• DDoS mit 1,7Tbps

    From Markus Reschke@1:15/0 to Alle on Sat Mar 10 19:40:04 2018
    Hi!

    Dank offener memcached gibt es nun DDoS mit 1,7Tbps: https://www.pcmag.com/news/359693/powerful-ddos-attack-sets-new-record-at-1-7- tbps

    cu,
    Markus

    ===
    # Origin: *** theca tabellaria *** (2:240/1661)
    --- SBBSecho 3.03-Linux
    * Origin: Region 15 HQ (1:15/0)
  • From Torsten Bamberg@1:15/0 to Markus Reschke on Sun Mar 11 00:58:45 2018
    Hallo Markus!

    10.03.2018 19:40, Markus Reschke schrieb an Alle:

    Dank offener memcached gibt es nun DDoS mit 1,7Tbps: https://www.pcmag.com/news/359693/powerful-ddos-attack-sets-new-record -at-1-7- tbps
    Diese Nachricht hatte ich auf heise.de auch gelesen.
    Wahrscheinlich werden DDoS Angriffe noch intensiver und heftiger werden.
    Durch solche Bauk„sten wie PoC ist das ja recht einfach.

    Ich frag mich manchmal, wie d„mlich manch eine standart Installation ist.
    Das die Admins nichtmal die ganze man page durchlesen, ist schon frustrierend.

    Die Auswirkungen drften „hnlich der des smtp-spoofings fr spam sein. Seit Jahrzehnten k„mpfen wir gegen Spam, aber die Admins sind nicht in der lage, ihren smtpd sauber zu konfigurieren.

    cu,
    Markus
    Bye/2 Torsten

    ... MAILBOX: 0:58h - up 9d 5h 48m load: 30 proc, 116 threads (tbupv1.1)
    === GoldED+ 1.1.5
    # Origin: DatenBahn BBS Hamburg (2:240/5832)
    --- SBBSecho 3.03-Linux
    * Origin: Region 15 HQ (1:15/0)
  • From Markus Reschke@1:15/0 to Torsten Bamberg on Sun Mar 11 10:45:44 2018
    Hallo Torsten!

    2018-03-11 00:58 schrieb Torsten Bamberg an Markus Reschke:

    Ich frag mich manchmal, wie dämlich manch eine standart Installation
    ist. Das die Admins nichtmal die ganze man page durchlesen, ist schon frustrierend.

    Ja, da kann man sich nur wundern. Eine der wichstigsten Regeln ist: Alle Dienste, die nicht von außen erreichbar sein müssen, sollte man abschotten. Unix sockets statt IP, FW-Filter, tcp-wrapper, nur lokale IP-Adresse binden, integrierte ACLs usw. sind kein Hexenwerk.

    Die Auswirkungen dürften ähnlich der des smtp-spoofings für spam
    sein. Seit Jahrzehnten kämpfen wir gegen Spam, aber die Admins sind
    nicht in der lage, ihren smtpd sauber zu konfigurieren.

    Ich denke, daß man die offenen memcached mit offenen DNS Resolvern vergleichen kann. SPAM ist eine andere Geschichte.

    cu,
    Markus

    ===
    # Origin: *** theca tabellaria *** (2:240/1661)
    --- SBBSecho 3.03-Linux
    * Origin: Region 15 HQ (1:15/0)
  • From Andreas Weiss@1:15/0 to Markus Reschke on Mon Mar 12 00:48:10 2018
    Hallo Markus!

    Antwort auf eine Message von Markus Reschke an Torsten Bamberg:

    Ich frag mich manchmal, wie dämlich manch eine standart
    Installation ist. Das die Admins nichtmal die ganze man page
    durchlesen, ist schon frustrierend.
    Ja, da kann man sich nur wundern. Eine der wichstigsten Regeln ist:
    Alle Dienste, die nicht von außen erreichbar sein müssen, sollte
    man abschotten. Unix sockets statt IP, FW-Filter, tcp-wrapper, nur
    lokale IP-Adresse binden, integrierte ACLs usw. sind kein
    Hexenwerk.

    Standard müsste sein: Alles wird geblockt. Sollte man doch mal etwas brauchen, dann muss es einzeln freigeschaltet werden.

    Die Auswirkungen dürften ähnlich der des smtp-spoofings für spam
    sein. Seit Jahrzehnten kämpfen wir gegen Spam, aber die Admins
    sind nicht in der lage, ihren smtpd sauber zu konfigurieren.
    Ich denke, daß man die offenen memcached mit offenen DNS Resolvern vergleichen kann. SPAM ist eine andere Geschichte.

    Hab die Berichte nicht gelesen, weiss man wessen Server da offen war?

    Gruss aus Neustadt

    Andreas <<

    === FleetStreet 1.27.3.8d
    # Origin: Two Wrongs Don't Make A Right, But Three Lefts Do. (2:2437/224)
    --- SBBSecho 3.03-Linux
    * Origin: Region 15 HQ (1:15/0)
  • From Gerhard Strangar@1:15/0 to Torsten Bamberg on Sun Mar 11 12:00:45 2018
    Am 11 Mar 18 00:58:45 schrob Torsten Bamberg an Markus Reschke zum Thema <DDoS mit 1,7Tbps>

    Ich frag mich manchmal, wie daemlich manch eine standart Installation ist.

    Einbeinig waere eine Standart. :-)

    Das die Admins nichtmal die ganze man page durchlesen, ist schon frustrierend.

    Dafuer werden sie halt nicht bezahlt. Der Einkaeufer sucht fuer die IT-Abteilung den billigsten Dienstleister und der legt die DVD ein und klickt auf "next", bis die Installation durch ist. Wenn die Soll-Funktion da ist, ist er fertig.



    Tschoe mit Oe
    Gerhard
    ===
    # Origin: (2:240/2188.575)
    --- SBBSecho 3.03-Linux
    * Origin: Region 15 HQ (1:15/0)
  • From Markus Reschke@1:15/0 to Andreas Weiss on Mon Mar 12 20:24:52 2018
    Hi Andreas!

    2018-03-12 00:48 schrieb Andreas Weiss an Markus Reschke:

    Standard müsste sein: Alles wird geblockt. Sollte man doch mal etwas brauchen, dann muss es einzeln freigeschaltet werden.

    Kann man auch machen, aber man muß dann das für IP Notwendige (ICMP & Co) erlauben.

    Hab die Berichte nicht gelesen, weiss man wessen Server da offen war?

    Shodan fragen :) IIRC, sind 60k Server betroffen.

    cu,
    Markus

    ===
    # Origin: *** theca tabellaria *** (2:240/1661)
    --- SBBSecho 3.03-Linux
    * Origin: Region 15 HQ (1:15/0)
  • From Andreas Weiss@1:15/0 to Markus Reschke on Tue Mar 13 02:55:08 2018
    * Antwort auf Message in MyMail

    Hallo Markus!

    Antwort auf eine Message von Markus Reschke an Andreas Weiss:

    Standard müsste sein: Alles wird geblockt. Sollte man doch mal
    etwas brauchen, dann muss es einzeln freigeschaltet werden.
    Kann man auch machen, aber man muß dann das für IP Notwendige (ICMP
    & Co) erlauben.

    Wie Du schon gesagt hast, dann bitte sicher.

    Hab die Berichte nicht gelesen, weiss man wessen Server da offen
    war?
    Shodan fragen :) IIRC, sind 60k Server betroffen.

    Das Tool ist ja primär etwas für große Webserver gedacht. Von daher wohl essentiell bei Facebook und Co. Facebook, Amazon und Google dürften wohl die größten (und neben den CDNs) auch die mit den fettesten Leitungen sein.

    Gruss aus Neustadt

    Andreas <<

    === FleetStreet 1.27.3.8d
    # Origin: Enthaltsamkeit ist Mord am ungezeugten Leben! (2:2437/224)
    --- SBBSecho 3.03-Linux
    * Origin: Region 15 HQ (1:15/0)