DDOS?

Für alles, was nicht mit fischertechnik zu tun hat.
Miscellaneous - everything that has nothing to do with ft
Forumsregeln
Bitte beachte die Forumsregeln!
Antworten
Benutzeravatar
peter.poetzi
Beiträge: 87
Registriert: 06 Nov 2010, 10:00

DDOS?

Beitrag von peter.poetzi » 15 Dez 2010, 18:17

Hallo,

bei meinem Forum ist der Besucherrekord sprunghaft auf 134 gestiegen. Den Grund dafür konnte isch schnell finden, es waren nämlich heute um 16:29:41 130 Gäste online. Das komische daran ist aber, das alle 130 GENAU in der selben Sekunde auf der Seite waren. Alle haben eine andere IP, laut GeoIP rund um den Globus verteilt. Der Useragent ist fast überall anders, sogar "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)" war dabei.

Komisch ist auch, das fast alle dieser Benutzer in den letzten Wochen schon einmal online waren.

Ich habe jetzt die Tabelle exportiert, siehe hier: http://peterp.brandlehner.at/phpbb/log.html

Weiß irgendjemand ob das jetzt ein DDOS Angriff sein soll?
Früherer Nick:hman13
int main(){return main();}

Benutzeravatar
fish
Beiträge: 137
Registriert: 01 Nov 2010, 17:19
Wohnort: Wiesbaden
Kontaktdaten:

Re: DDOS?

Beitrag von fish » 15 Dez 2010, 18:42

Ich kenne mich da zwar kaum aus aber ich denke das 130 Gäste doch etwas wenig sind um einen Server lahmzulegen. Aber das die Gäste aus aller Welt kamen ist doch etwas komisch.
http://py4ft.weebly.com Programmiere Fischertechnik mit Python

Benutzeravatar
peter.poetzi
Beiträge: 87
Registriert: 06 Nov 2010, 10:00

Re: DDOS?

Beitrag von peter.poetzi » 15 Dez 2010, 18:45

wenn man um große Server wie Paypal lahmzulegen nur 2000 Clients braucht, funktioniert es bei meinen (sehr schlechten) Server (von Hetzner) sicher mit nur 10 Clients auch.
Früherer Nick:hman13
int main(){return main();}

heiko
Beiträge: 256
Registriert: 28 Okt 2010, 17:10

Re: DDOS?

Beitrag von heiko » 15 Dez 2010, 18:46

Hallo,

das ist schon ulkig. Vor allem die 130 verschiedenen Standorte exakt zur selben Zeit finde ich interessant. Sowas hab ich noch nie gehört oder gesehen ... normalerweise würde ich jetzt sagen, das war ein Botnet. Bloß hab ich noch kein Botnet gesehen, das nur 130 Computer beherbergt.

Sicher, dass die Logfiles korrekt geschrieben werden? Vielleicht war es auch einfach nur ein Fuckup beim Schreiben des Timestamps :-/

Nachtrag: Einen DDOS möchte ich schon deshalb ausschließen, weil man damit ja keinen permanenten Schaden anrichtet. Bloß kurzzeitig kriegt man die Seite lahm. Und das ist ja vermutlich egal.

Heiko

Benutzeravatar
Defiant
Beiträge: 354
Registriert: 31 Okt 2010, 21:42
Wohnort: Narn Homeworld
Kontaktdaten:

Re: DDOS?

Beitrag von Defiant » 15 Dez 2010, 18:46

1. Es gehört sich zum guten Stil IP-Adressen zu obfuscaten.
2. Bei den User-Agents eher nicht.
3. Das Datum ist..

IMMA CHARGIN MAH LAZER
Zuletzt geändert von Defiant am 15 Dez 2010, 18:51, insgesamt 1-mal geändert.
"Propaganda does not deceive people; it merely helps them to deceive themselves."
E Hoffer

Benutzeravatar
peter.poetzi
Beiträge: 87
Registriert: 06 Nov 2010, 10:00

Re: DDOS?

Beitrag von peter.poetzi » 15 Dez 2010, 18:49

Das ist sicher echt, in den Logs und in der phpbb-sessions tabelle steht genau das gleiche. Und normal kommt überhaupt kein Gast, das Forum ist ja nur für 24 Benutzer, und die Registrierung ist nicht mehr möglich.

Es gibt Webseiten auf denen Botnetzte verkauft werden, da zahlt man einfach pro 100 Rechner 5$ pro Stunde (je nach Qualität der Clients)
Früherer Nick:hman13
int main(){return main();}

Benutzeravatar
peter.poetzi
Beiträge: 87
Registriert: 06 Nov 2010, 10:00

Re: DDOS?

Beitrag von peter.poetzi » 15 Dez 2010, 18:55

@Defiant:

was meinst du mit "IMMA CHARGIN MAH LAZER". Ich weiß nur das bei LOIC der Start Knopf so beschriftet ist, aber was es heißt habe ich bis heute nicht herausgefunden.

Ich habe weder an den Useragents, noch an den IP Adresen etwas geändert, aber ich werde jetzt einfach bei allen IPs die Letzte Ziffer durch ein X ersetze.
Früherer Nick:hman13
int main(){return main();}

Antworten