PDA

Bekijk Volledige Versie : Wanneer mag datacentre afsluiten tijdens aanval ?



Icheb
15/05/05, 20:13
Al een tijdje heb ik problemen met het feit dat mijn servers zonder reden worden aangevallen door anderen.

Nu was er afgelopen vrijdag ongeveer 3 uur downtime door aanvallen, gisteren geen, maar vandaag is er weer een paar aanvallen begonnen.
Zover ik kan zien zijn het DoS aanvallen door servers met een zeer snelle verbinding.

Afgelopen vrijdag had het datacentre besloten mijn uplink uit te zetten tot de aanval voorbij was. Maar bij de aanval die inmiddels, zover ik kan zien, redelijk gestopt is, is er eenzijdig besloten om ervoor te zorgen dat er vanaf internet geen verkeer meer naar de betreffende server kan.
Alle ip adressen van de server zijn niet meer te bereiken via internet, maar ik kan wel gewoon een ssh sessie openen naar een andere server van ons, en daarna een ssh sessie naar die server openen.
Van de drukste website die er op draait heb ik inmiddels de laatste logs uit kunnen lezen, het laatste dataverkeer is geweest om 18:30.
Nu heb ik al geprobeert te bellen, maar er is op dit moment niemand, en de telefoon blijkt niet doorgeschakeld te zijn.

Is dit nu normaal ?
Komt het vaker voor dat een datacentre eenzijdig, zonder overleg, een server (die niet gehackt is, maar alleen aangevallen wordt) blokkeert op het netwerk ?

Ik moet zeggen dat ik er niet zo erg blij mee ben, wat mij betreft had het beter uitgekomen om een blokkade van het aanvallende IP adres op te zetten...

fiko
15/05/05, 20:16
Er zijn ook zat datacentra's die het op een andere manier oplossen. Ik zou zeggen stap naar een concurent toe en misschien dat zij een beter oplossing hebben voor jou DDOS probleem.

Vane
15/05/05, 20:17
Origineel geplaatst door fiko
Er zijn ook zat datacentra's die het op een andere manier oplossen.

Zoals?

host3000
15/05/05, 20:30
Origineel geplaatst door Vane


Zoals?
In het geval van een (d)dos, is er direct contact met We Dare om te overleggen over de wijze waarop deze 'aangepakt' wordt. De aanpak is afhankelijk van onder andere de manier waarop de traffic binnen komt.

edit: typo's

Unixboy
15/05/05, 20:50
Ik denk dat je blij mag zijn want, het scheeld jou ook dataverkeer.

Maar aan de andere kant, het is best k*t als je je Datacenter niet kan bereiken om tot een nadere afspraak te komen.

Icheb
15/05/05, 21:05
Origineel geplaatst door Unixboy
Ik denk dat je blij mag zijn want, het scheeld jou ook dataverkeer.

Maar aan de andere kant, het is best k*t als je je Datacenter niet kan bereiken om tot een nadere afspraak te komen.

Het had mij toch geen dataverkeer gekost, er zijn afspraken betreffende traffic bij aanvallen.

Maar het probleem is inmiddels dat andere servers ook 'affected' zijn door het wegvallen van de hoofd dns server. (En natuurlijk staat de secundaire server nog in dezelfde C class, dat zou komende maand eindelijk gaan veranderen, maar daar is het nu dus al te laat voor).

Als dit tot dinsdag gaat duren ben ik vanaf dinsdag op zoek naar een ander datacentre.

Een werknemer van het datacentre in kwestie is ook op WHT aanwezig, dus mochten ze willen reageren kan dit...

host3000
15/05/05, 21:31
Origineel geplaatst door Icheb
(En natuurlijk staat de secundaire server nog in dezelfde C class, dat zou komende maand eindelijk gaan veranderen, maar daar is het nu dus al te laat voor).

Ik begrijp niet waarom er dan niet op destination gefilterd wordt. Ik neem aan dat de (d)dos toch niet naar 256 Ip adressen gaat?

xserve
15/05/05, 22:14
Origineel geplaatst door Icheb
Het had mij toch geen dataverkeer gekost, er zijn afspraken betreffende traffic bij aanvallen.
Als de provider dus met die kosten zit, lijkt me het heel normaal dat ze heel streng optreden om een aanval te stoppen.

Heb je als klant geen storingsnummer van ze? Of is dat de telefoon waar ze niet opnemen?

Icheb
15/05/05, 22:25
Origineel geplaatst door xserve

Als de provider dus met die kosten zit, lijkt me het heel normaal dat ze heel streng optreden om een aanval te stoppen.

Heb je als klant geen storingsnummer van ze? Of is dat de telefoon waar ze niet opnemen?
Ook hun hebben afspraken met hun providers, heb ik begrepen. Zolang iemand in staat is logs te overhandigen.

Ik heb al contact opgenomen met hun helpdesk en hun storingsnummer. Op de helpdesk is er een bandje, op het storingsnummer een voicemail... (En natuurlijk nog geen reacties)

Silverback
17/05/05, 13:54
Welke provider is dat dan als ik vragen mag?

Icheb
17/05/05, 15:34
Origineel geplaatst door Silverback
Welke provider is dat dan als ik vragen mag?

Nedzone (www.nedzone.nl).

opinion
17/05/05, 17:25
Origineel geplaatst door Icheb


Nedzone (www.nedzone.nl).

Zover ik kan zien:



Openingstijden ivm feestdagen
Geplaatst op: 21-12-2004


Is dit hun laatste nieuws bericht.
Als ik op andere datacenter websites kijk zie nieuws van maximaal 3 weken geleden.
Als ik jou was zou ik toch al een beetje gaan rondkijken qua datacenters ;)

Succes!

Icheb
17/05/05, 18:59
Origineel geplaatst door opinion

...
Is dit hun laatste nieuws bericht.
Als ik op andere datacenter websites kijk zie nieuws van maximaal 3 weken geleden.
Als ik jou was zou ik toch al een beetje gaan rondkijken qua datacenters ;)

Succes!

Ze doen het tegenwoordig per e-mail.

Maar goed, ik ga in ieder geval wat rondsnuffelen en, denk ik, vanavond even een thread op WHT plaatsen. Ik heb niet meer nodig dan een kwart cabinet, dus direct naar DC gaan lukt niet (spijtig genoeg).

HereJezus.NL
18/05/05, 21:57
Ik denk dat er weinig providers blij zullen zijn met een DDoS magneet in hun netwerk. Het lijkt me ook sterk dat je steeds zonder aanleiding geDDoSed wordt. Kiddo's hebben maar een handje vol hersencellen, maar ze hebben meestal wel een doel met hun acties.

Icheb
27/05/05, 16:37
Origineel geplaatst door opinion

...
Is dit hun laatste nieuws bericht.
Als ik op andere datacenter websites kijk zie nieuws van maximaal 3 weken geleden.
Als ik jou was zou ik toch al een beetje gaan rondkijken qua datacenters ;)

Succes!

1 ding: het is erg opvallend dat er speciaal hiervoor een nieuw account op WHT is aangemaakt...



Ik denk dat er weinig providers blij zullen zijn met een DDoS magneet in hun netwerk. Het lijkt me ook sterk dat je steeds zonder aanleiding geDDoSed wordt. Kiddo's hebben maar een handje vol hersencellen, maar ze hebben meestal wel een doel met hun acties.
Op dit moment zijn enkele sites met 'een verhoogd risico' (bijv fora waar er veel discussies zijn over onderwerpen waar niet iedereen het snel over eens zou zijn) op een eigen ip adres geplaatst, dit in de hoop de volgende keer (mocht dit ooit nog gebeuren), in staat te zijn om beter een target te bepalen.
---

Een tijdje geleden heb ik deze thread geopend.
Op dat moment had ik mezelf niet echt verdiept in de problemen die een DDoS aanval kan veroorzaken.

Behalve het feit dat ik erg laat op de hoogte ben gesteld van de blokkering, zou er weinig anders gedaan kunnen zijn, nu de omvang van de aanval bij mij bekend is. Er waren meer dan 50 verdachte IP adressen bezig met dingen die niet bijster fijn zijn.

Daarnaast bleken er wat problemen te zijn met de secundaire DNS systemen, waardoor kort samengevat alles down ging, inmiddels zijn deze problemen gelukkig voor het grootste deel opgelost.


Een aantal dagen na de aanval kreeg de server die doel was van de aanval opnieuw problemen, hierbij betrof het kapotte hardware. Mijn bedrijf is toen door Nedzone met uiterst veel service behandeld, dus ik moet wel zeggen dat Nedzone een bedrijf is waar persoonlijke service belangrijk is.

Voor meer informatie over mijn ervaringen met dit bedrijf, zal ik een complete review op webhosters.nl zetten.


Ik heb trouwens gepraat met enkele mensen van Nedzone over de situatie, waarna ik nog een hoeveelheid logs overhandigd heb; de gegevens uit deze logs zullen gebruikt worden om een poging te doen de schuldige partij te vinden.

Danger
28/05/05, 01:23
uhhm.. er is een oplossing. erg simpel maar werkt wel als het aan mij ligt. Je vraagt nieuwe IP's die hij hopenlijk niet te weten krijgt en kan hij je niet meer ddosen tenzei iemand anders die IP's krijgt ;)

Icheb
28/05/05, 08:57
Origineel geplaatst door Danger
uhhm.. er is een oplossing. erg simpel maar werkt wel als het aan mij ligt. Je vraagt nieuwe IP's die hij hopenlijk niet te weten krijgt en kan hij je niet meer ddosen tenzei iemand anders die IP's krijgt ;)
Dat ging nu net niet...

De betreffende server was een klein beetje hoofd van de nameservers enz.
Inmiddels is dit door wat creatieve domein verhuizingen beter geregeld.