Moin Moin!

dein Szenanrio beschreibt das was ich mich schon immer gefragt habe.

Wie man Leute dazu bringt, mit zwei verschiedenen Socken durhc die Gegend zu laufen? ;-)

Mit diesen Methoden müsste dich jeder Service zum Erliegen kommen, egal wer?

Ja. Gegen DDoS auf wenige Server ist kaum ein Kraut gewachsen, das haben auch schon "die Großen" mehrfach feststellen müssen. Wenn der Service allerdings auch auf sehr viele Maschinen in sehr vielen Netzen verteilt ist, ist DDoS wesentlich schwieriger. In dem Fall greift man besser die koordinierende Infrastruktur an.

Das jetzt Müller-Meier mit seiner kleinen Webseite dem nicht ausgesetzt wird, liegt wohl eher an dem Desinteresse des Angreifers.

Richtig. Wenig Motivation und wenig Bereitschaft, Geld oder Mühe in den Angriff zu investieren. Mit genügend "krimineller Energie" sucht man sich ein gutes Ziel, fährt eine kurze  DDoS-Welle, und teilt dem Opfer mit, dass man sowas in Zukunft unterläßt, sofern das Opfer sich finanziell ausreichend erkenntlich zeigt, einen ungeliebten Dienst einstellt oder einen eingestelltne Dienst wieder aktiviert.

Aber wie sieht das mit unseeins aus, die wir ja mehr oder weniger von Fach sind, welche Möglichkeiten haben wir um uns gegen sowas zu wehren?

Nachdenken, nachdenken, nachdenken. Ganz schwer ist der Rollenwechsel vom Entwickler zum Angreifer, weil man sein mühsam aufgezogenes Kind plötzlich mit aller Gewalt verprügeln und mißbrauchen soll.

Im Prinzip macht man aber genau dass, wass ich mit Beat durchgespielt habe. Man denkt sich einen ausreichend motivierten und völlig skrupellosen Angreifer aus, der auf beliebig viele Resourcen zurückgreifen kann, und läßt den das eigene Produkt angreifen.

Ein Kollege, der den Angreifer spielt, kann sehr hilfreich sein.

Naürlich sollte man auch so ungefähr wissen, wie Angriffe funktionieren. Es gibt genügend Leute, die Angriffe sehr ausführlich dokumentiert haben. Es muß ja nicht immer DDoS sein, es gibt wesentlich feinere Werkzeuge.

Dein kompletts Szenario erschien hier schon öfter aber nie so detailliert, sow aren hier schon Fragen dazu wie man unerwünschte HTTP-Anfragen begrenzen kann oder Speed-Grenzen setzt, aber Lösungen waren nicht wirklich vorhanden oder wenn dann nur teilweise mit extemen Servereingriffen, wobei ja nicht jeder Kunde einen eigene dedizierten Server hat.

Wenn Du "nur" ein Hosting-Paket hast, wird der Provider schonmal ein Auge auf die Datenmenge haben, und notfalls Deine Site mal kurz abklemmen. Perfektes DDoS, aber eben nur auf Deine Site, der Rest der Kunden hat Ruhe.

Eine absolute Lösung gegen DDoS gibt es nicht, auch das Drosseln von HTTP-Requests hilft eben nicht gegen DDoS, es verstärkt den Effekt nur noch.

Du kannst eigentlich nur hoffen, dass der Angreifer nicht so gut ist, wie er glaubt. Wenn er z.B. beim Gedankenspiel-Angriff auf Beat blöd genug ist, den User-Agent-Header auf "libwww-perl/x.yyy" zu lassen, ist der Angriff schon in der Firewall vor dem Server abwürgbar, notfalls durch eine Apache-Regel, die für alle Requests mit dem User-Agent stumpf 404 liefert. PHP (oder worauf auch immer die Anwendung basiert) sieht den Request gar nicht.

Wie auch immer ich fande das sehe lesenwert(vor allem visuell, nicht fachchinesisch) und fände schön wenn daraus ein SelfhtmlArtikel werden würde.

Danke für das Lob, aber zu so einem Artikel gehört doch wesentlich mehr Arbeit als nur ein Posting. Hier hab ich nur Beats Idee zerlegt, sleep() wäre eine gute Idee gegen gescriptete Angriffe. Für einen Artikel ist das viel zu speziell. Über das Absichern von Websites kann man Bücher schreiben, und es wurden auch schon reichlich viele geschrieben, darunter sicherlich auch ein paar gute.

Alexander