Een DDOS krijgen met kpn fiber

Beste GoT,

een huisgenoot van mij die host een Minecraft server en heeft blijkbaar vijanden gemaakt want sinds kort krijgen wij elke avond een DDoS op ons.
Wij hebben 100/100 fiber internet van kpn, Experia box vervangen door een SLM2008 managed switch. Indien ik met mijn computer zelf de pppoe verbinding maak zie ik ook echt 100mbit ussage in mijn netwerk activiteit, ik heb hierbij wireshark aangezet en 17 seconden aan traffic gecaptured. http://marconijholt.com/hostedfiles/17secddoscap.pcapng.
Hieruit concludeer ik een beetje dat het een DDoS is vanaf 1 pc en dat die Spoofed ip's gebruik, het mac adres zal ook wel spoofed zijn.
Is er een manier om zijn echte ip er uit te halen? zou het dan weer gebeuren dan zou hem eventueel kunnen counteren.
Het ziet er uit als een DNS ddos in combinatie met een Fragmented IP packet attack

Tevens wat als ik KPN bel wat zouden hun voor mij kunnen betekenen behalve mijn ip adres laten wijzigen. en wellicht zal ik dan eerst de Experia box weer moeten aansluiten ipv managed switch.

Heeft iemand hier enig ervaring mee met hoe kpn hier mee omgaat?

Met vriendelijke groet,

Marco

[ Voor 3% gewijzigd door marco282 op 21-02-2013 13:15 ]

DJSmiley schreef op donderdag 21 februari 2013 @ 17:56:
Waaruit trek je de conclusie dat het vanaf 1 IP komt?

Ik zie een hele hoop IP's in die capture langskomen. Ok, ze hebben hetzelfde macadres, maar dat is natuurlijk niet het macadres van de verzendende partij, maar het macadres van de gateway van kpn waar het verkeer vandaan komt richting jouw pc.

_{190Mb voor een wireshark capture is ook wat groot, een file van 1Mb was ook wel duidelijk genoeg geweest}

Het zou dan eventueel een botnet kunnen zijn maar ik was er vanuit gegaan dat die Mac adres al dan niet gespoofed/cloned was van diegene die het verstuurde...

Tevens mijn excuus voor de bestandsgrote, toen ik wireshark aanzette toen liep t hele programma vast, en toen die het weer deed en ik op stop drukte ging die ook nog ff door met capturen voor die daadwerkelijk gestopt was.

Maar is er verder nog wat aan te doen door mijzelf of iets waar kpn mij in kan/wil helpen.

Groetjes

Lastig allemaal!
KPN zegt:
"Geachte heer/mevrouw,

Bedankt voor uw bericht. Het is niet mogelijk om wegens abuse van IP adres te veranderen. Wanneer u problemen ondervindt met uw internetverbinding, die door derden worden veroorzaakt, adviseren wij u uit te zoeken wie daarvoor verantwoordelijk is. Dit kunt u doen aan de hand van het logboek van uw firewall. Hieruit moet duidelijk blijken welke IP adressen er achter de eventuele aanval zitten. Door van IP adres te veranderen, verlegt u het probleem. Tevens is het onze ervaring dat een eventueel nieuw IP adres ook wordt achterhaald, waarna het misbruik verder gaat. Het is dus belangrijk om dit probleem bij de bron aan te pakken."

Helaas kan ik er dus niet achter komen wie het doet en zit ik er dus een beetje klem mee. Gisteravond weer een DDoS gehad helaas, duurde weer zo'n 2 uur. Gelukkig is het altijd rond 23:00 tot 02:00 en niet midden op de dag.
Maar nu snap ik dan hoe die DNS request attack gaat maar heeft die IP fragment attack daar mee te maken of loopt die los daarvan er naast?

Tevens de betreffende huisgenoot gaat nu een VPS aanschaffen voor zijn MC server aangezien hij er ook inkomsten mee maakt. Dit zal voor hem misschien niet het probleem oplossen mocht deze persoon hem weer ddossen, iedergeval de capaciteit word vergroot naar 1gbit ipv 100mbit. Maar het is voor hem dus verstandig om even met IPtables ervoor te zorgen dat 53 udp word geblockt behalve eigen dns..?

Met vriendelijke groet,

Marco Nijholt