DDOS oder Kiddies?
10. Juli 2007
Nachdem wir heute wieder mal von einer IP aus China mit 25MBit gefakten HTTP-Requests zugeballert wurden (pf sei Dank kommt sowas nie bis zu den Webservern durch), hier eine kurze Anekdote über eine vermeintliche kleine DDOS-Attacke.
Tausende verschiedene Rechner, vornehmlich aus dem Netz der TurkTelekom machten massenhaft Anfragen auf eine Web-Präsenz eines unserer Kunden.
Technisch haben wir das dann so gelöst, daß mod_evasive und mod_security diese Rechner erkannt und die IPs mit einem schnell geschriebenen Programm an die Firewall vor dem Load Balancer geschickt haben. Dort wurden sie dann für eine Stunde ausgesperrt. Funktionierte tadellos, der Regelbetrieb war schnell wieder gewährleistet, es waren ja auch nur ein paar Tausend Rechner.
Ich dachte erst an eine kleine DDOS-Attacke, dann offenbarte sich aber langsam, daß dies die Auswirkungen einer simplen Top100-List waren.
Besagter Kunde betrieb auf seiner Seite eine solche Top-List. Diese Top-List wurde offenbar von anderen Webmastern in eine Seite integriert, die auch hunderte anderer Top-Listen lädt. Diese Webmaster haben Domains weltweit bei verschiedenen Registraren teilweise mit offensichtlich falschen WHOIS-Daten registriert. Und anscheinend schaffen Sie es irgendwie, die Anzahl der Besucher für diese Massen-Toplist-Seiten immer weiter zu erhöhen.
Mir ist nicht klar, wie genau sie das machen, so etwas ist mir noch nie begegnet. Und es beunruhigt mich bis heute, daß solch ein Kinderkram diese Wucht entfalten kann.
Dann waren da noch ein paar wenige IPs, die viele, viele Anfragen pro Sekunde machten. Wahrscheinlich haben sie damit den schlecht programmierten Toplists die Besucher vorgegaukelt und diese Massen an “Besuchern” erreicht. Wenn auch nur eine einzige Toplist von den Hundert auf der Seite diese Aufrufe für echt gehalten hat…
Nunja. Aufklären können wir das leider nie.
