Slachtoffer DDoS attack & hoster - Internet en hosting

woensdag 13 maart 2013 14:01

Acties:

Topicstarter

Mijn server is helaas het slachtoffer van een DDoS attack. Inkomende flood is max 300 - 600 mbit/s maar de server heeft een link van slechts 100 mbit/s. Hetzner, de hoster, heeft de server onbereikbaar gemaakt om 'schade' aan het netwerk te voorkomen. Hiermee helpen ze eigenlijk de aanvaller en doen ze niks om het slachtoffer te helpen.
Mijn vraag is nu eigenlijk: is dit normaal?
Hetzner is geen kleine hoster volgens mij en 600 mbit/s is geen hele grote flood.
De aanvallers gebruiken DNS amplifications attacks. Ik heb al tig abuse email de deur uit gedaan, maar nog weing respons gehad.
Waarom kan Hetzner dit niet upstream filteren? De source adressen zijn niet eens gespoofed.
Hoe gaan andere hosters hiermee om?

woensdag 13 maart 2013 14:06

Acties:

wowzie

Ja, dat is normaal. Het is niet de hoster zijn schuld dat jij een DDOS krijgt, en ik neem aan dat jij niet voor die 300-600mbit wilt gaan betalen?

Omdat de source adressen vaak wijzigen blokkeren grote hosters de doel bestemming, jouw server dus. Misschien is http://www.cloudflare.com/ een oplossing voor je.

[ Voor 36% gewijzigd door wowzie op 13-03-2013 14:08 ]

woensdag 13 maart 2013 14:10

Acties:

Verwijderd

600 Mbit over een switch met 100 Mbit poorten kan heel vervelend zijn. Daarnaast telt het aantal packets per seconde ook mee. Het kan best zijn dat er iets in de infrastructuur naar jouw specifieke server dit niet leuk vindt waardoor andere klanten van Hetzner er ook last van zouden kunnen hebben.

Ze zullen hus wel tientallen Gbits aan kunnen, maar wat wil je dat ze gaan doen? In heel veel infrastructuur zit geen apparaat dat ervoor is bedoeld om verkeer te filteren op TCP of UDP niveau. Dat is aan een firewall, niet aan een router. Het is dus waarschijnlijk ofwel alle verkeer droppen, ofwel alle verkeer doorlaten. Dat laatste vinden ze blijkbaar geen optie, en sowieso moet je je afvragen of je dat wel wilt, want dat kan een aardige rekening worden.

woensdag 13 maart 2013 14:12

Acties:

Olaf van der Spek

Topicstarter

wowzie schreef op woensdag 13 maart 2013 @ 14:06:
Ja, dat is normaal. Het is niet de hoster zijn schuld dat jij een DDOS krijgt, en ik neem aan dat jij niet voor die 300-600mbit wilt gaan betalen?

Is ook niet mijn schuld toch? En het lost het probleem niet op.

Verwijderd schreef op woensdag 13 maart 2013 @ 14:10:
600 Mbit over een switch met 100 Mbit poorten kan heel vervelend zijn.

True, maar ik neem aan dat de switch uplink dual gbit is.

Daarnaast telt het aantal packets per seconde ook mee. Het kan best zijn dat er iets in de infrastructuur naar jouw specifieke server dit niet leuk vindt waardoor andere klanten van Hetzner er ook last van zouden kunnen hebben.

Dacht dat packet rate tegenwoordig geen issue meer was eigenlijk.

Ze zullen hus wel tientallen Gbits aan kunnen, maar wat wil je dat ze gaan doen? In heel veel infrastructuur zit geen apparaat dat ervoor is bedoeld om verkeer te filteren op TCP of UDP niveau.

Filteren op source IP, aangezien deze niet gespoofd zijn. En/of mij de optie bieden een gbit link te nemen.

Dat is aan een firewall, niet aan een router. Het is dus waarschijnlijk ofwel alle verkeer droppen, ofwel alle verkeer doorlaten. Dat laatste vinden ze blijkbaar geen optie, en sowieso moet je je afvragen of je dat wel wilt, want dat kan een aardige rekening worden.

Traffic is 'unlimited' (10 TB) en alleen outgoing telt.

In heel veel infrastructuur zit geen apparaat dat ervoor is bedoeld om verkeer te filteren op TCP of UDP niveau.

Hoe kom je hier bij?
Kan me niet voorstellen dat high-end routers dit niet kunnen. En dan nog, dan zou het verkeer geroute kunnen worden naar een apparaat dat dat wel kan.

[ Voor 73% gewijzigd door Olaf van der Spek op 13-03-2013 14:30 ]

woensdag 13 maart 2013 14:14

Acties:

Hoite

Goed verhaal

Olaf van der Spek schreef op woensdag 13 maart 2013 @ 14:12:
[...]

Is ook niet mijn schuld toch? En het lost het probleem niet op.

Nee, maar de hoster kiest hier gewoon de makkelijkste oplossing om het probleem voor hem ook zoveel mogelijk te beperken.

Lekker kort.

woensdag 13 maart 2013 14:16

Acties:

leuk_he

1. Controleer de kabel!

Hebben ze uptime garanties? --> krijg je dus een compensatie?

Heb je een vorm van datalimiet? --> betalen voor het DDOS verkeer of een echte unlimited?

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

woensdag 13 maart 2013 14:16

Acties:

Olaf van der Spek

Topicstarter

Hoite schreef op woensdag 13 maart 2013 @ 14:14:
[...]

Nee, maar de hoster kiest hier gewoon de makkelijkste oplossing om het probleem voor hem ook zoveel mogelijk te beperken.

Dat vind ik bijna vergelijkbaar met de andere kant op kijken terwijl er op straat iemand beroofd (of erger) wordt.
Het toont geen sterkte ruggengraat zeg maar.

[ Voor 7% gewijzigd door Olaf van der Spek op 13-03-2013 15:58 ]

donderdag 14 maart 2013 00:03

Acties:

jimmy87

Hetzner is om het maar netjes te zeggen ook niet de meest geweldige hoster wat betreft dat soort dingen. Maar daar is de prijs ook naar.

Die 10TB is dan ook een Fair use policy. Heb je hetzner al gevraagd hoe je de server weer geunlocked kunt krijgen?

donderdag 14 maart 2013 10:14

Acties:

Olaf van der Spek

Topicstarter

De server wordt geunlocked nadat de aanval is afgelopen. Dat is inmiddels al gebeurd. Maar met een beetje pech begint de aanvaller dan weer.

woensdag 3 april 2013 16:50

Acties:

Olaf van der Spek

Topicstarter

Is er een manier om de dader van een DNS amplification attack op te sporen?
Als kleine site zal de FBI je niet direct te hulp schieten, maar het kan toch eigenlijk niet zo zijn dat dit ongestraft door kan gaan?