Gegen Überlastung ist nichts gefeit. Wenn ich geplant 10.000 Autos auf die A2 schicke, zusätzlich zum Normalverkehr bricht auch alles zusammen.
So ähnlich ist es auch mit dem Internet. DDos Attacke bedeutet das viele (virenverseuchte) Rechner (=Bots) an einen Server unsinnige Anfragen schicken. Das Problem ist das man solche Bots für wenig Geld mieten kann. Mit ein paar tausend Dollar kann ich jeden beliebigen Webserver in die Knie zwingen.
Interessanterweise bekommt das nicht viel Aufmerksamkeit. Dass man so leicht das Internet in Österreich in die Knie zwingt, verwundert mich.
In der ZIB wurde das am Schluss kurz erwähnt.
Einen Server lahmlegen stelle ich mir relativ einfach vor: Ich nehme einen (anonymen) Email-account A, der eine automatische Weiterleitung der Emails an Email-account B hat. Dieser Wiederum hat eine automatische Weiterleitung an A.
Müssten da die Emails (vorzugsweise mit großen Anhängen) nicht wie die Ping-Pongbälle hin und her gehen und den Server zumüllen ???
Nicht dass ich vorhabe, so was auszuprobieren - aber manchmal hat man halt so 
Ideen....
Ganz so einfach ist es mittlerweile nicht einen großen Internetprovider in die Knie zu zwingen. A1 wird genauso wie viele andere recht regelmäßig per DDoS attackiert, es braucht inzwischen aber schon sehr kräftige Attacken oder eine gefinkelte neue Methode um da eine sichtbare Wirkung zu erzielen. Leider, oder eher Gott sei Dank, habe ich mich kürzlich beruflich verändert und dadurch nicht mehr so einen Zugang zu Hintergrundinfos. Für DNS-Server gibt es gemeine Verstärkungsattacken, gut möglich dass soetwas mit entsprechender Macht im Einsatz war. Jedenfalls wurde der Angriff vergleichsweise rasch abgewehrt.
zippygirl: Das würde erstens Zugriff auf Mailaccounts auf beiden Systemen voraussetzen und zweitens gibt es bei vielen Systemen schon Loop Protection, so einfach kriegt man die dann auch nicht klein. Es gibt aber so viele fiese Schweinereien im Internet, dass man froh sein kann wenn man möglichst wenig damit zu tun hat. Das viele Geld das IT Security Experten heutzutage oft kriegen ist ziemlich sauer verdient.
JoBe ... ich denke da an hotmail, gmx. (NICHT mein gmail ..... das brauch ich täglich)
Loop protection .... na ja..dann nehmen wir halt email A-> B-> C -> A dann loopt's nicht hin und her sondern rund herum
Beim Forward hat man ja im Header noch einige Informationen der ursprünglichen Nachrichten. Ich könnte mir denken, der Mailserver hält die IDs versendeter Nachrichten in einem Cache, meinetwegen für ein paar Sekunden (muss man ausrechnen was sinnvoll ist), wenn innerhalb dieser Zeit eine solche ID gematcht wird, wird die Nachricht verworfen. Würde zumindest für die Massendienste funktionieren. Bei kleineren Servern (gehackter Firmenserver) schaut es anders aus, den würde man wohl einfach drosseln oder die IP blockieren. Diese haben aber auch oft nicht die Anbindung um einen großen Provider dicht zu machen. Gehe jetzt vom Szenario in die Richtung nur Angriff mit Verstärkung als User (muss die Funktionen des Mailanbieters nutzen) bzw eine geringe Anzahl gehackter Server. Wenn es aber mal in einem Mailserver eine gröbere Lücke gibt, die sehr viele Installation betrifft, könnte es schon Auswirkungen haben.
Manchmal wird aber auch anders über Bande gespielt. Beispiel: eine Anfrage an einen bestimmten Server kostet mich 100Byte, die Fehlermeldung ist aber 1KByte groß. Wenn ich die Absenderadresse fälschen kann, geht die Fehlermeldung an mein Ziel. Sehr vereinfacht könnte ich mit 40MBit Upload eine Firma mit 400MBit Leitung erheblich stören. War früher mal recht einfach und wurde entsprechend umfangreich genutzt.
Vor einigen Wochen wurde unsere Bude mit einer DDoS Attacke auf die eigenen DNS Server angegriffen.
Einen Vormittag lang was das Netzwerk (VPN, etc.) sehr gestört und konnte es erst nach ca. 3-4 Stunden wieder normal gearbeitet werden.
Die DDos Attacke wurde mit einer Bandbreite von ca. 40 Gbit durchgeführt, das verträgt kaum ein Server in Österreich. Als Gegenmaßnahme wurde der komplette Traffic auf diese IP's über ein "Washer" Rechenzentrum in England geführt, damit konnte die Betriebsstabilität wieder hergestellt werden.
Da wir eines der größten Rechenzentren in Österreich betreiben, gibt es bei uns auch jede Sicherheitsvorkehrung, Hard und Software, die man um teures Geld kaufen kann, inkl. den Verträgen mit solchen "Washer" Dienstleistern um den hereinkommenden Traffic zu filtern, trotzdem hat der Angriff uns für fast 4 Stunden lahmgelegt.
Dem Angriff voraus gingen Droh-Emails mit der Forderung einen Betrag von X Bitcoins zu bezahlen, da man ansonsten eben diesen Angriff ausführen wird.
40GBit, das ist mal ne Hausnummer. Nur interesse halber, wegen der Umleitung. Hab ihr da selber umgeleitet oder in der vorgelagerten Ebene, bzw.wie läuft das mit dem Routing? Ich geh mal davon aus, ihr habt ein eigenes AS, also davor ausleiten, filtern und per VPN ins RZ bringen und den direkten Weg kappen? Oder denke ich da jetzt komplett falsch?
Könnte das jemand bitte in für technische Nackerpatzerln verständliches Deutsch übersetzen? 
Könnte das jemand bitte in für technische Nackerpatzerln verständliches Deutsch übersetzen?
Ähhhhh, ich wüsste nicht wie......
georgum Ich würd die detailierte Beschreibung wieder löschen. Zum einen könnte es Deinem AG nicht gefallen wenn hier Internas frei zugänglich stehen, zum anderen bietest Du potentiellen Angreifern gerade die Möglichkeit sich ein wenig in eure internen Abläufe einzulesen und ggf. Maßnahmen daraus abzuleiten.
So oft wie bei uns das Internet nicht geht, ists mir gar nicht aufgefallen 
Serviceverfügbarkeit für XXX stark beeinträchtigt
Aso, ihr macht mit Schmuddelzeug beruflich rum?
Ich habs immer schon gewusst, 80% des Traffics im internets ist Pr0n. 
Könnte das jemand bitte in für technische Nackerpatzerln verständliches Deutsch übersetzen?
Wills versuchen:
1. Angreifer drohen mit Lahmlegen des Servers des Opfers. Erpressung scheitert, weil Opfer nicht zahlungswillig ist.
2. Angreifer lassen - vermutlich durch ein Botnet, also eine große Zahl von infizierten Computern im Internet (sowas kann man heute im Darknet mieten) - eine große Zahl von Datenpaketen auf die Server des Opfers los. Die Datenpakete bestehen aus einem Mix von gültigen und ungültigen DNS-Anfragen, also etwas, das im Internet normalerweise sehr viel vorkommt und für das Funktionieren von allen möglichen IT-Funktionen (zB Email) notwendig ist. Die Zahl der Anfragen ist so groß, dass insgesamt ca. 45 Gigabit Traffic pro Sekunde erzeugt werden - das legt jeden normalen Server lahm. Daher funktioniert die Infrastruktur des Opfers nicht mehr.
3. Opfer hat ein kompetentes 24/7 Notfallteam für IT-Probleme. Das Team erkennt die Art des Angriffs und hat auch eine Abwehrmaßnahme, die darin besteht, dass die DNS-Anfragen an die Infrastruktur des Opfers nicht mehr direkt an die überlasteten Server des Opfers geschickt werden, sondern zuerst an ein Hochleistungs-Rechenzentrum in Großbritannien, wo die bösartigen Anfragen rausgefiltert werden sollen. Nach einigen Versuchen funktioniert das auch ganz gut, und damit ist der weiterhin laufende Angriff nicht mehr so stark wirksam. Das Opfer kann wieder einigermaßen normal arbeiten.
4. Der Angreifer beendet nach einigen Stunden den Angriff.
(Falls man nicht einordnen kann, wie viel 45 Gigabit pro Sekunde ungefähr sind: Der zentrale Internet-Netzknoten Österreichs in Wien verarbeitet im Durchschnitt ca. 490 Gigabit pro Sekunde, der größte Netzknoten der westlichen Welt in Frankfurt ca. 7000 Gigabit pro Sekunde.)
georgum Ich würd die detailierte Beschreibung wieder löschen. Zum einen könnte es Deinem AG nicht gefallen wenn hier Internas frei zugänglich stehen, zum anderen bietest Du potentiellen Angreifern gerade die Möglichkeit sich ein wenig in eure internen Abläufe einzulesen und ggf. Maßnahmen daraus abzuleiten.
Ich würde das von vorneherein gar nicht posten. Gibt's bei euch keine Compliance-Vorschriften, an die ihr euch halten müsst?
