Onderwerp: DOS aanval vanaf 1 IP. Schade verhalen?

Sinds gisteravond wordt mijn server aangevallen door een server vanuit de verenigde staten met een UDP flood van ~1.5-2MB/s. Het betreft hier 1 ip adres, en gelukkig ook niet het hoofd ip adres van de server. Nu heb ik natuurlijk wel van alles geblokkeerd in mijn firewall maar de packetjes blijven komen en met 1.5MB/s tikt dit lekker aan.

Op dit moment heb ik het ip dat wordt aangevallen maar genullroute maar ik heb dit adres zsm weer nodig.Ook heb ik al een abuse melding gemaakt bij ServerCentral, aangezien zij de aanvaller hosten.

Nu is de vraag, omdat het hier om 1 ip adres gaat of ik hier de schade op kan verhalen? Ik weet dat de eigenaar van de server waarschijnlijk niet de boosdoener is maar goed hij is verantwoordelijk voor zijn beveiliging en kennerlijk deugt deze niet.

Oorspronkelijk geplaatst door Groovy

Op dit moment heb ik het ip dat wordt aangevallen maar genullroute maar ik heb dit adres zsm weer nodig.Ook heb ik al een abuse melding gemaakt bij ServerCentral, aangezien zij de aanvaller hosten.

En hierbij heb je dus het doel van de aanvaller behaald.. Denial of service is het pas als het doel niet meer bereikbaar is.

Kun je niet beter het IP van de aanvaller in je firewall gooien?


En over het verhalen... je kunt het altijd proberen maar durf niet te zeggen of het je zal lukken... misschien dat andere hier op het forum daar ervaring mee hebben?

Oorspronkelijk geplaatst door Japje

En hierbij heb je dus het doel van de aanvaller behaald.. Denial of service is het pas als het doel niet meer bereikbaar is.

Kun je niet beter het IP van de aanvaller in je firewall gooien?


En over het verhalen... je kunt het altijd proberen maar durf niet te zeggen of het je zal lukken... misschien dat andere hier op het forum daar ervaring mee hebben?

Hij staat ook in mijn firewall, maar de packets blijven komen en aangezien het geen onbeperkte lijn is tikt het lekker aan... Daarom heb ik nu mijn hoster gevraagd om het IP te nullen

Is het dan niet zo, dat dat soort aanvallen gewoon worden tegengehouden, als de aanvallende IP in de Firewall-lijst staat? Want je had het over slechts één IP-adres.

Oorspronkelijk geplaatst door Hans Kamp

Is het dan niet zo, dat dat soort aanvallen gewoon worden tegengehouden, als de aanvallende IP in de Firewall-lijst staat? Want je had het over slechts één IP-adres.

Jup alleen data blijft binnenkomen.

Oorspronkelijk geplaatst door Mikey

Jup alleen data blijft binnenkomen.

Waarschijnlijk een aanval op poort 80 dan. Maak even logs van alles en neem dan contact op met het datacentrum of de provider van het betreffende IP adres. Stuur ze de logs.

Gegevens over een netwerk kan je vinden als je http://www.whois.sc gebruikt en dan het IP in toetst. Je kan ook http://www.dnscoop.com gebruiken om te zien welke sites er nog meer daar staan. Wellicht een concurrent?

ALshet maar 1 ip de source is van de aanval zou ik inderdaad de pratij vragen waar je je connectivty van krijgt om dat ip in de routers te 0-routen dan ben je van het hele gezeur in 1 keer af

Ik denk dat er dat wat mis is met de gebruikte firewall (je moet de hardware matige firewall instellen en niet de software firewall want dan helpt het niet echt).

een firewall houdt een pakket tegen dat aankomt, maar dan is het nog altijd aangekomen hé! Dat is wat de TS bedoelt.

Als je betaalt voor iedereen die aan je deur komt, en 50% laat je binnen op je feestje, dan nog is 100% wel aan je deur gekomen.

Het is belangrijk dat je weet van wie de server is en je moet kunnen aantonen dat hij op het moment van de flood bezitter was. Diegene moet wel Nederlands zijn, anders loopt alles spaak, want Nederlands recht heeft geen uitwerking in de VS. Mocht het een Nederlander zijn dan kun je hem op grond van 6:162BW (onrechtmatige daad) jo. 6:173 lid 1 (gebrekkige zaak) eventueel aansprakelijk stellen.

De bewijslast ligt alleen 100% bij jou (6:188BW), dus je moet je afvragen of je al die tijd en moeite in een twijfelachtige zaak wil stoppen om 1,5 a 2 mbit vergoed te krijgen.

Kans is superklein dat je die schade verhaalt krijgt. Om nog maar te zwijgen over de kosten die je moet maken om de schade te verhalen, tov de traffiekkosten die je aangerekend krijgt... (D)DoS is een globaal probleem, en in feite zou dit globaal aangepakt moeten worden. En daar wringt het schoentje... Veel carriers incasseren liever de opbrengsten, dan dat ze hun klanten bijstaan als ze ongewenst slachtoffer worden van dergelijke aanvallen. Nu is het wel zo dat het in feite belachelijk weinig is kwa dos. 9/10 gaat het dan eerder om een amateur, en zou je toch op een of andere wijze het een en ander moeten kunnen achterhalen. En dat laatste is wel het proberen waard, al zal het bloed, zweet en tranen vergen om derden (en dan nog in de VS) te overhalen je bij te staan.

Het verhalen van schade zal idd lastig worden

Het lijkt me onderdeel van de zorgplicht van een provider om op verzoek dat soort verkeer tegen te houden. Laat hij dat na, dan lijdt jij schade die je op hem kunt verhalen. En laat die schade nu net even hoog zijn als het factuurbedrag voor het extra dataverkeer

Arnoud

Oorspronkelijk geplaatst door ICTRecht

Het lijkt me onderdeel van de zorgplicht van een provider om op verzoek dat soort verkeer tegen te houden. Laat hij dat na, dan lijdt jij schade die je op hem kunt verhalen. En laat die schade nu net even hoog zijn als het factuurbedrag voor het extra dataverkeer

Arnoud

Het is wel zo dat het type aanval van zeer groot belang is. UDP traffic kan je inderdaad blokkeren, maar het is wel zo dat bij een grote aanval het vrijwel onmogelijk is om het normale verkeer door te laten draaien alsof er niks aan de hand is, wanneer je routers bestookt worden door aanvragen. Het blokkeren van traffic lijkt me juist het laatste wat je moet doen omdat je letterlijk toegeeft aan de wens van de aanvallers om (gedeeltes van) je netwerk onbereikbaar te zetten.

1,5 - 2 mbit = paar euro.

all het papier werk etc kost meer dan die paar euro.