PDA

Bekijk Volledige Versie : Provider wil kosten doorberekenen na DDoS aanval?



Martijnk
21/06/11, 16:52
Excuses als dit niet het juiste forum is voor mijn vraag, maar aangezien ik colocate dacht ik ik plaats mijn topic hier.

Ik heb dus twee servers ondergebracht bij een host provider. Niks bijzonders, twee linux servers waarvan ééntje gameserver en de ander de database server / website ten behoeve daarvan. Draait nu al een jaartje of anderhalf / twee.

Nu heeft dit altijd als een zonnetje gedraaid, totdat mijn servers na een tijdje bovenaan stonden in de ranking op verschillende websites en blijkbaar de verkeerde aandacht begonnen te trekken.

Toen begon iemand (geen idee wie, IP's kwamen vooral uit Japan en China) ineens een ddos aanval op beide servers. Deze heeft een week of twee aangehouden en de provider (en mij ook uiteraard) erg veel last bezorgd. Ik heb oa. van IP's moeten switchen omdat deze genulroute werden en heb er twee weken uitgelegen.

Nu staat er in de policy van mijn hoster dat je niks mag doen wat een aanval kan uitlokken. Dat snap ik goed maar dat heb ik ook helemaal niet gedaan, ik draai die servers puur hobbymatig meer niet en zoek helemaal geen aanval op ofzo maar ik begrijp dat gameservers ook fout publiek trekken, mensen die zich misdragen bijv. vervolgens gebanned worden en een wraakaktie beginnen maar ik ben me van geen kwaad bewust.

Nu wil de provider mij 3 uur arbeidsloon doorbereken, totaal 160 euro voor het filteren van de aanval. Hun voorwaarden zeggen hier helemaal niks over en downloadverkeer is volgens hun website gratis.

Ik moet nog in discussie met mijn provider maar wil graag jullie mening horen hierover. Mijn provider gaat waarschijnlijk zeggen dat het veel meer heeft gekost dan die 160 euro en dat hij me matst, dus heb ik een punt dat ik niet wil betalen of moet ik niet zeuren en gewoon het geld overmaken?

Ik ben bang als ik betaal dat hij dan volgende keer weer een reden heeft om mij extra te laten betalen terwijl het niet eens aan mijn server is gerelateerd maar ik dat toch niet kan bewijzen.

Sorry voor het lange verhaal! Alvast bedankt!

Thijsvdbrink
21/06/11, 17:02
Alvast een hint:
Als je provider je er 2 weken uit laat liggen vanwege een Ddos, dan is het een prutser, en moet je maken dat je daar wegkomt.
160,- voor 3 uur is trouwens niet veel geld, maar hoeveel betaal jij per 2 weken hosting?

Ik denk dat je hoster het ook niet erg vindt als je bij hem weggaat. ;-)

Martijnk
21/06/11, 17:07
Dank voor de reactie.

Ik betaal niet veel, iets van 120 euro per maand. En wat betreft weggaan, dat heb ik hem zelfs aangeboden na die ddos dat het misschien beter is als ik een andere host zoek. En toen zei hij nee hoor wat ons betreft hoef je niet weg en vervolgens krijg ik nu een rekening.

Het incident was trouwens al een maand of twee geleden gebeurd.

Naja wellicht is hij van gedachten verandert en wil ie me toch weg hebben door nu die rekening te sturen, maar dat kan hij toch ook gewoon zeggen dan?

pierce
21/06/11, 17:17
Ik zou beginnen met een backup maken (als je dat nog niet hebt gedaan...) voordat de zaak escaleert ;) Het zal niet de eerste keer zijn dat zaken compleet uit de hand lopen...
Je zou even contact kunnen opnemen met een jurist(maar ik denk niet dat je voor € 160,- klaar bent ;) ), en als je het niet vertrouwt snel de backup meenemen naar een nieuwe leverancier.

Martijnk
21/06/11, 17:46
Naja ik denk niet dat de zaak zal escaleren, buiten dit incident is het wel een geschikt bedrijf. En backups maak ik altijd ik heb al een keer een harddrive crash gehad ;)

Bart L
21/06/11, 18:10
Dan zou ik een voorstel doen om de boel te splitsen, en dit snel te vergeten.

Axel Polfliet
21/06/11, 18:16
Waarom gaat iedereen hier van het slechtste uit, en waarom nu opeens back-ups maken. Laten we beginnen met het volgende: Het is altijd belangrijk dat je een offside backup hebt, als je gegevens op servers hebt staan waarvan je niet wilt dat je deze bij een conflict/failure of iets dergelijks kwijt wilt raken. In de jaren dat ik dit doe heb ik nog nooit een klant bij een DDoS kosten doorberekend. Wel heb ik wel eens een klant verzocht te vertrekken omdat het keer op keer raak was.

Ga met je provider in gesprek, jullie hebben +/- 2 jaar een zakelijke relatie. Wijs hem op het feit dat jij hier ook slachtoffer van bent geworden en bespreek deze kwestie met hem. Laat hem beargumenteren waarom hij jou deze kosten in rekening brengt en als het om een redelijke partij gaat en om een redelijk persoon dan bestaat er een zeer goede kans dat je eruit kan komen.

Een DDoS overkomt de beste wel eens en ik weet zeker dat je provider hier op een redelijke wijze over wilt praten, zolang je dit op een goede manier brengt en openstaat voor de argumenten van je provider.

OFF: Ja, ik irriteer me aan de manier waarop mensen hier altijd van het meest negatieve uitgaan. TS vraagt advies en hem dan blind te adviseren alles te backuppen en zich op het ergste voor te bereiden getuigd wel van een hele grote plank voor je kop. Sorry, maar het moest er even uit.

Yourwebhoster
21/06/11, 21:03
Waarom gaat iedereen hier van het slechtste uit, en waarom nu opeens back-ups maken. Laten we beginnen met het volgende: Het is altijd belangrijk dat je een offside backup hebt, als je gegevens op servers hebt staan waarvan je niet wilt dat je deze bij een conflict/failure of iets dergelijks kwijt wilt raken. In de jaren dat ik dit doe heb ik nog nooit een klant bij een DDoS kosten doorberekend. Wel heb ik wel eens een klant verzocht te vertrekken omdat het keer op keer raak was.

Ga met je provider in gesprek, jullie hebben +/- 2 jaar een zakelijke relatie. Wijs hem op het feit dat jij hier ook slachtoffer van bent geworden en bespreek deze kwestie met hem. Laat hem beargumenteren waarom hij jou deze kosten in rekening brengt en als het om een redelijke partij gaat en om een redelijk persoon dan bestaat er een zeer goede kans dat je eruit kan komen.

Een DDoS overkomt de beste wel eens en ik weet zeker dat je provider hier op een redelijke wijze over wilt praten, zolang je dit op een goede manier brengt en openstaat voor de argumenten van je provider.

OFF: Ja, ik irriteer me aan de manier waarop mensen hier altijd van het meest negatieve uitgaan. TS vraagt advies en hem dan blind te adviseren alles te backuppen en zich op het ergste voor te bereiden getuigd wel van een hele grote plank voor je kop. Sorry, maar het moest er even uit.

Je kan je er aan irriteren en niet vertellen wat de providers in het ergste geval kunnen doen of alvast waarschuwen en als het gebeurt dan heb je in ieder geval je data. Het kan heel goed gebeuren, dus waarom niet waarschuwen?

Ik zou maar wat blij zijn als ik daar zelf niet aan gedacht had en mijn server ligt plat....

Thijsvdbrink
22/06/11, 10:25
@Axel,
De hoster heeft 2 weken downtime nodig om het probleem te verhelpen, en stuurt dan 2 maanden later een rekening die niet op een SLA of algemene voorwaarden is gebaseerd.
Dat is een hint.
Als het mijn server was, ging ik er niet vanuit dat het allemaal wel goed komt, een beetje systeembeheerder gaat altijd uit van de wost-case scenario. Hoort bij het vak. ;-)

maar, praten is altijd goed.

drex
22/06/11, 10:37
Niet gelijk zomaar laten escaleren, zorgen dat partijen eruit komen is veel wijzer en voor alle partijen goed. Het simpelweg maar met een botte bijl hakken zal zeker geen oplossing(en) brengen. Verder weten wij niet veel (genoeg meer details) van de situatie af die er tussen partijen zou spelen....dus om gelijk te gaan roepen "dat het een prutser is en dat je moet maken dat je daar weg komt" is een beetje over de edge.
Drex

ichat
22/06/11, 16:50
ik wilde toch nog even reageren... want er zijn nog wel een paar dingetjes die ik in dit hele verhaal mis...


je geeft aan dat je een colo situatie hebt, voor +/- 120 per maand, - daaruit maak ik toch wel iets op over je gekozen oplossing..

ik heb zowiso het idee, dat je 'vergeten' bent om zo iets als een applience af te nemen met een ddos preventie ... - dat is natuurlijk prima maar daardoor loop je wel het risico dat je bepaalde vormen van ddos niet al vooraf kunt afslaan... (zo'n applience werkt natuurlijk niet bij alle vormen en varianten, - maar het is wel een psychologisch grapje - zo is er hier op het forum wel te lezen.. - dus als de lol er snel vanaf is zullen ze er eerder mee ophouden - en zal het dus minder kosten...

in plaats daarvan heb je niet gekozen voro een automatisch systeem, waardoor je in feite nu op eigen risico het handmatig hebt laten oplossen - dat kost geld...

anderzijds, - als zij het niet vooraf duidelijk maken wat er wel en niet onder je SLA valt, dan hebben ze eigenlijk geen recht van klagen nu... - dat geeft je dus ruimte om te onderhandelen...

in jouw situatie zou ik nu overwegen, om bij een tegenbod te doen van 2/3 van hun voorstel, en daarbij aangeven dat dit niet in de SLA staat en je dus eigenlijk uit coulance wilt meebetalen aan dit fillasco..
maar dat bijv de voorwaarde van betalen wel is, dat er betere voorwaarde (moeten) worden onderhandeld, voor eventuele volgende keren...

ik denk dan aan afspraken over - wat is stap een, (null routen?) welke uptime garantie gaat er dan spelen (valt een ddos daarbuiten of juist niet), binnen hoeveel uur moet zo'n grapje opgepakt worden, en dus vooral tegen wel tarief (liefst een all in one tarief), gaat dat worden opgelost...

je zou bijv kunnen zeggen, dat je berijd bent om de volgende keer weer 160 neer te tellen, maar alleen als het probleem binnen 48 ?? uur is opgevangen...

of juist dat je maar 100 wilt betalen - maar dat het dan wel een week mag duren... laat dit dan voor beide partijen vooral een helder leer-moment zijn...

en over die backups ... die moet je altijd maken, - maar echt niet in het bijzonder nu je drijgt weg te moeten... - zorg voor een heldere instek, en geef in een gesprek (als het even kan persoonlijk) gewoon eerlijk jouw standpunten aan... je kunt dat bod van 160 altijd nog aanemen als hij (naar jouw idee) met goede argumenten op de proppen komt...

maar zet in ieder geval in op een goede SLA... en laat hem / haar ook vooral aangeven wat realistisch is ... en geef eventueel aan dat je de uitkomst van je gesprek (en het definitieve voorstel) eerst 'op dit forum' wilt bespreken... - ene goede en betrouwbare host zal daar vast geen moeite mee hebben als je je eerst wilt laten voorlichten... daar is niets mis mee..

WH-Tim
25/08/11, 14:26
Ik vind 160 geen geld, zeker niet: wetende dat een DDoS vaak duizenden euros directe schade veroorzaakt. Je mag nog van geluk spreken dat je geen rekening van duizenden euros ontvangen hebt. Niet zeuren en gewoon betalen.

ionline
09/10/11, 13:44
aan de andere kant, waarom vangt de ISP dit niet af in haar netwerk? Die kan bepaalde tresholds in haar routers opnemen om zo dergelijk verkeer te herkennen en te blocken of iig. te signaleren.

The-BosS
09/10/11, 19:24
aan de andere kant, waarom vangt de ISP dit niet af in haar netwerk? Die kan bepaalde tresholds in haar routers opnemen om zo dergelijk verkeer te herkennen en te blocken of iig. te signaleren.

Laten we de 100 posts halen.

Maar hoe wil je dat aan een ISP weet wanneer het over een DDoS gaat, voor de ene is 20mbit misschien al een DDoS waar het voor de andere bij 200mbit nog normaal verbuik is. Langs de andere kant biedt de provider het misschien aan tegen een meerprijs maar beslist de klant zelf om het niet te nemen. Maar simpel weg zeggen de ISP moet het maar opvangen is niet zo simpel als het lijkt.

ionline
09/10/11, 20:05
Dat is waar maar als een bepaald IP adres "ineens" een grote hoeveelheid data genereert en daarmee een verbinding voor percentage x belast lijkt dat op DDoS (of DoS) slimme routers (of een lokale firewall) herkennen dergelijk verkeer en kunnen hiertegen optreden. De ISP is niet verantwoordelijk maar de meesten bieden hier wel mogelijkheden voor.
Die 160,- is in mijn ogen een schijntje. Mijn ISP rekent dit per uur vrees ik. Ik zou afrekenen en kijken hoe je dit kunt voorkomen

The-BosS
09/10/11, 20:28
Dat is waar maar als een bepaald IP adres "ineens" een grote hoeveelheid data genereert en daarmee een verbinding voor percentage x belast lijkt dat op DDoS (of DoS) slimme routers (of een lokale firewall) herkennen dergelijk verkeer en kunnen hiertegen optreden. De ISP is niet verantwoordelijk maar de meesten bieden hier wel mogelijkheden voor.

Dan nog kan je niet weten of het een DDoS is of niet (tenzij het om bepaalde protocols gaat alla ping etc). Maar stel dat je een reclame campagne hebt als klant en die blijkt aan te slaan en plots verbruik je ipv normaal 1mbit traffic ineens 150mbit, is het dan een DDoS?

IT-worX
09/10/11, 22:47
Het zal jouw hoster waarschijnlijk wel meer dan 160 euro gekost hebben. Maar toch ben ik het eens met wat hier reeds staat : ga met jouw isp in gesprek. Dat je een deel wilt betalen (of zelfs het gehele bedrag) maar dat je daarvoor wel iets terug wilt. Zoals
- voorwaarden die opgenomen worden in de AV betreffende DDOS en de prijzen hiervan
- Maximale tijd om een ddos om te sturen/nullrouten
- ...

Apoc
10/10/11, 19:15
Alvast een hint:
Als je provider je er 2 weken uit laat liggen vanwege een Ddos, dan is het een prutser, en moet je maken dat je daar wegkomt.

Dat is wel erg kort door de bocht. Als het om budget servertjes gaat en een grootschalige aanval, dan lijkt het mij vrij logisch dat de IPs genullroute blijven zo lang die aanval aanhoudt.

Er wordt in ieder geval veel te weinig informatie verstrekt om te kunnen concluderen dat de host in kwestie een prutser is.

Alexander
11/10/11, 17:24
.... en plots verbruik je ipv normaal 1mbit traffic ineens 150mbit, is het dan een DDoS?

Als 150 mbit "normaal" verkeer een netwerk omver trekt wordt het tijd een andere provider te gaan zoeken. Hooguit dat je server het niet trekt, maar daar heb je zelf invloed op. De core switches moeten die 150mbit normaal verkeer makkelijk kunnen hebben.

The-BosS
11/10/11, 17:57
Als 150 mbit "normaal" verkeer een netwerk omver trekt wordt het tijd een andere provider te gaan zoeken. Hooguit dat je server het niet trekt, maar daar heb je zelf invloed op. De core switches moeten die 150mbit normaal verkeer makkelijk kunnen hebben.

Leer eens begrijpend lezen, het ging er om dat firewall en/of providers zelf preventief kunnen ingrijpen. Daarom vertelde ik hoe kan een provider (ISP) weten als je plots van 1mbit naar 150mbit gaat door bvb goede reclame campagne of iets anders dat het een DDoS aanval is of niet.

Alexander
11/10/11, 18:41
Ach, zal je wel verkeerd begrepen hebben dan. Echter moet een provider prima kunnen zien als het om een ddos gaat of gewoon regulier verkeer, en aan de hand daarvan wel of niet actie ondernemen.

Zou wat zijn trouwens als ze je server disconnecten na een succesvolle marketing actie omdat ze denken dat het een ddos is. Moet spontaan aan het woord "schadeclaim" denken.

The-BosS
11/10/11, 19:05
Ach, zal je wel verkeerd begrepen hebben dan. Echter moet een provider prima kunnen zien als het om een ddos gaat of gewoon regulier verkeer, en aan de hand daarvan wel of niet actie ondernemen.

Zoals eerder gesteld kun je dit tot op een bepaald niveau zien, maar niet als het bvb om http verbindingen gaan die uit verschillende ip adressen afkomstig zijn. Denk je dan als ISP dat het om een botnet gaat die een DDoS aanval uitvoert of niet. Het is niet dat elke je klant je op voorhand gaat e-mailen met wat zijn plannen zijn in verband met reclame campages of andere zaken.


Zou wat zijn trouwens als ze je server disconnecten na een succesvolle marketing actie omdat ze denken dat het een ddos is. Moet spontaan aan het woord "schadeclaim" denken.

Dat was dus het punt dat ik wilde maken, sluit je ISP je preventief af omdat hij denkt dat het om een DDoS gaat als je plots 100x meer verkeer hebt dan normaal. Of doet de ISP echter niks en laat het op zijn beloop tot de klant zelf contact opneemt. Hoe dan ook welke keuze je maakt zal de klant toch altijd een reden vinden om te klagen/zagen, sluit je hem af is het van mijn server werkt niet meer en ik verlies nu inkomsten. Sluit je hem niet af is het van mijn provider doet zijn werk niet goed want ik heb een DDoS. Wat echter wel een optie kan zijn is dat ISP je opbelt en de situatie aan je uitlegt en dan handelt naar de wensen van de klant. Maar dat zul je bij het low budget segment niet vlug tegenkomen denk ik (personeel en monitoring kost immers ook geld).

systemdeveloper
11/10/11, 19:31
Een (D)DOS is gewoon alles wat je server verhindert om zijn dienst te vervullen.
Maakt niet uit of het een superdure marketing campagne van de klant is, een leger scriptkiddies of een rot scriptje.

Maar meestal zal een klant niet standaard tot een bepaalde max traffic gelimiteerd worden of hier afspraken over maken met zijn hosters, vrees ik.