Beste iedereen,
Wij hebben een klant die af en toe vanuit het niets ineens 100MBIT per seconden UDP verkeer wilt gaan doen. In het voorjaar en sinds dit weekend.
Na persoonlijk contact was de reden de eerste keer dat hij zijn server aan het compile was.
Nu dit weekend was het weer raak en na het overschrijden van zijn databundel heb ik een mail gestuurd waarop ik geen reactie had gehad, bij telefoon kreeg ik de voicemail. Na het uitzetten van de uplinks heeft hij na een half uur boos gebeld en uiteindelijk een extra datapakket van 1TB afgenomen. "Voor hem was het geen probleem, en als hij weer op zijn limit zou zitten kon er gewoon 1,2,3,4 TB bij." Ook als ik in financiële problemen zou zitten bij mijn leveranciers zou hij dit oplossen. Maargoed om verder te gaan ging het dit keer om "E-mail backups".
Nu is de klant vandaag weer begonnen met het pompen van 100mbit data en ben ik samen met mijn provider op onderzoek uit gegaan. Het gaat dus om ICMP inkomend verkeer en een UDP reply naar 1 Bepaalde IP die gehost wordt door XLhost.com (onderdeel van EE.net). Wanneer het desbetreffende IP adres genulroute is gaat het data gewoon door. Wat naar mijn mening dus een DDOS is.
Wanneer ik de klant af ga sluiten wil ik er natuurlijk zeker van zijn dat het om illegale handelingen gaat en dat ik daarom in mijn recht sta, zodat de klant geen mogelijk heeft tot een rechtzaak (waar die zaterdag al mee heeft gedreigd na het offline zetten van de uplinks). Daarom heb ik dus XLhost gemailt en de voicemail ingesproken.
Nu is mijn vraag, wie heeft dit soort verkeer en klanten eerder mee gemaakt en hoe heb je dit opgelost?