Beste iedereen,

Wij hebben een klant die af en toe vanuit het niets ineens 100MBIT per seconden UDP verkeer wilt gaan doen. In het voorjaar en sinds dit weekend.

Na persoonlijk contact was de reden de eerste keer dat hij zijn server aan het compile was.

Nu dit weekend was het weer raak en na het overschrijden van zijn databundel heb ik een mail gestuurd waarop ik geen reactie had gehad, bij telefoon kreeg ik de voicemail. Na het uitzetten van de uplinks heeft hij na een half uur boos gebeld en uiteindelijk een extra datapakket van 1TB afgenomen. "Voor hem was het geen probleem, en als hij weer op zijn limit zou zitten kon er gewoon 1,2,3,4 TB bij." Ook als ik in financiële problemen zou zitten bij mijn leveranciers zou hij dit oplossen. Maargoed om verder te gaan ging het dit keer om "E-mail backups".

Nu is de klant vandaag weer begonnen met het pompen van 100mbit data en ben ik samen met mijn provider op onderzoek uit gegaan. Het gaat dus om ICMP inkomend verkeer en een UDP reply naar 1 Bepaalde IP die gehost wordt door XLhost.com (onderdeel van EE.net). Wanneer het desbetreffende IP adres genulroute is gaat het data gewoon door. Wat naar mijn mening dus een DDOS is.

Wanneer ik de klant af ga sluiten wil ik er natuurlijk zeker van zijn dat het om illegale handelingen gaat en dat ik daarom in mijn recht sta, zodat de klant geen mogelijk heeft tot een rechtzaak (waar die zaterdag al mee heeft gedreigd na het offline zetten van de uplinks). Daarom heb ik dus XLhost gemailt en de voicemail ingesproken.

Nu is mijn vraag, wie heeft dit soort verkeer en klanten eerder mee gemaakt en hoe heb je dit opgelost?

Blokkeer het betreffende IP in je switch/firewall?, en kijk eens wat er dan gebeurd. Als er gewoon een ander IP wordt gepakt zou ik de klant gewoon op grond van de AV afsluiten

meer dan 10Mbps udp is zowiezo verdacht, tenzij je klant streaming stuff doet

meer dan 10Mbps udp is zowiezo verdacht, tenzij je klant streaming stuff doet

Of NFS.

Waarom capture je niet wat van het verkeer met een packetsniffer ? dan kan je meteen zien of het OK is wat hij stuurd.

Of NFS.

Maargoed als die disk 80GB groot is zal dat niet een dataverkeer opleveren van 400GB +

Bedankt voor de reacties, de klant/server had kort na de nullrouting een IP gepakt uit NL dus het was voor mij wel duidelijk dat het om een DDOS ging. Heb daarom ook verdere stappen ondernomen.

Ik ben wel benieuwd hoe het afloopt, kan je ons op de hoogte houden?
(hebben andere mensen dan ook wat aan als ze ooit zoiets mee moeten maken)

Ik zou zelfs de politie er bij halen. Het bewust toebrengen van schade aan derden is een misdrijf.

Ik zou zelfs de politie er bij halen. Het bewust toebrengen van schade aan derden is een misdrijf.

Daar hebben we inderdaad aan gedacht en zullen we ook gaan doen. Weet iemand anders nog een instantie die dit kan behandelen?

Ik had er eerst een packetsniffer tussen gegooid zoals eerder werd gesuggereerd. Je zal met harde feiten aan moeten komen wil je conform je AV de klant offline zetten (tenzij je hele aparte clausules hanteert).

Daarnaast mocht je verdere stappen willen ondernemen moet je nog kunnen aantonen dat hij persoonlijk verantwoordelijk is geweest voor deze aanvallen. Kortom, zorg dat die server ongewijzigd blijft.

Ik had er eerst een packetsniffer tussen gegooid zoals eerder werd gesuggereerd. Je zal met harde feiten aan moeten komen wil je conform je AV de klant offline zetten (tenzij je hele aparte clausules hanteert).

Daarnaast mocht je verdere stappen willen ondernemen moet je nog kunnen aantonen dat hij persoonlijk verantwoordelijk is geweest voor deze aanvallen. Kortom, zorg dat die server ongewijzigd blijft.

We hebben contact opgenomen met de ontvangende partij waarbij het duidelijk is dat het om een DDOS ging. Dus het lijkt me duidelijk dat het hier om ongewenst schade toebrengen aan ons en aan derde gaat. Zeker ook vanwege de uitlatingen die de cliënt hierover heeft gedaan.

Ik denk dat Savvas bedoeld dat je eerst héél zeker moet weten dat het ook jullie klant is die de desbetreffende DDOS heeft uitgevoerd. De server kan namelijk ook onderverhuurd of gehackt zijn. Anders ga je dadelijk stappen ondernemen tegen de verkeerde persoon.

Ik denk dat Savvas bedoeld dat je eerst héél zeker moet weten dat het ook jullie klant is die de desbetreffende DDOS heeft uitgevoerd. De server kan namelijk ook onderverhuurd of gehackt zijn. Anders ga je dadelijk stappen ondernemen tegen de verkeerde persoon.

Ik weet wat Savvas bedoeld, maar ik heb persoonlijk contact gehad met de klant en het was duidelijk dat hij wist waar hij mee bezig was. Het is al meer voorgekomen namelijk.

// Edit

En we zullen uiteraard de hdd bewaren voor nader onderzoek.

Als het overduidelijk is dat de klant weet waar hij mee bezig is zou ik inderdaad ook zo snel mogelijk (gerechtelijke) stappen ondernemen. In ieder geval zal ik alle gegevens (dus inderdaad ook de harde schijven) goed bewaren en ervoor zorgen dat je met concreet en goed bewijs kan komen.
Dus eerst goed en concreet bewijs -> dan aangifte gaan doen en / of stappen gaan ondernemen.