Timmas: denial of service

Hallo,

ich habe mal eine frage zum denial of service angriff.
wie soll das funktionieren?
wenn ein hacker einen webserver platt machen will und ein angriff startet und sehr viele anfragen auf port 80 sendet ist das doch normal oder nicht?
wie soll das gehen einen sever platt zumachen?
wenn nun anfragen auf alle ports gehen müssen doch mehr als 16500 anfragen abgehen um alle ports zu belegen oder wie? warum soll der server denn da in die knie gehen bzw. runterfahren?
ich kapiere das nicht...... hat da einer antwort drauf?

-nein ich will kein server ins nirvana jagen-

  1. hi,

    ich habe mal eine frage zum denial of service angriff.
    wie soll das funktionieren?

    So: http://de.wikipedia.org/wiki/Denial_of_Service#Funktionsweise

    wenn ein hacker einen webserver platt machen will und ein angriff startet und sehr viele anfragen auf port 80 sendet ist das doch normal oder nicht?

    Wenn x Anfragen im Zeitraum t "normal" sind, der Webserver vielleicht 2x "schafft" - und der Hacker >2x Anfragen sendet - dann ist Feierabend.

    wenn nun anfragen auf alle ports gehen müssen doch mehr als 16500 anfragen abgehen um alle ports zu belegen oder wie? warum soll der server denn da in die knie gehen bzw. runterfahren?

    Es geht nicht unbedingt darum, "alle Ports zu belegen".
    Die Funktion eines Webservers hängt nicht nur von freien Ports, sondern auch von anderen Ressourcen (CPU, RAM) ab. Ausserdem hat er zumeist noch ein Limit für die maximale Anzahl "paralleler" Anfragen eingestelt.

    gruß,
    wahsaga

    --
    /voodoo.css: #GeorgeWBush { position:absolute; bottom:-6ft; }

    1. Hi,

      danke für eure antwort.
      aber wenn nun mein system überlastet ist stürzt es doch auch nicht gleich ab oder fährt herunter....
      das kapiere ich nicht.
      und die heutigen server sind doch extrem leistungsfähig oder nicht?
      fragen über fragen....

      danke!

      1. Moin!

        aber wenn nun mein system überlastet ist stürzt es doch auch nicht gleich ab oder fährt herunter....

        Aber es antwortet auch nicht mehr, oder nur noch extrem langsam, auf Anfragen. Und wenn ein System nicht mehr auf alle Anfragen in akzeptabler Zeit antwortet, dann ist damit der Effekt "Denial of Service" erreicht - das System bietet seinen Service nicht mehr an.

        und die heutigen server sind doch extrem leistungsfähig oder nicht?

        Es gibt aber deutlich mehr Clients als Server. Und wenn sehr viele Clients gleichzeitig auf einen einzelnen Server zugreifen, überlastet ihn das problemlos. Denn eine der Komponenten CPU, RAM oder Bandbreite ins Internet wird im Zweifel überlastbar sein. Wobei ich glaube, dass der effektivste Mechanismus, um einen Server unverfügbar zu machen, tatsächlich die Überlastung seiner Internetverbindung ist. Auch wenn dafür 100 MBit/s, 1 GBit/s oder gar 10 GBit/s zur Verfügung stehen - wenn der Angreifer Botnetze zur Verfügung hat, um einen "Distributed Denial of Service" zu machen, muß jeder einzelne Client nur eine recht geringe Bandbreite aufbringen, damit in der Summe die gesamte Bandbreite des Servers ausgelastet wird - und zwar für Anfragen, die an den Server gehen sollen. Es ist dabei vollkommen egal, ob der Server die Anfragen alle beantworten könnte.

        Angenommen, die Besucher lasten die Leitung eines Servers normalerweise zu 10% aus. Wenn jetzt ein Angreifer 99% der Leitung auslastet und nur noch 1% der Anfragen echte Requests sind (weil ein paar immer noch durchkommen dürften - die Mischung kommt durch die vorgelagerten Router), dann fallen 9 von 10 Anfragen von echten Clients unter den Tisch - und der Server ist praktisch unerreichbar geworden.

        Natürlich gibt es Gegenmaßnahmen - die kann man aber erst ergreifen, wenn der Angriff einem auffällt, indem man z.B. am Router alle bösen IPs sperrt.

         - Sven Rautenberg

        -- "Love your nation - respect the others."
  2. Hallo Timmas,

    da gibt's in der wikipedia einen sehr ausführlichen Artikel zu Lies dir den doch einfach mal durch - wenn du danach noch Fragen hast, dann frag'. Hier ist immer jemand, der dir dann näheres erklären kann.

    File Griese,

    Stonie

    --
    Ein schlechtes Statement spricht für sich - jeder Kommentar ist verschwendete Energie, die einem bei wirklich wichtigen Unterfangen fehlen könnte.

    Und im Übrigen kennt auch Stonie Wayne.

  3. Hallo Timmas.

    wenn ein hacker einen webserver platt machen will und ein angriff startet und sehr viele anfragen auf port 80 sendet ist das doch normal oder nicht?
    wie soll das gehen einen sever platt zumachen?

    Auch ein Serversystem hat begrenzte Ressourcen. Verschlingt der Server zu viele davon, weil er abertausende von Anfragen gleichzeitig beantworten muss, geht das System in die Knie und muss schlimmstenfalls neu gestartet werden.

    Weitere Details finden sich auf der englischen Wikipedia-Seite zum Thema und Svens womöglich bald in diesem Thread auffindbaren Posting.

    wenn nun anfragen auf alle ports gehen …

    Auf alle Ports wird gewiss kein Angriff gestartet, sondern nur auf die, bei denen ein Angreifer gewiss sein kann, dass ein Programm an diesem lauscht.

    Einen schönen Montag noch.

    Gruß, Mathias

    --
    ie:% fl:| br:< va:) ls:& fo:) rl:( n4:~ ss:) de:] js:| mo:| zu:)

    debian/rules