- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,303
- Punkte für Reaktionen
- 1,764
- Punkte
- 113
Wer hier nach der olympischen Sportart sucht, ist schon mal falsch und braucht gar nicht erst weiterlesen.
Ansonsten habe ich gerade - eher versehentlich - einen Download bei AVM (von "update.avm.de") mit einer alten und inzwischen ungültigen URL versucht und dabei ist mir dann ein - bisher zumindest für mich unbekanntes - Verhalten des AVM-Servers aufgefallen.
Nach einem "file not found"-Fehler (alles, was im FTP mit Error-Code 550 bestraft wird) kann ich nämlich für eine gewisse Zeit (genau habe ich das nicht ausgetestet) erst einmal keine weitere Verbindung herstellen ... der AVM-Server antwortet ganz einfach nicht mehr. Man sieht im Netzwerk-Mitschnitt halt die SYN-Pakete, auf die keinerlei Antwort erfolgt. Das sieht schon sehr nach einer "drop"-Regel aus ... zumal TCP ja selbst die SYN-Pakete mehrfach wiederholt und auf keines eine Antwort kommt (was gegen Lastprobleme spricht).
Im DNS ist unter "update.avm.de" auch nur eine einzelne IPv4-Adresse verzeichnet (die .73) - nicht wie bei den anderen Adressen, wo der Download entweder über HTTPS erfolgt (bei den Labor-Versionen) oder über "download.avm.de" geht - dahinter liegen inzwischen sechs unterschiedliche IPv4-Adressen.
Das sieht entweder nach einer heftigen Überlastung des AVM-Servers aus oder nach einer bewußt eingerichteten Sperre - denn ich habe das bisher auch nur als Problem feststellen können, wenn zuvor der Versuch stattfand, eine nicht existierende Datei zu übertragen. Beim gezielten Zugriff auf eine existierende Datei (und "nicht gesperrter" IP-Adresse) hatte ich jedenfalls bei vielen Versuchen nicht einen einzigen Fehler - für mich ein sehr deutliches Zeichen, daß hier der Versuch des Downloads einer nicht existierenden Datei "bestraft" wird.
Allerdings würde ich es auch mehr als nachvollziehbar finden, wenn AVM hier tatsächlich solchen "Hasch-Mich"-Spielen mit dem Server einen Riegel vorschiebt ... das, was als Penetration-Test ja noch angehen mag, ist als "systematisches und regelmäßiges Vorgehen" (und das möglichst noch von mehreren Leuten, denn wenn ich mir die Liste der "Erster"-Rufer hier so ansehe, ist das ja kein Einzelner) eher "unfriendly behavior" im Internet und geht - zumindest beim massiven Einsatz - ja fast in Richtung DoS-Attacken.
Nun bin ich zwar auch der Ansicht, daß jeder, der einen Service im Internet bereitstellt, auch für dessen "Härtung" verantwortlich ist und mein Mitleid mit denjenigen, die das versäumt haben oder immer noch nicht für notwendig erachten, hält sich in sehr eng umrissenen Grenzen ... aber hier könnte AVM ja tatsächlich (erfolgreich) eingeschritten sein und vielleicht hilft ja meine Beobachtung (wenn sie denn von anderen nachempfunden werden kann) auch dabei, dieses Vorgehen wieder einzudämmen.
Wenn hier jemand irgendwelche Skripte unbeaufsichtigt laufen läßt und AVM tatsächlich eine progressive Sperre von IP-Adressen eingerichtet hat, von denen solche sinnlosen Requests erfolgen, dann wird man mit solchem "Curling" nicht nur falsche Ergebnisse erhalten (wenn das eigene Skript das "timeout" nicht als solches richtig erkennt und daraus ein "file not found" macht), sondern sich auch Probleme beim späteren Download dabei gefundener Dateien einhandeln, wenn AVM einen erst einmal "auf dem Kieker" hat.
Solche Aktionen sind auf dem richtigen Server dank "iptables" und "ipset" kein Hexenwerk (und "bread & butter" für einen Netzwerk-Admin) und wohl jeder mit einem eigenen Server, hat schon mal etwas von "fail2ban" o.ä. gehört ... im Prinzip läßt sich das aber auch mit einer Exit-Routine am FTP-Server und wenigen "iptables"-Statements erreichen (notfalls kann man sogar die TCP-Pakete mit FTP-Antworten in einer "iptables"-Chain auf diesen Fehlercode "550" checken) - bei HTTP(S)-basierten Zugriffen geht das dann mit einer passend "customize"-ten Fehlerseite, die über einen Skript-Prozessor ausgeliefert wird, der den abfragenden Host in die Blacklist einträgt.
Eine länger andauernde "Sperre" von AVM für die eigene IP-Adresse, dürfte nur für diejenigen nicht relevant sein, die entweder die Adresse tatsächlich regelmäßig wechseln können (und wollen - was bei All-IP-Anschlüssen, über die parallel telefoniert wird, schon mal nicht so klug bzw. jederzeit ohne weiteres möglich ist) oder solches "Curling" tatsächlich von irgendwelchen Servern im Internet betreiben, auf denen nie ein solcher Download erfolgen soll.
Aber auch dann muß das verwendete Skript eben "smart" oder "sophisticated" genug sein, um tatsächlich zwischen den verschiedenen "Fehlerzuständen" zu unterscheiden ... ansonsten verschwendet man vollkommen unnütz Ressourcen und wird einen "Treffer" auch eher nur durch Zufall erzielen.
So ein kleines bißchen fühle ich mich auch dafür verantwortlich, daß so etwas überhaupt möglich ist - wenn man die Pfade auch noch "erraten" müßte, wäre das sicherlich noch sinnfreier und daran, daß das nun nicht so ist, hat vielleicht auch "juis_check" einen kleinen Anteil mit dem "Public"-Parameter.
Das ist auch ein Grund, warum ich eher zur Vernunft aufrufen würde (das habe ich auch bei der Beschreibung von "juis_check" schon getan) und solches "Curling" für ziemlichen Blödsinn halte ... bei mir hätte das mit so einer Sperre auch nicht so lange gebraucht (selbst wenn ich nicht weiß, seit wann das bei AVM so ist und ob meine Beobachtung überhaupt stimmt und nicht wieder ein Stromausfall in Frankfurt die Ursache ist).
Ansonsten habe ich gerade - eher versehentlich - einen Download bei AVM (von "update.avm.de") mit einer alten und inzwischen ungültigen URL versucht und dabei ist mir dann ein - bisher zumindest für mich unbekanntes - Verhalten des AVM-Servers aufgefallen.
Nach einem "file not found"-Fehler (alles, was im FTP mit Error-Code 550 bestraft wird) kann ich nämlich für eine gewisse Zeit (genau habe ich das nicht ausgetestet) erst einmal keine weitere Verbindung herstellen ... der AVM-Server antwortet ganz einfach nicht mehr. Man sieht im Netzwerk-Mitschnitt halt die SYN-Pakete, auf die keinerlei Antwort erfolgt. Das sieht schon sehr nach einer "drop"-Regel aus ... zumal TCP ja selbst die SYN-Pakete mehrfach wiederholt und auf keines eine Antwort kommt (was gegen Lastprobleme spricht).
Im DNS ist unter "update.avm.de" auch nur eine einzelne IPv4-Adresse verzeichnet (die .73) - nicht wie bei den anderen Adressen, wo der Download entweder über HTTPS erfolgt (bei den Labor-Versionen) oder über "download.avm.de" geht - dahinter liegen inzwischen sechs unterschiedliche IPv4-Adressen.
Das sieht entweder nach einer heftigen Überlastung des AVM-Servers aus oder nach einer bewußt eingerichteten Sperre - denn ich habe das bisher auch nur als Problem feststellen können, wenn zuvor der Versuch stattfand, eine nicht existierende Datei zu übertragen. Beim gezielten Zugriff auf eine existierende Datei (und "nicht gesperrter" IP-Adresse) hatte ich jedenfalls bei vielen Versuchen nicht einen einzigen Fehler - für mich ein sehr deutliches Zeichen, daß hier der Versuch des Downloads einer nicht existierenden Datei "bestraft" wird.
Allerdings würde ich es auch mehr als nachvollziehbar finden, wenn AVM hier tatsächlich solchen "Hasch-Mich"-Spielen mit dem Server einen Riegel vorschiebt ... das, was als Penetration-Test ja noch angehen mag, ist als "systematisches und regelmäßiges Vorgehen" (und das möglichst noch von mehreren Leuten, denn wenn ich mir die Liste der "Erster"-Rufer hier so ansehe, ist das ja kein Einzelner) eher "unfriendly behavior" im Internet und geht - zumindest beim massiven Einsatz - ja fast in Richtung DoS-Attacken.
Nun bin ich zwar auch der Ansicht, daß jeder, der einen Service im Internet bereitstellt, auch für dessen "Härtung" verantwortlich ist und mein Mitleid mit denjenigen, die das versäumt haben oder immer noch nicht für notwendig erachten, hält sich in sehr eng umrissenen Grenzen ... aber hier könnte AVM ja tatsächlich (erfolgreich) eingeschritten sein und vielleicht hilft ja meine Beobachtung (wenn sie denn von anderen nachempfunden werden kann) auch dabei, dieses Vorgehen wieder einzudämmen.
Wenn hier jemand irgendwelche Skripte unbeaufsichtigt laufen läßt und AVM tatsächlich eine progressive Sperre von IP-Adressen eingerichtet hat, von denen solche sinnlosen Requests erfolgen, dann wird man mit solchem "Curling" nicht nur falsche Ergebnisse erhalten (wenn das eigene Skript das "timeout" nicht als solches richtig erkennt und daraus ein "file not found" macht), sondern sich auch Probleme beim späteren Download dabei gefundener Dateien einhandeln, wenn AVM einen erst einmal "auf dem Kieker" hat.
Solche Aktionen sind auf dem richtigen Server dank "iptables" und "ipset" kein Hexenwerk (und "bread & butter" für einen Netzwerk-Admin) und wohl jeder mit einem eigenen Server, hat schon mal etwas von "fail2ban" o.ä. gehört ... im Prinzip läßt sich das aber auch mit einer Exit-Routine am FTP-Server und wenigen "iptables"-Statements erreichen (notfalls kann man sogar die TCP-Pakete mit FTP-Antworten in einer "iptables"-Chain auf diesen Fehlercode "550" checken) - bei HTTP(S)-basierten Zugriffen geht das dann mit einer passend "customize"-ten Fehlerseite, die über einen Skript-Prozessor ausgeliefert wird, der den abfragenden Host in die Blacklist einträgt.
Eine länger andauernde "Sperre" von AVM für die eigene IP-Adresse, dürfte nur für diejenigen nicht relevant sein, die entweder die Adresse tatsächlich regelmäßig wechseln können (und wollen - was bei All-IP-Anschlüssen, über die parallel telefoniert wird, schon mal nicht so klug bzw. jederzeit ohne weiteres möglich ist) oder solches "Curling" tatsächlich von irgendwelchen Servern im Internet betreiben, auf denen nie ein solcher Download erfolgen soll.
Aber auch dann muß das verwendete Skript eben "smart" oder "sophisticated" genug sein, um tatsächlich zwischen den verschiedenen "Fehlerzuständen" zu unterscheiden ... ansonsten verschwendet man vollkommen unnütz Ressourcen und wird einen "Treffer" auch eher nur durch Zufall erzielen.
So ein kleines bißchen fühle ich mich auch dafür verantwortlich, daß so etwas überhaupt möglich ist - wenn man die Pfade auch noch "erraten" müßte, wäre das sicherlich noch sinnfreier und daran, daß das nun nicht so ist, hat vielleicht auch "juis_check" einen kleinen Anteil mit dem "Public"-Parameter.
Das ist auch ein Grund, warum ich eher zur Vernunft aufrufen würde (das habe ich auch bei der Beschreibung von "juis_check" schon getan) und solches "Curling" für ziemlichen Blödsinn halte ... bei mir hätte das mit so einer Sperre auch nicht so lange gebraucht (selbst wenn ich nicht weiß, seit wann das bei AVM so ist und ob meine Beobachtung überhaupt stimmt und nicht wieder ein Stromausfall in Frankfurt die Ursache ist).