-=[GER/ENG]=- PhrozenByte.com

Tag zusammen,

dem ein oder anderen ist vielleicht aufgefallen dass PhrozenByte die komplette letzte Woche nicht verfügbar war - und für viele Benutzer auch noch immer ist. Unser Server wurde am Sonntag den 31. Juli 2011 Opfer einer DDoS-Attacke. Eine DDoS-Attacke kennzeichnet sich dadurch dass der angegriffene Server von zahlreichen (unterschiedlichen) Rechnern mit Datenpaketen bombardiert wird bis dieser durch diese Überlastung in die Knie geht. Wenn ihr weiterführende Informationen zum Thema wünscht findet ihr diese in der Wikipedia.

Dem Angriff gingen bereits seit mehreren Tage Versuche voraus per SSH in den Server einzubrechen. Die Versuche waren unseres Wissens nicht von Erfolg gekrönt und konnten in dieser Form auch gar keinen Erfolg haben. Der Server war schon immer und ist auch weiterhin gegen derartige Angriffe exzellent geschützt, wir sehen uns in dieser Hinsicht also keinen Problemen gegenübergestellt. Wovor sich jedoch kein Serverbetreiber wirklich schützen kann sind DDoS-Attacken. Wir gehen davon aus dass die Einbruchsversuche und die DDoS-Attacke im Zusammenhang stehen, insbesondere die Tatsache dass der DDoS-Attacke ein Einbruchsversuch vorausging bestärkt uns in dieser Vermutung. Der Angriff war wohl die "Vergeltung" für den gescheiterten Einbruchversuch.

Es ist jedoch nicht davon auszugehen dass der Angriff im Zusammenhang mit PhrozenByte stand, vielmehr werden wir wohl ein Opfer des Zufalls gewesen sein. Um DDoS-Attacken überhaupt durchführen zu können sind eher größere Kenntnisse notwendig die nicht jeder besitzt, sogenannte "Script-Kiddies" fallen demzufolge raus. Die Analyse des Datenverkehrs hat ergeben dass die Angriffe (vermutlich) von zahlreichen ferngesteuerten Rechnern durchgeführt wurden die über die ganze Welt verstreut sind - darunter auch einige Server. Um dies überhaupt zu bewerkstelligen musste jemand erst in all diese Rechner einbrechen und selbst ein illegales Botnet aufziehen oder sich auf dem Schwarzmarkt gegen Bezahlung eines der vielen illegalen Botnets mieten. Das passt nicht in das Schema derjenigen die mit PhrozenByte ein Problem haben...

Die letzten 5 Minuten des Angriffs haben wir detailliert aufgezeichnet und konnten so verschiedenste Analysen durchführen. Einige eventuell interessante Zahlen: Der Angriff erfolgte in diesen letzten 5 Minuten mit einer durchschnittlichen Bandbreite von 556 MBit/s (zum Vergleich: Das entspricht fast der 100-fachen Geschwindigkeit eines haushaltsüblichen DSL-6000-Anschlusses, insgesamt handelte es sich aber dennoch um einen eher kleinen Angriff - große Angriffe bewegen sich im zweistelligen GBit/s-Bereich), insgesamt verursachte der Angriff knapp 110 GiB Traffic (zum Vergleich: Diese Webseite verursacht im Monat normalerweise nur einige wenige GiB Traffic). Der Angriff begann am Morgen des 31. Juli um ca. 4:00 Uhr und dauerte gut 20 Minuten - danach schritt Hetzner, unser Provider, ein und unterband den Angriff indem die IP-Adresse gesperrt wurde. Die Reaktion von Hetzner war vollkommen richtig: durch den Angriff wurde nicht nur das Rechenzentrum beeinträchtigt, auch hätte er für uns große Probleme bedeutet da innerhalb nur einer Stunde 250 GiB Traffic verbraucht worden wären. Natürlich, am Ergebnis ändert sich nichts - der Server ist offline - aber das ist noch immer die bessere der beiden Möglichkeiten.

Ich habe erst gegen Mittag vom Angriff erfahren. Wir müssen zugeben dass wir uns in der Vergangenheit nicht groß mit der Gefahr einer DDoS-Attacke beschäftigt haben, dies mussten wir demzufolge nachholen bevor wir den Server wieder freischalten. Inzwischen ist der Server gegen DDoS-Attacken besser geschützt und wurde auf unser Bitten hin wieder freigeschaltet, verhindern lassen sich DDoS-Attacken aber leider nicht - es lassen sich lediglich die Folgen abschwächen. Dass das Ganze so lange gedauert hat lag hauptsächlich daran dass der Angriff terminlich nicht schlechter hätte fallen können - die vergangene Woche hatte ich im Prinzip überhaupt gar keine Zeit für den Server. Wäre der Angriff eine Woche später geschehen wäre der Server nur ein paar Tage später wieder online gewesen. Hoffen wir dass der Server nun auch dauerhaft online bleibt und wir von solchen Angriffen in Zukunft verschont bleiben, bei zukünftigen Angriffen würde es aber immerhin vermutlich nur einige Stunden dauern bis der Server wieder online ist - wir müssen ja kein Sicherheitskonzept mehr entwerfen, das haben wir ja jetzt schon getan.

Übrigens: Das geplante mehrstündige MTA-Event steht noch immer auf dem Plan, ihr erhaltet hierzu in Kürze neue Informationen!

Grüße,
Rudi

Wie ich bereits hier angekündigt hatte ist der Server inzwischen auch über IPv6 erreichbar. Was IPv6 ist könnt ihr, sofern Ihr Interesse habt, bei der Wikipedia nachlesen. Den DDoS haben wir zum Anlass genommen die IPv6-Unterstützung auszubauen und vollständig verfügbar zu machen, inzwischen sind alle zum Betrieb notwendigen Dienste (inklusive Nameserver) auch über IPv6 verfügbar. Ihr erreicht demnach PhrozenByte auch dann wenn ihr an einem Rechner seit der ausschließlich IPv6 und kein IPv4 mehr unterstützt.

Auswirkungen oder eine Umstellung eurerseits ist indes nicht notwendig. Es handelt sich ausschließlich um eine Änderung im Hintergrund wodurch PhrozenByte für die Zukunft gerüstet wurde. Unterstützt euer ISP IPv6 noch nicht ist das nicht weiter schlimm - Nachteile entstehen euch in keiner Weiße, auch hat der Großteil der Deutschen sowieso noch kein IPv6. Die Deutsche Telekom beispielsweise beginnt nach aktuellen Planungen Erst Ende 2011/Anfang 2012 damit IPv6 auch nativ zu unterstützen. Bei Interesse können bis dahin sogenannte Tunnellösungen verwendet werden. Ich empfehle 6to4, das ist bei Weitem aber nicht die einzige Möglichkeit und hat einige Nachteile, insbesondere gestaltet sich die Nutzung unter Windows nicht ganz einfach. Informationen findet ihr in der Wikipedia, für Linux-Nutzer habe ich ein kleines Schmankerl, genauer ein Skript, vorbereitet das euch vollautomatisch einen 6to4-Tunnel einrichtet. Dieses werde ich in Kürze veröffentlichen. Vergesst aber bitte nicht dass Tunnellösungen natürlich nur eine verschlechterte Performance bieten und dem entsprechend eurer Rechner IPv6 auf Grund der schlechteren Latenz vermutlich IPv4 den Vorzug geben wird. Erst wenn euer ISP IPv6 nativ unterstützt ist die Performance mit der eures normale Internetanschlusses identisch, erst dann beginnt euer System damit IPv6 zu bevorzugen. Nichts desto trotz ist IPv6 eine super Sache und wird mit Unterstützung der Deutschen Telekom wohl erstmals auf richtig breiter Basis zum Einsatz kommen - und vermutlich werdet ihr davon gar nichts mitbekommen.

Die IPv6-Adresse des Servers ist übrigens 2a01:4f8:d12:1b00::2 - als "Beweis" ein IPv6-ping von meinem Notebook zu PhrozenByte:

Quoted from "SoulContract"

Hey wie wars denn auf dem neuen Server gleich mal mit nem neuen Feature? Tapatalk Unterstützung . Wurde mich freuen da ich ja nie richtig Posten kann

Deine Wünsche wurden von WoltLab (die Entwickler der Forensoftware) erhört - inzwischen ist das Forum auch via Tapatalk erreichbar. Ich möchte aber darauf hinweisen dass von Tapatalk nur die Grundfunktionen des Forums abgebildet werden - alle weiterführenden Dienste (Portal, Blog, Galerie...) sind nur über den Webbrowser nutzbar.
Ich betrachte Tapatalk als eine reine Übergangslösung für kleine Geräte wie Smartphones. Tapatalk soll den Webbrowser keinesfalls ersetzen, dem entsprechend ist die Unterstützung für Tablets wie dem iPad deaktiviert. Auf deren Displays ist genug Platz eine richtige Webseite anzuzeigen, dafür benötigt es keine proprietären Apps welche das Ökosystem offener Standards im Internet zerstört. Zumindest die Smartphone-Besitzer kann ich aber verstehen wenn sie über vieles Scrollen klagen - deshalb habe ich mich dann doch dazu entschlossen die Tapatalk-Unterstützung zu installieren.