Vanuit een LAN-party organisatie (stichting) heb ik een website draaien bij Nimio (in bezit van Sity Hosting / Aleto).

Deze website (of het domain) is de afgelopen 2 weken een aantal keren ge-DDoS'ed (via HTTP); momenteel is de derde DDoS-sessie aan de gang, die nu al meer dan 24h duurt.

Nu heeft Sity Hosting het complete (Direct Admin) account maar uitgezet, het enigste wat nog te zien is, is een suspended page:


This account has been suspended.
Either the domain has been overused, or the reseller ran out of resources.
Er is dus ook geen FTP/E-mail of DirectAdmin meer mogelijk voor dit account.

Na meerdere malen contact gehad te hebben met Sity Hosting lijken ze geen oplossing te kunnen bieden; ze willen niet eens de suspended page aanpassen.


Mijn vraag aan jullie: Is dit correct handelen van de hoster? Zouden ze een oplossing moeten zoeken of kunnen ze het gewoon laten bij zo'n suspended page?

Ik vind het wel correct, of wil je net als iemand anders op dit forum de rekening betalen?

Waarschijnlijk is je account suspended omdat je over het dataverkeer heen bent gegaan, niet omdat je geddosed bent... Maar van dossen krijg je een enorm verbruik in je dataverkeer.
Mits Aleto in hun AV hebben staan dat je account suspended word als je over het dataverkeer heen bent gegaan handelen ze zeker correct.

Bij het account staat het aantal dataverkeer op unlimited. De hoster heeft ook aangegeven dat ze het account hebben uitgezet vanwege de DDoS.

(stats van afgelopen week trouwens: http://cc-tv.nl/etc/zomg.png)

Is gewoon correct handelen, suspend bij overusage is volgensmij ook standaard op een DirectAdmin platform. Kan natuurlijk ook zijn dat de server teveel cpu/mem/io resources trok.
Je kunt altijd vragen of ze de site even unsuspended zodat je zelf een static html pagina kunt plaatsen.

Gewoon coreect hoor. wij hadden vrijdagnacht ook een account welke lekker 10Mbit extra stond te trekken.
Beter plat legggen dan niets doen en later de rekening ontvangen.....

Gewoon coreect hoor. wij hadden vrijdagnacht ook een account welke lekker 10Mbit extra stond te trekken.
Beter plat legggen dan niets doen en later de rekening ontvangen.....

Ik dacht dat de ddos dan nogsteeds naar de switch toekomt en dat de netwerkboer er problemen mee blijft hebben?

Ik dacht dat de ddos dan nogsteeds naar de switch toekomt en dat de netwerkboer er problemen mee blijft hebben?

IP nulrouten in de DNS servers :)

IP nulrouten in de DNS servers :)

My god. Kan je me even uitleggen wat je hiermee bedoelt, en hoe je dit zou doen? :)

Valt me uberhaupt al op dat 6000 bezoekers helemaal niet zo heel veel is, en een goeie server dit makkelijk moet kunnen verdragen.

@ Geert-Jan:
Dit is een hele goeie mogelijkheid, alleen gaat het hier om een shared hosting account (denk ik) dus shared ip. Ten eerste kan de topic starter daar al niets mee, want dat zal toch echt de hoster (manager van het betrefte IP) moeten doen.

Ook zou je aan de hoster kunnen vragen of hij hier verder onderzoek na wil doen, want er zijn zat mogelijkheden om dit te ontlopen. Apache heeft genoeg mod's om HTTP attacks te weren.

Ook zou de hoster de maximaal aantal connection/seconde een stuk omlaag kunnen zetten in zo wel de apache.conf als op de betrefte machine.

Mijn vraag aan jullie: Is dit correct handelen van de hoster? Zouden ze een oplossing moeten zoeken of kunnen ze het gewoon laten bij zo'n suspended page?

Wij kunnen echt niet bepalen of dit een correcte oplossing is, dit is volledig aan het bedrijf waar je host. Wij verzinnen de voorwaarden niet.

Deze vraag moet je dus stellen aan je host. Deze vinden dit vast en zeker correct, aangezien ze dit hebben toegepast.

Het is de hoster niet verplicht de standaard suspend pagina aan te passen naar een tekst dat de website momenteel wegens ddos of onderhoud niet bereikbaar is.

Wel vindt ik dat de hoster hier indien mogelijk in mee zou moeten helpen, echter dit is mijn gedachten.
Dit wil niet zeggen dat andere hosters daar ook zo over zouden moeten denken.

Nulrouten is mogelijk, echter zal het hier niet gaan om 1 ip adres maar om honderden ip adressen die op basis van http protocol aan het ddossen zijn.
Uit ervaring weet ik dat men als hosters hier dagen mee bezig kan zijn, dit alleen maar om nieuwe ip's te traceren en te blokeren en weer van af voor af aan beginnen.

Het is 'inmiddels' weer opgelost. Achteraf gezien had de downtime van ruim 36 uur gemakkelijk verkomen kunnen worden.

Omdat de hoster het directadmin account had uitgeschakeld kon ik zelf niet meer bij de logs, als ik er wel bij kon komen dan had ik heel snel de oorzaak kunnen aanwijzen.

Wat nu blijkt is dat een WMV-video die gehost is op het account waarschijnlijk ge-embed is op een (populaire) amerikaanse site. In de logs zijn talloze entries terug te vinden met amerikaanse IP's die dezelfde WMV-video requesten met de HTTP-agent "NSPlayer" (Windows Media dus).

Als de hoster dus eventjes naar de logs had gekeken, dan had de downtime gemakkelijk verkomen kunnen worden. En sprake van een DDoS? Helemaal niet...

Niet zo netjes van de host inderdaad.. als het meerdere malen voorkomt kan men op zn minst even de logs nakijken.

Ze hoeven het natuurlijk niet te doen, maar het zou wel netjes naar jou toe zijn :)

My god. Kan je me even uitleggen wat je hiermee bedoelt, en hoe je dit zou doen? :)

Je kunt het normale A record in de DNS die naar je eigen server wijst, vervangen voor bijvoorbeeld 127.0.0.1. Mensen die dan op domeinnaam verbinding maken komen niet meer op de webserver uit, maar op hun eigen machine. Je website is dan onbereikbaar, maar andere klanten op hetzelfde IP blijven wel gewoon hun website houden, en ook je router heeft er verder geen last van.

Een DDOS is echter vaak op IP in plaats van op domeinnaam, en dan heeft het geen effect.

Je kunt het normale A record in de DNS die naar je eigen server wijst, vervangen voor bijvoorbeeld 127.0.0.1. Mensen die dan op domeinnaam verbinding maken komen niet meer op de webserver uit, maar op hun eigen machine. Je website is dan onbereikbaar, maar andere klanten op hetzelfde IP blijven wel gewoon hun website houden, en ook je router heeft er verder geen last van.

Een DDOS is echter vaak op IP in plaats van op domeinnaam, en dan heeft het geen effect.

Weinig nut als de DDOS machines gebruikmaken van DNS server met gefixeerde onbeperkte TTL waarde, of eigen aangepaste hosts bestand hebben.

Weinig nut als de DDOS machines gebruikmaken van DNS server met gefixeerde onbeperkte TTL waarde, of eigen aangepaste hosts bestand hebben.

Dat zeg ik, voor een DDOS heeft het weinig effect. Als een server onderuit dreigt te gaan zoals in het geval van de TS, dan blijven de overige websites echter wel gewoon bereikbaar, en hebben ook je routers geen last van het verkeer. Je domeinen een onbeperkte TTL geven lijkt mij verder niet echt slim.