Distributed Denial of Service

    Zitat von Bluescreen

    Habe mal eine Frage bzgl. Shared IPs, als bsp. Unitymedia hat man eine Shared IPv4, jedoch eine eigene IPv6. Wenn jetzt einer einen Angriff auf die IPv4 Adresse startet wo kommt der Traffic am Ende an und wer ist ggf. betroffen?
    Und die gleiche Frage nochmal für IPv6 wobei ich denke das hier der Traffic bis zu meinem Router zu Hause ungefiltert durchkommt oder liege ich da falsch?

    Unitymedia nutzt, um der Knappheit von IPv4 Adressen Herr zu werden, NAT (hier speziell Carrier Grade NAT) Das heißt mehrere Kunden besitzen die selbe IP Adresse, also teilen sich diese. Vereinfacht kann man sich das so vorstellen:


    Unitymedia hat einen Server mit der IP Adresse 1.2.3.4 und dieser dient als Gateway für 2000 andere Kunden. Wie Zuhause der Router das Gateway für die 200 Handys in deinem Heimnetz ist :D Der komplette Traffic der 2000 Unitymedia Kunden läuft über den Server 1.2.3.4 von Unitymedia. Dadurch sind alle 2000 Kunden unter der gleichen IP Adresse online erreichbar. Jeder Homerouter erhält eine private IP Adresse, diese ist jedoch nur Unitymedia bekannt. Um dennoch eine Eindeutigkeit in das System zu bringen bekommen die 2000 Kunden eine einzigartige IPv6 Adresse. So sind sie zusätzlich dediziert erreichbar. Dieses Zusammenspiel von IPv4 und IPv6 nennt man übrigens Dual Stack. Deshalb ist auch kein Port Forwarding bei Unitymedia möglich.


    Im Umkehrschluss bedeutet das, dass der Traffic des DDoS Angriffes nicht deinen Router "überflutet", sondern den Server / Router von Unitymedia. Das wiederum bedeutet, dass ein Angriff im schlimmsten Fall alle 2000 Kunden betreffen kann. Jedoch gibt es hierfür Techniken, welche das ganze "abschwächen" (Session Limits, Port Limits, Mitigation Hardware etc.) Aber sehr komplexes Thema.


    Bei der IPv6 Adressierung sieht es da anders aus. Da diese dediziert sind betrifft das ganze nur dich. Aber auch nur solange die Attacken nicht die Bandbreiten des Providers selbst überschreiten. Aber wir reden hier von sehr hohen Bandbreiten. Außerdem sind die DDoS Techniken im Bereich IPv6 bei weitem nicht so weit wie bei IPv4. Da sich einfach keiner so richtig damit auskennt.

  • Beitrag von mozev ()

    Dieser Beitrag wurde von maddin gelöscht ().
    Zitat von Hydra

    Samp4you nutzt den OVH DDoS Schutz. Ob diese auch den speziellen Gameschutz benutzen kann ich leider nicht sagen. Dazu müsste man den Support anfragen.Sollten sie den Gameschutz nutzen, dann ist das die derzeit stärkste Protection. Aufgrund der schon genannten Punkte.

    Da die Bandbreite eines heutigen DDoS Angriffes die Bandbreite eines durchschnittlichen Internetanschlusses um ein Vieles übertrifft, bringt das blockieren der Anfragen am Home Router nichts.
    Solche Maßnahmen müssen an den Core Routern der Provider geschehen.

    Kannst du das vielleicht näher erläutern, was da genau passiert? Kenne mich da durchaus schon ein wenig aus - auch im ISO/OSI Modell und mit Protokollen. Deshalb würde mich das interessieren.

    ▬|██████|▬
    This is Nudelholz.
    Copy Nudelholz in your Signatur
    to make better Kuchens
    and other Teigprodukte!

  • Beitrag von mozev ()

    Dieser Beitrag wurde von seegras gelöscht ().
    Zitat von ElDiabolo

    Kannst du das vielleicht näher erläutern, was da genau passiert? Kenne mich da durchaus schon ein wenig aus - auch im ISO/OSI Modell und mit Protokollen. Deshalb würde mich das interessieren.

    Sorry für die späte Antwort hab deinen Beitrag irgendwie aus den Augen verloren...


    Wenn deine Internetverbindung eine Downloadgeschwindigkeit von 50 Mbit/s hat und jemand einen Angriff mit 1000 Mbit/s auf deine Internetverbindung durchführt, dann verstopft er sozusagen deine Verbindung. Auch wenn du alle eingehenden Ports schließt musst deine Internetverbindung den Traffic aufnehmen, da er zu dir geroutet wird. Das ganze wird oft mit einem Wasserrohr verglichen. Wenn man nun den Traffic am Router deines Providers verwirft, da er bösartig ist, dann erreicht er deine Internetverbindung nicht mehr. Und dem Router deines Providers stören die 1000 Mbit/s weniger, da dieser eine "Internetverbindung" von vll. 20 Gbit/s hat.


    Warte auf neue Fragen! :D

    Zitat von ElDiabolo

    Und was kann man dann bei so einer Attacke unternehmen?

    Aloha,


    erstmal nicht viel, entweder dein Provider hilft dir oder du hilfst dir selbst.
    Zum Beispiel mit einem geschützen VPS zu dem du eine VPN Verbindung aufbaust und ausnahmslos alles darüber leitest. Wenn du dann noch deine IP änderst sollte deine eigentliche IP nicht mehr auftauchen, da diese ja nur noch mit deinem VPN kommuniziert, wird also dann dein VPS angegriffen (der ja eine höhere Bandbreite und Schutz hat) kann dir das egal sein.


    ~Cheppert

    Zitat von Cheppert

    Aloha,
    erstmal nicht viel, entweder dein Provider hilft dir oder du hilfst dir selbst.
    Zum Beispiel mit einem geschützen VPS zu dem du eine VPN Verbindung aufbaust und ausnahmslos alles darüber leitest. Wenn du dann noch deine IP änderst sollte deine eigentliche IP nicht mehr auftauchen, da diese ja nur noch mit deinem VPN kommuniziert, wird also dann dein VPS angegriffen (der ja eine höhere Bandbreite und Schutz hat) kann dir das egal sein.


    ~Cheppert

    Dazu sollte man sagen, das dir die VPN nur bedingt hilft und vorallem deine eigene Surfgeschwindigkeit herabsetzt ( Normalfall (vereinfach): Dein Router --> Webserver --> Dein Router; (Mit VPN: )Dein Router --> VPN Server --> Webseite --> VPN Server --> Dein Router). Eigentlich sollten die ganzen großen Provider so etwas unterbinden, da die eigentlich nur auf Sachen antworten (sollten) die aus ihrem Netz kommen. Die DTAG macht das immer mal wieder ganz gerne.

    Mit freundlichen Grüßen
    Developer
    Go/Python Developer | ehm. Webdeveloper | Fachinformatiker Anwendungsentwicklung
    Arbeitet in einem cloudigen Umfeld bei einem der größten deutschen Rechenzentrumsbetreibern

    Zitat von Developer

    Dazu sollte man sagen, das dir die VPN nur bedingt hilft und vorallem deine eigene Surfgeschwindigkeit herabsetzt ( Normalfall (vereinfach): Dein Router --> Webserver --> Dein Router; (Mit VPN: )Dein Router --> VPN Server --> Webseite --> VPN Server --> Dein Router). Eigentlich sollten die ganzen großen Provider so etwas unterbinden, da die eigentlich nur auf Sachen antworten (sollten) die aus ihrem Netz kommen. Die DTAG macht das immer mal wieder ganz gerne.

    Der Geschwindigkeitsverlust ist sehr gering, wenn man einen VPN benutzt. Dank UDP ;)
    Minimale Einbusen sind natürlich durch die Verschlüsselung vorhanden.


    Der einzige Nachteil wäre vielleicht die höhere Latenz, da alle Anfragen zuerst über den VPN geroutet werden. Aber auch das ist durch die große Vielfalt an Anbietern in so ziemlich allen Ländern eher unproblematisch anzusehen.


    Ich warte sehnsüchtig auf eine globale DDoS Protection für Homeconnections in Deutschland, wie man es in Sweden oder in der Schweiz nutzt. Aber zurzeit sind die Dienstleister wohl eher mit dem Glasfaser Ausbau beschäftigt. Aber das sorgt natürlich für die nötige Bandbreite für eine derartige Sicherheitslösung.

    Zitat von Developer

    Dazu sollte man sagen, das dir die VPN nur bedingt hilft und vorallem deine eigene Surfgeschwindigkeit herabsetzt ( Normalfall (vereinfach): Dein Router --> Webserver --> Dein Router; (Mit VPN: )Dein Router --> VPN Server --> Webseite --> VPN Server --> Dein Router). Eigentlich sollten die ganzen großen Provider so etwas unterbinden, da die eigentlich nur auf Sachen antworten (sollten) die aus ihrem Netz kommen. Die DTAG macht das immer mal wieder ganz gerne.

    Nur noch auf Anfragen aus dem eigenen Netz antworten? Wie sollen die dann ein HTTP/HTTPS Request von außen bearbeiten?

    ▬|██████|▬
    This is Nudelholz.
    Copy Nudelholz in your Signatur
    to make better Kuchens
    and other Teigprodukte!

    Zitat von Hydra

    DDoS Protection für Homeconnections in Deutschland

    Haben einige Telekommunikationsanbieter bereits, bewerben das aber nicht damit sich die Leute nicht drauf verlassen.
    Allgemein denke ich ist die Anzahl an DDoS - Angriffen gegen Heim-Rechner nicht hoch genug um die Investitionen zu rechtfertigen.

    Zitat von Trooper[Y]

    Haben einige Telekommunikationsanbieter bereits, bewerben das aber nicht damit sich die Leute nicht drauf verlassen.Allgemein denke ich ist die Anzahl an DDoS - Angriffen gegen Heim-Rechner nicht hoch genug um die Investitionen zu rechtfertigen.

    Die Anzahl der Angriffe auf Homeconnections ist ebenfalls hoch. Jedoch bezahlt den Providern niemand die Investition. Bei Servern ist das eine andere Geschichte, da diese ja eher auf Businesskunden ausgelegt sind.

    Zitat von Hydra

    Der Geschwindigkeitsverlust ist sehr gering, wenn man einen VPN benutzt. Dank UDP ;) Minimale Einbusen sind natürlich durch die Verschlüsselung vorhanden.


    Der einzige Nachteil wäre vielleicht die höhere Latenz, da alle Anfragen zuerst über den VPN geroutet werden. Aber auch das ist durch die große Vielfalt an Anbietern in so ziemlich allen Ländern eher unproblematisch anzusehen.


    Ich warte sehnsüchtig auf eine globale DDoS Protection für Homeconnections in Deutschland, wie man es in Sweden oder in der Schweiz nutzt. Aber zurzeit sind die Dienstleister wohl eher mit dem Glasfaser Ausbau beschäftigt. Aber das sorgt natürlich für die nötige Bandbreite für eine derartige Sicherheitslösung.

    Was hat das Protokoll UDP mit Geschwindigkeit zutun? UDP ist einfach nur ein Protokoll dem es scheiß egal ist ob die Pakete die darüber gesendet werden ankommen oder nicht, anders als TCP, wo der Sender vom Empfänger eine Quittierung bekommt... (weshalb UDP natürlich "schneller" als TCP ist). Und du kannst mir nicht erzählen, das eine Verbindung zu z.B. einem Hetzner Server (Deutschland) per VPN minimal langsamer ist als direkt (alleine weil du eine höhere Anzahl an hops hast).


    Zitat von ElDiabolo

    Nur noch auf Anfragen aus dem eigenen Netz antworten? Wie sollen die dann ein HTTP/HTTPS Request von außen bearbeiten?

    Wenn du dann von außen auf z.B. deinen Rechner zugreifen willst haste eben Pech gehabt. Wenn du von innen eine Webseite ansurfst kommt die Antwort der Webseite durch (weil die Initial Anfrage aus dem eigenen Netz kam)

    Mit freundlichen Grüßen
    Developer
    Go/Python Developer | ehm. Webdeveloper | Fachinformatiker Anwendungsentwicklung
    Arbeitet in einem cloudigen Umfeld bei einem der größten deutschen Rechenzentrumsbetreibern

    Zitat von Developer

    Was hat das Protokoll UDP mit Geschwindigkeit zutun? UDP ist einfach nur ein Protokoll dem es scheiß egal ist ob die Pakete die darüber gesendet werden ankommen oder nicht, anders als TCP, wo der Sender vom Empfänger eine Quittierung bekommt... (weshalb UDP natürlich "schneller" als TCP ist). Und du kannst mir nicht erzählen, das eine Verbindung zu z.B. einem Hetzner Server (Deutschland) per VPN minimal langsamer ist als direkt (alleine weil du eine höhere Anzahl an hops hast).

    Im Bezug auf einen VPN hat UDP sehr wohl etwas mit Geschwindigkeit zu tun. Setze dir mal einen OpenVPN Server mit UDP und einen mit TCP auf und vergleiche die Performance. Dort wirst du gewaltige Unterschiede feststellen.



    Ohne VPN:


    Mit VPN:


    Und wo sieht man hier nun große Geschwindigkeitsunterschiede? In meinen Augen ist 1 Mbit/s ein minimaler Verlust.


    Aber nun schweifen wir zu sehr ab vom eigentlichen Thema. Back to Topic.

    Ganz kurzer Beitrag von mir, Thema Hops beim VPN.
    Wenn du einen Server in Frankfurt am Main hast, der eine direkte Anbindung an den De-Cix hat, sehe ich da auch fast keinen Unterschied. Faktisch stehen 90% der Dienste an einem großen Internetknoten der eine Anbindung an den De-Cix hat, das ist einfach Sinn und Zweck des De-Cix. Also ob du nun von Timbuktu nach FFM geroutet wirst, oder von Timbuktu nach FFM und dann weiter in FFM (oder in den De-Cix) macht für mich nicht viel Unterschied.


    Gruß

    Uch Thema ja voll aus dem Blick verloren :D



    Zu aller erst: UDP ist immer "schneller*" als TCP, hat primär trotzdem nichts mit der Geschwindigkeit zu tun, weil das Protokoll nicht das begrenzende Mittel ist. In dem Fall ist die Übertragung das begrenzende Mittel (OSI Schicht 1 (& 2)) . Und wie du auch siehst in deinen Speed Tests, ist der Ping um ~10 ms (genau gesagt ca. 68% höher) hoch gegangen und du hast ca. 7% an Download "verloren". (Auch wenn ein einziger Speedtest natürlich nicht aussagekräftig ist).
    Edit: Achso und fällt mir grade auf: 1 MBit/s Verlust bei einer VPN in den Niederlanden :) (Mehr muss ich glaube ich nicht dazu sagen)


    * Schneller kann man nur begrenzt sagen, denn UDP interessiert es überhaupt nicht ob die Pakete ankommen oder nicht weshalb du (extrem vereinfacht) schon mal eine Anfrage im Vergleich zu TCP weniger hast, klingt wenig aber rechne das mal hoch....

    Zitat von Cheppert

    Ganz kurzer Beitrag von mir, Thema Hops beim VPN.
    Wenn du einen Server in Frankfurt am Main hast, der eine direkte Anbindung an den De-Cix hat, sehe ich da auch fast keinen Unterschied. Faktisch stehen 90% der Dienste an einem großen Internetknoten der eine Anbindung an den De-Cix hat, das ist einfach Sinn und Zweck des De-Cix. Also ob du nun von Timbuktu nach FFM geroutet wirst, oder von Timbuktu nach FFM und dann weiter in FFM (oder in den De-Cix) macht für mich nicht viel Unterschied.


    Gruß

    Das ist logisch, die meisten VPN Benutzer, die ihre Identität verschleiern wollen nutzen aber keine VPN aus einem der Ländern mit einem CIX. Und da macht es dann schon viel aus. Klar wenn die VPN in DE (bzw. in der EU) gehostet ist wird man keinen extrem großen Unterschied merken. Aber sobald du z.B. aus Singapur eine VPN nimmst, verringert sich die Leistung (Vorrangig logisch der Ping). Und, wenn es kein Selfhosted VPN ist, teilst du dir den Server auch noch mit anderen.

    Mit freundlichen Grüßen
    Developer
    Go/Python Developer | ehm. Webdeveloper | Fachinformatiker Anwendungsentwicklung
    Arbeitet in einem cloudigen Umfeld bei einem der größten deutschen Rechenzentrumsbetreibern

    Gefällt mir 1

    Ich habe da mal eine Frage an euch Experten.


    Ich habe eine Horizan-Box von Unitymedia, leider ist das Problem da, das ich wohl seit einigen Tagen GeDDoSt werde.


    Meine Horizan Box Log wird damit seit circa 4 Tagen schon Voll Gepumpt ..
    Ich habe damit auch einige Probleme, zB ist der Server "NRP" bei mir Dauerhaft Offline, sobald ich aber einen VPN Einschalte ist der Server wieder Online.
    Die Hotline hat mir Geraten die Box vom Strom zu nehmen, getan -> Kein Erfolg.
    Dann sollte ich die Box einen Kompletten Reset durch führen, getan -> Kein Erfolg.
    Und zum Schluss soll ich die W-Lan Einstellungen wie Funk und SSID geändern, getan -> Kein Erfolg.


    Habt ihr vielleicht noch ein paar Tipps was ich tun kann/könnte?


    MfG.

    Um einen IP-Wechsel wirst du nicht herumkommen. Und bei Kabel Anbietern ist das leider schwierig. Dort behälst du deine IP-Adresse mehrere Monate. Auch wenn du einen Neustart deines Routers durchführst. Am besten explizit nach einer neuen IP-Adresse beim Support fragen. Auch wenn du vermutlich erstmal am First Level Support vorbeikommen musst, denn die werden dir keine neue geben.