Suche
Kategorien
Getaggte Artikel




















Archive
Blog abonnieren
  • XML
Impressum
FeM e.V.
Max-Planck-Ring 6d
98693 Ilmenau

Tel./Fax: +49 3677 691929

info@fem.tu-ilmenau.de
www.fem.tu-ilmenau.de

Vertretungs-
berechtigter Vorstand:
Vorsitzender:
Adrian Schollmeyer
Stellvertretender Vorsitzender:
Robin Lehmann
Schatzmeisterin:
Anna Brede
Stellvertretender Schatzmeister:
Maximilian Klook
Registergericht:
Amtsgericht Ilmenau
Registernummer: 120483

Datenschutzerklärung
Verwaltung des Blogs
Login

Saturday, 30. January 2016

Prevent DoS attacks from a Bluecoat proxy using HAProxy

We provide shared hosting for a huge number of non-profit organizations located at our university. We have been using haproxy and multiple web-nodes for load balancing and reliability ever since our service is used by more and more organizations.

Over the last few weeks we have observed that one of our hosted websites (medienbewusst.de) regularly comes under DoS attacks. This is incredibly annoying and we have now started to investigate this issue in more detail.

All requests are generated by one or multiple-source ip address(es), which always belong to the network of a single company. The attack pattern is almost always identical: First there is a request by a well-known User-Agent (e.g. Firefox 38), which is followed by more than 1500 requests in approximately 3 or 4 minutes, to name one example. These all have the same User-Agent: "Mozilla/4.0 (compatible;)".


::ffff:1.2.3.4 - - [26/Jan/2016:14:47:55 +0100] "GET /fernsehen/20130531/programmtipps-fur-juni-2013.html HTTP/1.1" 200 70439 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:38.0) Gecko/20100101 Firefox/38.0"
::ffff:1.2.3.4 - - [26/Jan/2016:14:47:56 +0100] "GET /2015/08 HTTP/1.1" 200 58606 "-" "Mozilla/4.0 (compatible;)"
::ffff:1.2.3.4 - - [26/Jan/2016:14:47:56 +0100] "GET /cms/favicon.ico HTTP/1.1" 404 63555 "-" "Mozilla/4.0 (compatible;)"
::ffff:1.2.3.4 - - [26/Jan/2016:14:47:56 +0100] "GET /2014/03 HTTP/1.1" 200 57874 "-" "Mozilla/4.0 (compatible;)"
::ffff:1.2.3.4 - - [26/Jan/2016:14:47:56 +0100] "GET /fernsehen/20130531/medienbewusst.de%20& HTTP/1.1" 404 63583 "-" "Mozilla/4.0 (compatible;)"
::ffff:1.2.3.4 - - [26/Jan/2016:14:47:56 +0100] "GET /2014/06 HTTP/1.1" 200 58581 "-" "Mozilla/4.0 (compatible;)"
::ffff:1.2.3.4 - - [26/Jan/2016:14:47:56 +0100] "GET /2015/06 HTTP/1.1" 200 58251 "-" "Mozilla/4.0 (compatible;)"

After talking to a technician, who is responsible for one of these company networks, it turned out that the company uses proxy appliances build by Blue Coat. Their proxy seemingly prefetches the whole webpage really fast, which causes a DoS in association with the used content management system. Users in blogs and forums report that this is typical for  Blue Coat proxies and the requests can be identified by the HTTP-Header "HTTP_X_BLUECOAT_VIA" next to the User-Agent.

We now prohibit the requests on our HAProxy-Loadbalancers with the following configuration:


frontend web-1
        ...
        # Block Bluecoat proxy prefetch requests with User-Agent and special HTTP header
        acl blocked_ua hdr_sub(user-agent) -i Mozilla/4.0\ (compatible;)
        acl blocked_proxy hdr_cnt(X-BlueCoat-Via) gt 0
        use_backend blocked-proxy-ua if blocked_ua blocked_proxy
        ...

backend blocked-proxy-ua
        mode http
        errorfile 503 /etc/haproxy/errors/503_blocked_proxy_ua.txt

File /etc/haproxy/errors/503_blocked_proxy_ua.txt
HTTP/1.0 503 Service Unavailable
Cache-Control: no-cache
Connection: close
Content-Type: text/html

<html>
  <head>
    <title>503 -  Service Unavailable</title>
  </head>
  <body>
     <h1>Your request was blocked.</h1>
     The proxy you are using prefetches the whole webpage with a very high
     rate per second. To prevent this DoS attack your request was blocked.
     <br />
     Please contact your IT Administrator.
  </body>
</html>


Sources:
https://www.webmasterworld.com/search_engine_spiders/3749904.htm
http://johannburkard.de/blog/www/spam/Mozilla-4-0-compatible.html

Geschrieben von Marcel Pennewiß um 21:25 | Kommentare (0) | Trackbacks (0)
Tags für diesen Artikel: , , , , ,

Sunday, 17. January 2016

Snowbowl 2016

Das neue Ü-Wagen Design dank Mutter Natur
Fast schon Kunst an unseren Tiefgekühlten Signalleitungen
Dinge die einem sonst verborgen bleiben. Die zarte Morgenröte umschmeichelt den Ü-Wagen

Zweimal Herbst und dreimal Winter

So oder so ähnlich könnte man wohl den Wetterbericht für das Snowbowl 2016 Wochenende zusammenfassen. Schön ist jedenfalls was anderes. Aber egal ob es regnet, stürmt oder schneit Broadcast und iSTUFF lassen sich nicht von selbst gesteckten Zielen abhalten. Und so haben wir uns auch dieses Jahr dazu bereit erklärt erneut das ilmenauer Flagfootball Turnier der Roosters zu streamen. Doch anders als es zur Zeit in der Werbewelt Einzug hält bedeutet unser streamen, statt gemütlichen konsumieren auf der bequemen Couch zu Hause, ein ereignisreiches Wochenende irgendwo in Deutschland. Dieses mal sind wir aber in Steinwurfweite zum FeM Headquarter geblieben und haben es mit unserem mobilen Produktionsfahrzeug so gut wie möglich neben der Campussporthalle gemütlich gemacht.

Der Strømingfant muss mit egal ob er sich wehrt
Dafür darf er auch vorne sitzen

Die Planungs-- und Vorbereitungsphase lässt sich in diesem Jahr auf ein fröhliches "Yo wir schaffen das" zusammenfassen. Aber so mussten einige der neueren Mitglieder dies dann ad hoc am Aufbaufreitag im schnell Durchlauf erlernen. Das Setup wurde bewusst an vielen Stellen möglichst klein gehalten, da sich die Personalsuche durch den Zeitpunkt keine knappe Woche nach den Vorlesungsferien als schwierig gestaltete. Aber dennoch haben wir wie immer versucht ein paar Dinge zu verbessern. Zum Beispiel wurde die im letzten Jahr noch durch eine Fischaugige Kleinstkamera erzeugte Spielfeldtotale dieses Jahr gegen eine aus dem Fernsehen gewohnte leicht mit schwenkende Kamera ersetzt. Als Clou obendrauf wurde diese erstmals aus dem Ü-Wagen heraus ferngesteuert. Zwar bedarf es dafür aktuell noch fast so viele Kabel wie für die Restlichen Kameras zusammen, aber der Aufwand hat sich gelohnt. Der Unterschied zu einer Hand geführten Kamera war für den Streamzuschauer kaum zu bemerken. Ansonsten haben wir vor allem versucht unser selbst programmiertes System für die automatisch generierten Spielstandsanzeigen zu optimieren. Auch die durch FeM entwickelte Recording- und Schnittsoftwarelösung kam erneut zum Einsatz und half uns den Überblick über die 44 Spiele des Snowbowls zu bewahren.

Wer ist Murphy und wer hat ihn schon wieder hier ans Set gelassen?

Ein obligatorischer Blick auf die Videowall Konfiguration
Zeug zum schleppen gibt es immer noch genug
Ja der Schirm half wirklich beim Kabelverlegen
Zwischenergebnis der Aktion Remotheadmontage
Unser blauer Freund ist auch wieder mit dabei
Hochkonzentrierter Einsatz...
Hochkonzentrierter Einsatz...
KUCHEN!

Zwar könnten wir an dieser Stelle die kleinen und großen Störungen bequem unter den Teppich kehren, aber das passt nicht zu uns also hier ein grober Abriss was so alles schief gehen kann aus ganz unterschiedlichen Bereichen einer solchen Produktion:

Tausend und ein Ding was man vergessen kann wenn man einen Remotehead installiert.

Der Beschluss den Remotehead als Totalen Kamera zu verwenden war schnell gefasst, die Installation des-selbigen hatte aber ihre Tücken. Zwar sind wir im Besitz einer Schelle um das Konstrukt an Traversenrohren zu befestigen, diese war aber einfach zu klein für die Geländer in der Turnhalle. Der zweite Versuch eins der normalen Stative mit einer Metallplatte um zu funktionieren scheiterte an einer passenden Schraube. Danach wurde beschlossen das Stativ das normalerweise den restlichen Kram trägt zu benutzen. Und so wurde dieses schnell aus einen der externen Lager heran organisiert. Leider vergaß man aber das die restlichen Teile für den Zusammenbau noch wegen dem ersten Versuch im Office lagen. Nachdem diese eine gute halbe Stunde dann wieder in der Turnhalle waren der nächste Kopf-Tisch Moment. Die Kombination aus vorhanden Löchern und Schrauben passte einfach nicht und so musste erneut passender Ersatz aus dem Office beschafft werden um schlussendlich den Kran wie auf den Bildern zu montieren.

Schöne Bilder aber die musikalische Brücke fehlt

Das Recordingsystem an sich funktionierte von vornherein tadellos, auch hatten wir seit dem letzten Einsatz eine Verbesserte GUI programmiert um nun zu sehen welches Signal anliegt. Leider hilft das alleine noch nicht dagegen wenn man sich beim Routing der Kreuzschiene für den Falschen Audioembedder entscheidet. Und so geschah es das wir erst einmal eine ganze Weile ohne Ton aufzeichneten. Das alleine wäre ja noch nicht zu schlimm da wir ja immer noch eine Zweite traditionelle MAZ als Backup mit laufen lassen.

Unser Netzwerkbudda des Abends
Die neu designte Snowbowl Eventseite, jetzt auch in dunkel
Auch die anderen Kamerapositionen wurden versucht ergonomischer zu gestalten
Der Remotehead mit seiner Backuplösung
Die Quote immer im Blick
Unser Standhaftester Kameramann des Events
Durchhalten
Die Moderationskabine wie immer in luftig

Doch wie es immer so passiert kommt ein Unglück selten alleine und ausgerechnet diese hatten wir am Samstag morgen frühs um 7 vergessen zu starten. Und so gibt es die ersten vier Spiele der Veranstaltung nur als Stummfilm.

Darüber hinaus gab es nur kleiner Wehwehchen so wollte eine Zoomwippe erst nach liebevoller Behandlung mit dem Schraubenzieher wieder normal funktionieren und eine der Audiostageboxen verursachte eine gute Stunde Fehlersuche da sie schlicht in einen dem Toningenieur des Abends unbekannten Modus lief. auch müssen Wir die Signalwege zu unseren Beiden Multifunktionsarbeitsplätzen noch einmal überarbeiten da die Langen Kabellängen für die digitalen Monitorstrecken wohl zu lang sind. Aber sonst? Alles Routine? Wer den Artikel vom letzten Jahr kennt wird vermutlich den Neuheitswert vermissen an diesem Artikel. Aber so ist es nun einmal wenn sich die Arbeit der letzten Jahre auszahlt. Das meiste war sehr analog zu den letztem Jahr. Erneut fanden sich viele der Turnierteilnehmer zum Kommentieren an unsern Mikrofonen ein. Und auch die Stimmung in der Halle und im Team war wieder gut, auch dank der liebevollen Versorgung durch die Roostersorganisation. Sogar selbst mit selbst gebackenen Kuchen wurden wir belohnt. Auch konnten wir zeigen das unsere Bemühungen gewürdigt werden und wir mit ca. 100 Zuschauern ähnlich viele Menschen im Stream begrüßen durften wie zwölf Monate zuvor. Und dennoch entlockt man selbst einem so unspannend erscheinendem Tag im im Schnelldurchlauf noch eine gewisse Komik, wie das Timelapsvideo des Vormittags beweist. Und wenn auch viel Routine in allem steckt so erhält man doch auch immer wieder neue Erkenntnisse auf die kleinen und großen philosophischen Fragen. So eignen sich die Monumentalen Western Filme der 70er Jahre beim gemütlichen DVD Abend zum Ausklang des Abends optimal das Entspannen der Augen zu beschleunigen. Nach Müd kommt Blöd scheint sich als eine der universellen Weisheiten zu bestätigen. Und für uns als Filmcrew beinhaltet die Fußballweisheit "Nach dem Spiel ist vor dem Spiel" eine 14h andauernde Arbeitsaufgabe.

Aber trotz viel zu Tun, wenig Schlaf und etlichen Patzern bleibt die Faszination des Live-Streamings ungebrochen im Verein. Und der Zuspruch der Zuschauer und die anfragen anderer Vereine und Turniere gibt uns das Gefühl das das Endprodukt schon auf einen enorm hohen Niveau ist.

Das neue BiMi motivierende Tally System
Endlich Feierabend
Chaotisches aber unglaublich gemütliches Ausklingen des Abends
Geschrieben von Philipp Teutsch in Streaming um 13:29 | Kommentare (0) | Trackbacks (0)

Nikolausvorlesung 2015 - Mal wieder ein bisschen Flagge zeigen

In Ilmenau gibt es viele Veranstaltungen die sich im Laufe der Jahre als
eine Mischung aus Kult und Tradition etablieren konnten. Eins dieser
Kleinode ist die jährliche Nikolausvorlesung des Fachschaftsrats IA. Und
genauso wie die Vorlesung selber ist auch die Übertragung derselbigen
seit 2004 fester Bestandteil der vor weihnachtlichen Rituale auf dem
Campus.

Was tun? Sprach Zeus

In der Vorbereitung standen wir dieses Jahr vor einer Entscheidung:
übertragen wir die Veranstaltung wie gewohnt mit minimalen Aufwand mit
der in die Jahre gekommenen Technik des Audimaxes oder knien wir uns
noch einmal in die Arbeit und karren im wahrsten sinne des Wortes unsere
eigene Technik vor die Tür. Nach einigen Diskussionen um pro und contra
entschieden wir uns dann für die letztere Variante. Vor allem wollten
wir die Chance nutzen noch einmal Präsenz zu zeigen für unsere Arbeit.

Und so haben wir unser Betsy voll geladen mit allerlei nützlicher
Technik und dreist möglichst Auffällig vorm Humboldtbau geparkt. Um noch
mehr Blickfang zu spielen durften ein paar schummrige Lichterketten und
ein FeM Banner nicht fehlen, zu mal ja auch noch im Vorfeld der
Vereinnachtsmarkt im Foyer stattfand.

Im Setup nichts neues

Der technische Aufbau hielt sich bewusst in Grenzen da wir zum Aufbauen
und finalen Konfigurieren nur eine gute Stunde Zeit. So versuchten wir
soweit wie möglich die Kabelwege schon vorher zu verlegen
zB. in die Audimax Regie oder zum FeM Stand im Foyer.
Audio-Video seitig lief auch fast alles ohne Probleme unsere drei
Kameras und die Stagebox für die Bühnen Mikrophone und die Stereosumme
aus der Regie waren schnell eingerichtet. Einzig das im Eifer des
Gefechtes vergessene Kabel für die Rückspeisung in den Beamer sorgte für
ein paar Minuten Trubel.

Murphy strikes back

Und so sitzen wir im Wagen und warten auf den Beginn der Vorlesung. Der
Mix läuft gut. Unsere neuen Leute an Kameras und an der Audiokonsole
haben Spaß und kommen gut zurecht. Fast schon zu viel Routine mag man
meinen. Doch im Laufe der Übertragung und mit zunehmenden Publikum meint
es die Fee der Netzwerkpakete erneut nicht gut mit uns. Plötzlich klemmt
es in der Verteilkette, die den Stream zu den Leuten in aller Welt tragen
soll. In einem Fort reißen Leute die Fahrzeugtüren auf und meinen es uns
mitteilen zu müssen. Am Anfang ist das ja noch verständlich und nett,
aber nach ein paar Minuten stellen wir fest das wir in Betsy nichts
daran ändern können. Unser Hardwareencoder schaufelt die Daten eifrig
und Fehlerfrei in die Sendeinfrastruktur. Wir versuchen zwar noch unser
Bestes aber mehr als fernmündlich zu versuchen die Experten für diese
Baustelle zu erreichen bleibt uns nicht vergönnt. Wir versuchen die
Fehler bestmöglich einzugrenzen aber das ist auch schon alles, was wir
tun können. Dies und die nicht enden wollende Schar an Fehlermeldern
bestmöglich zu ignorieren, egal wie ungeschickt sie sich bei der
Bedienung einer Transportertür anstellen. Aber die Mischung aus eisig
einströmenden Winden, schwerer See und Aussetzenden Monitoren die die
Teilweise brachiale Misshandlung Betsys machen die Arbeit am Bildmischer
äußerst nervenzerrend.

Am Ende haken wir den Stream ab. Unsere IT Jungs haben ein paar
Anlaufstellen, wo das Verteilkonstrukt aktuell seine Schwächen hat und
versuchen dies zu beheben. Immerhin ist die Aufzeichnung in Ordnung. Wir
haben Bild und Ton und dies erstmalig in 16:9. Immerhin noch eine kleine
Premiere für uns bei diesem Event.

Geschrieben von Philipp Teutsch in Streaming um 13:18 | Kommentare (0) | Trackbacks (0)
(Seite 1 von 1, insgesamt 3 Einträge)
 
cronjob