32:48
Das halte ich überhaupt nicht für eine gute Idee.
OK, ich hätte noch ergänzen sollen, dass man das temporär machen kann, d. h. nur für die Zeitdauer von Performance-Tests.
TomL hat geschrieben: ↑ zum Beitrag ↑
14.08.2019 14:32:48
Hast Du das bei Dir alles deaktiviert?
Ich habe das alles deaktiviert (... nach einer Testphase), aber ich benutze UDP und einen anderen Port als 1194.

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 14.08.2019 17:46:25

mat6937 hat geschrieben: ↑ zum Beitrag ↑
14.08.2019 14:45:10
...aber ich benutze UDP und einen anderen Port als 1194.
Das ist hier nicht anders. Hier läuft der Daemon lediglich 2 mal, eben als Fallback auch für TCP. Auf dem UDP-Port passiert so gut wie gar nichts....

:wink:
vg, Thomas

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 16.08.2019 10:27:45

Moin@all

Die Angriffe gingen bis gestern abend ca. 22:00 Uhr unvermindert heftig weiter :oops: . Ich habe dann zunächst meinen MyFritz-DynDNS-Account deaktiviert und den DSL-Router neu gestartet. Danach war erst mal Ruhe. In der Nacht hats dann nur wieder die ganz normalen quasi obligatorischen Zufalls-Treffer-Attacken gegeben. Heute morgen habe ich den alten DNS-Account komplett stillgelegt und einen neuen eingerichtet... jetzt muss ich mal abwarten, wie es in den nächsten Tagen weitergeht.

Es sieht also tatsächlich so aus, als wäre meine MF-DynDNS-Adresse das Opfer gewesen und als wäre diese Adresse gottweisswohin verteilt worden :?. Die über viele Stunden ankommenden TCP-Syn-Flag-Pakete kamen zu zig-tausenden zuletzt aus der ganzen Welt, Russland, Amerika, China, Korea. Ich verstehe nur eines an der ganzen Sache nicht ... mir ist schon klar, dass da nicht irgendwelche Typen hundertausende Male meine Adresse auswählen und auf die Entertaste drücken, das tut 'nen stumpfsinniger Bot. Ich kapiere nur nicht, wieso tut der das über viele Stunden lang immer wieder neu, obwohl aus meinem Netz keine Antwort kommt, weil die Pakete verworfen wurden. Selbst ein Bot muss doch irgendwann merken, wenn die Leitung tot ist. Oder denken die, wahrscheinlich ist um 9:00 Uhr Schichtbeginn und ein Thebentimer öffnet mit der Begrüßung "Hereinspaziert" die Türen in mein Netz und die warten einfach darauf? :facepalm:

Hat vielleicht jemand eine Erklärung, warum das bei diesen Attacken so abläuft.... um das ein wenig besser zu verstehen?
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 16.08.2019 10:39:12

TomL hat geschrieben: ↑ zum Beitrag ↑
16.08.2019 10:27:45
Ich kapiere nur nicht, wieso tut der das über viele Stunden lang immer wieder neu, obwohl aus meinem Netz keine Antwort kommt, weil die Pakete verworfen wurden. Selbst ein Bot muss doch irgendwann merken, wenn die Leitung tot ist.
...
Oder denken die, wahrscheinlich ist um 9:00 Uhr Schichtbeginn und ein Thebentimer öffnet mit der Begrüßung "Hereinspaziert" die Türen in mein Netz und die warten einfach darauf?
Ich denke, dass deine Art der Absicherung, unter den MF-Account-Inhabern die Ausnahme ist.
Bei den meisten wird dann doch irgendwann eine Antwort kommen und deshalb diese beharrlichen Scans.
Evtl. mal temporär (einige Monate) auf den MF-Account verzichten und in diesem Zeitraum einen anderen ddns-Provider nutzen.

wanne
Moderator
Beiträge: 6117
Registriert: 24.05.2010 12:39:42

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von wanne » 16.08.2019 14:19:18

TomL hat geschrieben: ↑ zum Beitrag ↑
16.08.2019 10:27:45
Ich kapiere nur nicht, wieso tut der das über viele Stunden lang immer wieder neu, obwohl aus meinem Netz keine Antwort kommt, weil die Pakete verworfen wurden.
Weil die halt – im Gegensatz zu den üblichen Firewalladmins – verstehen wie man Effizente Software schreibt: Was dir weh tut ist state zu behalten. Alles was sich ansatzweise wie Statistik anhört ist ganz sicher teuer.
Das Botnetz wird wohl nicht nur gegen dich Angriffe fahren und deswegen gehen die Sparsam mit ihren Ressourcen um. So ein Syn raus senden kostet gar nichts. Sich jedes Sysn zu merken und dann zu schauen, ob da eine Anzwort drauf kommt ist um Größenordnungen teurer. Deswegen feuer die halt ohne auf Rückmeldung zu warten oder zu reagieren.
Viele sogar noch mit falscher Source-IP. Da kommt dann by desighn nichts durch.
Was sicherlich richtig ist: fail2ban ist in seiner neuen Architektur viel "fetter" (speicherhungriger) geworden und bei einem "echten ddos" sowieso eher ein Klotz am Bein. Es wird relativ aufwändig geprüft und geprüft, aber nichts gesperrt.

Reines Netfilter (z.B. mit recent modul) wäre da schon deutlich leichtgewichtiger, würde aber bei vollständiger distribution genauso ins Leere laufen und letztlich nur überflüssige zusätzliche Last erzeugen.
Ich bezog mich explizit auf fail2ban.
Wenn du wirklich die nur wie mit dem recent Modul die Requests begrenzt hat TomL schon recht:
TomL hat geschrieben:es begrenzt die Request-Rate und die Anzahl der Connects und verwirft "failed" Anfragen.
Das Problem ist das fail2ban "failed" Anfragen nicht nur einfach verwirft sondern sich merkt. – Und das auch noch auf extrem ineffiziente Art und Weise. Während der Rest der Welt Enormen Einsatz in immer Effizentere Hash- und Zählalgorithem steckt logt fail2ban und muss dass dann auch noch dauernd parsen. Je anfragen desto mehr Einträge, für 100 Requests musst du schon 5000 Zeilen aufändig parsen während man im nginx optimiert ob man jetzt mit schneller ist, wenn man 100 mal ein 2 oder 4 Byte Value anfassen muss...
rot: Moderator wanne spricht, default: User wanne spricht.

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 16.08.2019 14:47:39

Ein wenig ärgere ich mich, dass ich nicht mehr alle Daten habe... ich konnte mir also nur noch das ansehen, was ich zwischendurch mal gesichert habe. Anhand meiner Daten konnte ich in dem kurzen Zeitraum über (mindestens) 1400 IP-Adressen auf meinem Server als Gast begrüßen ... die natürlich allesamt umgehend rausgeworfen wurden. :twisted:

Die Tabelle, aufsteigend sortiert nach Häufigkeit der Versuche.... leider ist das nur ein kleines Zeitfenster.... aber interessant isses schon....:
NoPaste-Eintrag40822

Die Spitzenreiter seit gestern abend 18:00 Uhr ... :oops:

Code: Alles auswählen

    102 SRC=66.11.117.226
    160 SRC=66.11.117.120
    270 SRC=154.223.181.180
    692 SRC=31.14.234.216
    804 SRC=192.250.197.244
   1234 SRC=192.250.197.246
wanne hat geschrieben: ↑ zum Beitrag ↑
16.08.2019 14:19:18
Sich jedes Sysn zu merken und dann zu schauen, ob da eine Anzwort drauf kommt ist um Größenordnungen teurer. Deswegen feuer die halt ohne auf Rückmeldung zu warten oder zu reagieren.
Was ist denn dann überhaupt der Sinn der Aktion, wenn die einfach nur feuern, ohne zu gucken, ob die was getroffen haben? Was passiert denn mit Zufallsteffern, von denen die ja dann gar nix mitkriegen? :?
wanne hat geschrieben: ↑ zum Beitrag ↑
16.08.2019 14:19:18
Das Problem ist das fail2ban "failed" Anfragen nicht nur einfach verwirft sondern sich merkt. – Und das auch noch auf extrem ineffiziente Art und Weise.
Fail2ban verwirft ja nach meinem Verständnis gar nicht, das erstellt bloß ne Regel im Paketfilter und pflegt dafür ne eigene Recentlist. Das ist genau das, was auch mir nicht passt. Das Programm muss sich alles merken, damits nach Ablauf des jeweiligen Element-Timeouts wieder weiß, an welcher Stelle welcher Eintrag im Pakektfilter entfernt werden muss. Das ist ein absolut krasser Verwaltungsoverhead .... :roll: ...und alles deutlich weniger effizient, als das der Kernel selber tut.
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 16.08.2019 15:30:08

TomL hat geschrieben: ↑ zum Beitrag ↑
16.08.2019 14:47:39
Was ist denn dann überhaupt der Sinn der Aktion, wenn die einfach nur feuern, ...
Der Sinn der Aktion ist, den Dienst der auf dem Port 443 lauscht zu überlasten, damit dieser nicht mehr genutzt werden kann bzw. nicht mehr erreichbar ist.
Das ist kein Angriff um in dein System einzudringen.

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 17.08.2019 09:57:51

Seit gestern Mittag Punk 12:00 Uhr ist Schluss... 8O ... als wenn da jemand das Licht ausgeknipst hat, die Heftigkeit und die für meine Verhältnisse extrem hohe Anzahl von Zugriffen war mit einem Schlag vorbei. Was ist das für ein Scheiss? :facepalm: Seit gestern Highnoon sind es nur noch die paar obligatorischen Versuche, die immer reinkommen und die ich schon in der Vergangenheit auch nicht weiter beachtet habe.
mat6937 hat geschrieben: ↑ zum Beitrag ↑
16.08.2019 15:30:08
Der Sinn der Aktion ist, den Dienst der auf dem Port 443 lauscht zu überlasten, damit dieser nicht mehr genutzt werden kann bzw. nicht mehr erreichbar ist. Das ist kein Angriff um in dein System einzudringen.
Wenn das die Erklärung wäre, dann verstehe ich die Welt überhaupt nicht mehr. Wieso suchen die sich nen völlig unbedeutenden privaten und vor allem unbekannten Server aus, von dem sie nicht mal wissen, wer auf diesem Server wann, was womit wofür nutzt? Das hat ja den gleichen Charakter, als würden spät in der Nacht ein paar Besoffene in fremder Stadt auf dem Rückweg ins Hotel wahllos Autoantennen- und Scheibenwischer abbrechen. Das können doch unmöglich Leute sein (die Drahtzieher dahinter), intelligente Spezialisten, die imstande sind, hocheffektiven Code zu schreiben, wie Wanne das angedeutet hat. :roll:
vg, Thomas

mat6937
Beiträge: 1447
Registriert: 09.12.2014 10:44:00

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von mat6937 » 17.08.2019 10:10:39

TomL hat geschrieben: ↑ zum Beitrag ↑
17.08.2019 09:57:51
Wieso suchen die sich nen völlig unbedeutenden privaten und vor allem unbekannten Server aus, von dem sie nicht mal wissen, wer auf diesem Server wann, was womit wofür nutzt?
Naja, wenn man mutmaßt, dass es evtl. einen Zusammenhang mit deinem MF-Account gibt und was weiß ich wie viele der MF-Account-Inhaber (... %?) den Port 443 weitergeleitet/geöffnet haben, dann könnte das schon die Ursache sein.
TomL hat geschrieben: ↑ zum Beitrag ↑
17.08.2019 09:57:51
Das können doch unmöglich Leute sein (die Drahtzieher dahinter), intelligente Spezialisten, die imstande sind, hocheffektiven Code zu schreiben, ...
Die Leute die diesen Code benutzen, müssen ja nicht die Leute sein, die diesen Code geschrieben haben.

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 17.08.2019 10:40:10

mat6937 hat geschrieben: ↑ zum Beitrag ↑
17.08.2019 10:10:39
Naja, wenn man mutmaßt, dass es evtl. einen Zusammenhang mit deinem MF-Account gibt und was weiß ich wie viele der MF-Account-Inhaber (... %?) den Port 443 weitergeleitet/geöffnet haben, dann könnte das schon die Ursache sein.
Ja, richtig, das stimmt wohl. Wenn man mal drüber nachdenkt, kann man ja durchaus davon ausgehen, dass nur die "Leute" einen MF-DynDNS-Account haben, die auch einen offenen Port bzw. einen vom Internet erreichbaren Service am Laufen haben. Mannomann... was ne verquere Welt... :? ich selber denke ja anscheinend nur viel zu sehr in den Grenzen meiner eigenen kleinen Welt, die anderen nix böses will... da sind solche Interessen und Motivationen zu solchen Vorfällen einfach inkompatibel. Naja, mal abwarten, wie es weitergeht. :roll:
vg, Thomas

Benutzeravatar
TRex
Moderator
Beiträge: 6292
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: [erledigt] Massive Attacken von multiplen IP-Adressen

Beitrag von TRex » 17.08.2019 10:45:43

TomL hat geschrieben: ↑ zum Beitrag ↑
17.08.2019 09:57:51
Seit gestern Mittag Punk 12:00 Uhr ist Schluss... ... als wenn da jemand das Licht ausgeknipst hat, die Heftigkeit und die für meine Verhältnisse extrem hohe Anzahl von Zugriffen war mit einem Schlag vorbei. Was ist das für ein Scheiss? Seit gestern Highnoon sind es nur noch die paar obligatorischen Versuche, die immer reinkommen und die ich schon in der Vergangenheit auch nicht weiter beachtet habe.
"Ups, falsches Haus, sorry!"
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: [erledigt] Massive Attacken von multiplen IP-Adressen

Beitrag von TomL » 17.08.2019 12:15:49

TRex hat geschrieben: ↑ zum Beitrag ↑
17.08.2019 10:45:43
"Ups, falsches Haus, sorry!"
Ja, das scheint auch eine plausible Erklärung zu sein.

Ich habe mir jetzt gerade noch mal die jetzt aktuellen Logs angesehen, die leider nicht mehr den ganzen Zeitraum umfassen.
NoPaste-Eintrag40823

Am Vergleich der beiden großen Pakete "letzte Tage" und "letzte 24 Stunden" ist der Rückgang deutlich erkennbar. Was ich aber interessant (resp. bedenklich) finde, worauf auch Wanne schon hingewiesen hat, dass die anscheinend etliche verschiedene SADDR-IPs auf einem System verwenden. Die Subnetze /24 und teilweise /16 sind auffällig oft gleichbleibend...
vg, Thomas

Antworten