Super das es geklappt hat. Das freut mich, nicht nur für uns sondern besonders für @Pyro denn der machte sich bestimmt schon die ganze Zeit Gedanken damit wir vernünftig im Forum rumstöbern können
Und genau hier ist der Hund begraben, denn man öffnet ja den Port und macht somit einen DDoS Angriff möglich. Durch diese Art wird jedoch vorrangig der verwendete Server als VERSTÄRKER genutzt um größere Angriffe auf Firmen zu ermöglichen.
Das wusste ich z.B. nicht, das es als Verstärker dient . Was ich aber wusste das z.B. größere Game Publisher wie z.B. Call of Duty auch auf dem Port laufen und auch schon angegriffen wurde. Auch andere Namenhafte Firmen
Ja das ist eben der Standard UDP Port daher sollte man diesen deaktivieren. Klar wird dadurch die DB wieder etwas mehr belastet ist aber sicherer. Man kann den Server testen ob dieser Anfällig ist, einfach auf dem Server $ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 127.0.0.1 11211 STAT pid 21357 STAT uptime 41557034 STAT time 1519734962 ausführen. Wenn man eine leere Rückmeldung gibt, muss man sich keine Gedanken machen.
Musst Du auch nicht Hat ja auch nichts mit Feuerwerk zu tun, aber da wir hier alle für einander da sind, gibt man auch gerne das weiter, was auch in anderen Bereichen helfen kann. So ich denke wir haben nun genug Fachbegriffe hier hin und her geschrieben, das Forum läuft wieder stabil und wenn wieder etwas sein sollte, dann schreiben wir in diesem Thema einfach wieder ein paar Fachbegriffe rein
Finde ich super. Dafür gibt's ja eine Cummunity wenn ich hier mit Fachbegriffen meines Berufsbildes anfangen würde würdet ihr auch nichts verstehen. Bahnhof ist da aber nicht ganz falsch
Jetzt mal langsam mit den jungen Pferden Die Memcache-Instanz liegt innerhalb einer VPC und ist von "außen" überhaupt nicht erreichbar. Keiner von uns oder Euch oder irgendeinem Script-Kiddie kommt daran, einzig die Instanz auf der die Forums-Software läuft hat Zugriff auf den Memcache, kein Anderer, Niemand. Das Problem ist einfach, die Memcache-Instanz läuft auf einer der t*-Instanztypen von AWS. Diese sind zwar günstig, aber eben mit sogenannten Credit-Limits ausgestattet, sodass man die "Full-Power" nur eine kurze Zeit ausschöpfen kann, ansonsten wird gekappt, siehe Graphen die Markus gepostet hat. Normalerweise reichen die t*-Instanzen auch aus, aber bei solchen Spitzen wie gestern, heute oder an den Verkaufsstarts werden die Credits schnell aufgebraucht und beim Kappen spürt man es dann anhand der langen Ladezeiten (die CPU-Leistung ist dann einfach sehr stark gedrosselt und aufgrund der vielen Anfragen braucht die CPU dann halt länger um diese zu berechnen). Da natürlich die Forensoftware immer bevorzugt aus dem Cache laden will, weil es normalerweise schneller ist als die DB (RDS), führt es dann zu besagten Verhalten. Gut Schuß Christian
49A02(16) = 0100 1001 1010 0000 0010(2) = 1001001101000000010(2) 10010110101011(2) = 0010 0101 1010 1011(2) = 25AB(16) So genug jetzt......... Muss noch Weihnachtsgeschenke einpacken
Durch den offenen UDP Port kann sehr wohl ein DDoS Angriff gestartet werden. Das Security Unternehmen Link11 berichtet derzeit über massive DDoS-Angriffe, bei denen der Memcached-Server quasi als „Verstärker“ missbraucht wird, um Ziele zu Attackieren. Ich kann daher meine Aussage nur bekräftigen weil Ich selber in der IT tätig bin.
Vielen Dank, sehr interessant. Die Cloud hat so einige Fallstricke, IOPS-Limits können auch immer schöne Probleme bereiten, die man schwer findet.
Passiert aber nicht in unserem Fall, die Memcache-Instanz (sieh es als eine Art Server) steht nicht im Netz frei verfügbar, die liegt verschlossen in einer DMZ (AWS-VPC) und nur die Instanz vom Forum kann darauf zugreifen, niemand anderes, es geht nicht. Eine Firewall quasi. Man müsste jede IP einzeln freigeben damit man darauf zugreifen kann. Also ganz entspannt, kein DDoS, keiner will uns was Böses, kein Bundes-DUH-Reptiloiden-Angriff Gut Schuß Christian
Also ist hier auch die Aussage das die wenigen Besucher schon als Spitze gerechnet werden ? Naja da sieht man eben den Unterscheid im Tätigkeitsbereich. Wir stellen Server für Rundfunk / Broadcast etc zur Verfügung da gibt es keine Credits die aufgebraucht werden. Wäre ja schlimm wenn mitten in einer Sendung plötzlich kein Ton mehr aus den Boxen kommt ;-)
Dann hatte Ich das zu schnell gelesen, oder der erste Text war etwas zu weitläufig. Klar wenn dieses System nur Intern angewendet wird. Aber das mit den Credits finde Ich in diesem Fall leider für die Leser etwas unpassend. Kann man da keine bessere Lösung veranschlagen ? Spitzen wird es in Zukunft wohl öfters geben und bestimmt auch in den kommenden Wochen ? Grüße Michael