Hallo,

Sinds vannacht 2:10 heb ik ineens 60 a 99Mbit doorvoer ( http://mrtg.pcextreme.nl/sw01_1.html )

Vannacht was het gehele Hostlab netwerk slecht bereikbaar, wat voor mij wees op een grote DDoS.

Rond 2'en was het zo erg dat ik de switch niet eens zonder time-outs kon bereiken.

Meer mensen hier last van gehad? ( Ik heb Hostlab al gemaild, maar wil niet direct gaan schreeuwen dat er een DDoS was, daarom dit topic )

Die MRTG statistieken zijn van jou switch, dat betekent dat NAAR JOU switch toe zoveel verkeer word gegenereerd? Dus ligt dat aan jou lijkt mij? Het is jou switch die zoveel verkeer trekt.
Ik trace naar Hostlab:
Alles normaal. Normale ping

Ik trace naar pcextreme:
ook normaal.

Geen hoge pings dus.
Lijkt mij wel een DDOS, jij moet toch kunnen zien naar welke server van jou dit verkeer gaat?

Ja, ik wilde ook niet direct gaan schreeuwen.

TCPdump wijst weinig uit, geen rare paketten oid.

Het rare was dat toen ik poort 1 op de switch uitzette, had ik nog steeds 99Mbit doorvoer volgens de hostlab stats (ook na 15 minuten) terwijl mijn switch aangaf dat er geen verkeer meer was.

Al dat verkeer ging richting poort 1 op de switch.

Misschien refreshen de Hostlab stats pas later (crontab anders ingesteld?) en is die doorvoer er niet meer.
Ik zou gewoon op jou switchstatistieken vertrouwen.

Uhh, je kan wel degelijk zoveel traffic hebben ondanks het niet voor jouw bedoeld is, als je een host hebt die die plat gaat, dan krijg je al die arp pakketen met de vraag wie nou wie is.

Ik ben er nu achter, we ontvangen een DDoS vanuit Hong Kong.

Het gaat nu nog steeds door met 60Mbit.

Ik heb al contact op genomen met abuse@dieprovider.com, nu maar hopen dat ze er tegen optreden.

Is het niet wat handiger om hun IP range te blokken tot je antwoord heb van die provider uit Hong Kong?

Daar ben ik inmiddels ook mee bezig.

Misschien stomme vraag van mij.. Maar kost dit niet gigantisch veel geld? Misschien dat ik de statistieken niet goed uitlees, maar het lijkt erop dat je al rond de 350 GB dataverkeer hebt gehad. Dat gaat toch zeker iets van € 150,00 euro kosten?? En elk uur nog eens € 10,00 euro ofzo?

Origineel geplaatst door MediaCreations
Misschien stomme vraag van mij.. Maar kost dit niet gigantisch veel geld? Misschien dat ik de statistieken niet goed uitlees, maar het lijkt erop dat je al rond de 350 GB dataverkeer hebt gehad. Dat gaat toch zeker iets van € 150,00 euro kosten?? En elk uur nog eens € 10,00 euro ofzo?
Niet percée hij betaalt een deel, want het zal 95% zijn, dus 36 uur van de maand word weggefilterd.

Jup, 95% methode, mogen dus even bursten.

Origineel geplaatst door Wido
Jup, 95% methode, mogen dus even bursten.

ja maar elk uur is nu wel teveel in feite, als je deze maand nog een paar keer goed gepakt wordt heb je wel een probleem.

Dat klopt ja, maar dat is nu het hele vervelend aan een DDoS, je doet er weinig aan.

Overigens gaan we maandag even in gesprek met Hostlab over dit soort kwesties.

Origineel geplaatst door Wido
Dat klopt ja, maar dat is nu het hele vervelend aan een DDoS, je doet er weinig aan.

Overigens gaan we maandag even in gesprek met Hostlab over dit soort kwesties.

heb je ddos op 1 ip of over meerdere, anders gewoon betreffende null route.

Heb hem op 1 IP waar meer dan 500 websites op draaien, mijn loadbalancer ontvangt namelijk een DDoS.

Hij komt uit de 210.6.x.x range, welke uit Hong Kong blijkt te komen zoals al gezegt.

Het zijn random IP's uit die range.

Uit voorzorg is die hele range nu tijdelijk geblokkeert.

Dus als deze DDOS niet snel gestopt wordt bij de provider waar hij vanaf komt is het de keuze tussen òf dat ip inclusief alle sites tijdelijk null routen òf de DDOS door laten gaan inclusief een gigantisch opgelopen rekening?

Ja, dat is dus eigenlijk het enige wat er op zit.

Maarja, 531 websites (net getelt) down halen is iets wat ik niet graag doe.

Maar een fikse rekening hebben we als bedrijf ook geen zin in.

Erg slechte "uitvinding" die DDoS....

No offence, maar dan is een loadbalancer dus ook niet bijzonder briljant... Als dit de consequentie is van de loadbalancer.

Dan kun je beter voor die round robin DNS gaan en de server met dat ip adres nullrouten.

Origineel geplaatst door S2S-Robert
No offence, maar dan is een loadbalancer dus ook niet bijzonder briljant... Als dit de consequentie is van de loadbalancer.

Dan kun je beter voor die round robin DNS gaan en de server met dat ip adres nullrouten.


Nu heeft ie wel het voordeel als een server down is niet zoveel percent van zijn zooi plat ligt door die round robin dns...

Als je provider nou een beetje meewerkt en het source-ip nullroutes. en/of LAAT nullrouten door zijn carriers.

Ja, daar wacht ik dus nog op.

Het verkeer komt nog steeds binnen.... Wel gezakt naar 50Mbit overigens.

Krijg je Hostlab niet te pakken? Waanzin dat die ddos zo lang moet duren...

Ik heb Hostlab zojuist weer gemaild, of ze de 210.6.x.x range kunnen blokkeren (daar komt het uit namelijk)

Origineel geplaatst door Wido
Ik heb al contact op genomen met abuse@dieprovider.com, nu maar hopen dat ze er tegen optreden.

abuse werkt meestal niet mee, of reageert hardstikke laat, je moet hun aandacht trekken, ga eens met je overige bandbreedte mailen 50Mbit contstant mail heen sturen wekt vast wel de aandacht :W:, doe dit tevens niet via je smtp server, connect naar hun mail server en verstuur naar hun adres, op die manier mag je relayen op hun server ;)

Je provider heeft toch wel een technisch NOOD-nummer???

24/7 bij stotingen lijkt mij een vereiste!

Valentino, nee, zo ver ik weet niet.

Ik moet altijd RedBus bellen als er iets is, dan bellen zei Hostlab

@Mikey, slecht idee, dan DDoS ik terug...

Origineel geplaatst door Wido
Valentino, nee, zo ver ik weet niet.

Ik moet altijd RedBus bellen als er iets is, dan bellen zei Hostlab

@Mikey, slecht idee, dan DDoS ik terug...

nee hoor, je mailt alleen wat opdringerig ;)

Mijn provider MOET ik 24/7 kunnen bereiken via een rechtstreekse lijn en geen gezeur via personeel van het datacenter.

Of zie ik dat verkeer???

Zit zeker wat in.

Ik heb Hostlab zojuist gesproken, ze bellen me zo terug.

Ok, alles is opgelost.

We hebben het even besproken en Hostlab heeft maatregelen getroffen.

Vanmiddag was het gelukkig nog maar 1IP wat aan het DoS'en was.

Ik ben blij dat het over is :)

En inmiddels zijn ze weer vrolijk bezig:


Aanvallen netwerk PCextreme
Geachte Klant en/of Bezoeker,

Op dit moment vind er een grootscheepse DoS aanval plaats
op het netwerk van PCextreme in RedBus Interhouse.
Vanwege deze reden zijn alle servers in RedBus tijdelijk van
het internet afgesloten.

Een DoS aanval is een aanval waarbij zoveel data naar de server
wordt verstuurd met de hoop dat de verbindingen dicht raken
en het normale verkeer niet meer mogelijk is.

Tegen deze aanvallen is zeer moeilijk iets te doen aangezien het
bij de bron moeten worden aangepakt. Er is contact op genomen
met de provider waar het verkeer vandaan komt en wij zijn nog
in afwachting van een reactie hierop.

Deze tijdelijke website draait op onze noodserver in Telecity 2, hiermee
houden wij u op de hoogte houden van de laatste ontwikkelingen.

Wij zullen alles in het werk stellen om uw websites zo spoedig
mogelijk weer online te zetten.

De noodmailserver is opgezet en het is nu mogelijk e-mail te sturen
naar PCextreme (nood@pcextreme.nl)

Ook is er een noodforum opgezet welke te vinden is op: http://www.pcextreme.nl/forum/

Het PCextreme webhosting team

Bron: PCextreme website (http://www.pcextreme.nl).

Erg jammer, aangezien mijn website daar gehost wordt..

Ja, dit is echt te jammer voor woorden.

We ontvangen nu al 36 uur een DoS van meer dan 60Mbit gemiddeld.
Hierbij loopt de buffer van de 3Com nics vol en slaat de kernel van de loadbalancer op hol.

Gevol: Een onwerkbaar situatie.

Wat een bak stront zeg :@

Maar dit is leaseweb ook wel eens overkomen en die hebben toen in combinatie met de uplink providers heel wat weg weten te werken, kan hostlab niet contact opnemen met zijn uplinks om deze range te blocken?

[edit]
En dan krijg je ook nog eens een stel randmongolen op je perfect opgerichte nood forum.

Sterkte!

Tja, er is vrij snel iets aan te doen hoor. Gewoon het destination IP(laten) blackholen bij je transit partij'en. Is misschien 1 IP niet bereikbaar, maar in iedergeval de DDoS weg.
Over het algemeen is dit binnen een uurtje te regelen.

Het lijkt weer over.

Toen kwamen ze uit Hong Kong, toen uit New York, toen daarvandaan. Ze hebben iets tegen ons, maar wat.

Nu maar hopen dat dit stopt.

Het is dus allemaal gestopt :)

Hostlab heeft ons netjes geholpen bij het blokkeren van de ranges welke ons Doste en belde zelfs zondag nog op om na te vragen of alles goed ing. Top!

Tja, altijd lullig zoiets...
Zijn misschien wel wat jongens die jaloers zijn op jullie. Jullie hebben het goed voor elkaar, en dat kan niet iedereen evengoed hebben.

Kunnen jullie trouwens de loadbalancer niet op 2 IP's zetten (round-robin)? En dan bij een DDoS op één van die IP's tijdelijk niet reageren. Of zeg ik nu iets heel doms? :p