Een DDoS &#039;uitgezongen&#039;, en dan, aangifte doen ?

dinsdag 24 september 2002 09:57

Volgens mij kun je gewoon aangifte doen bij de KLPD. Maar wat is dit voor in debielerig gedrag dat je eerst een draadje op GoT gaat starten. Bel gewoon naar het lokale politiebureau en vraag daar om raad.

ps. sorry voor mijn botte opmerking.

ik ben geen postbode, maar postman Pat rulez!

Acties:

Wekkel

De downloadkoning

Mij lijkt de beste weg inderdaad even vissen bij de politie naar een gespecialiseerd team hiervoor. De 'gewone' agent zal wel weinig kunnen maken van je verhaal en niet warm aangelopen aan de juiste touwtjes gaan trekken. Futsel dat nummer van de digitale strijdkrachten uit de vingertjes van de 'gewone' politie en je hebt een directe ingang. Verzamel ondertussen zoveel mogelijk (schriftelijke) bewijzen en bijzaken en maakt een chronologisch en sluiten verhaal van de gebeurtenissen. Dat helpt de wederpartij met het snel oppakken van het verhaal.

dinsdag 24 september 2002 09:58

Acties:

GA!S

295 g/km

intert0y schreef op 24 september 2002 @ 09:53:
Volgens mij kun je gewoon aangifte doen bij de KLPD. Maar wat is dit voor in debielerig gedrag dat je eerst een draadje op GoT gaat starten. Bel gewoon naar het lokale politiebureau en vraag daar om raad.

ps. sorry voor mijn botte opmerking.

Wat een onzin zeg, kan me prima voorstellen dat hier mensen zitten die heel wat beter weten wat te doen dan het lokale politiebureau. Daarbij is dit voor de search weer een goede aanvulling om later op terug te komen. Er zullen meer users met dergelijke problemen te maken krijgen / hebben.

Vind het echt compleet overbodig dat je op deze posting gaat lopen flamen, er zijn echt een hoop postings die het meer verdienen om er vraagtekens bij te zetten dan deze.

ps. sorry, moest ff

de betaler vervuilt

dinsdag 24 september 2002 10:03

Acties:

dinsdag 24 september 2002 10:13

Ik zeg niet dat het volledig overbodig is maar waarom zou je niet eerst informatie proberen in te winnen bij de desbetreffende instantie. Ik bedoel je weet dat je bij de KLPD moet wezen ofdat zij je dan weer doorverbinden naar een of andere digitale recherge (of whatever) dat is nog tot daar aan toe.

Maar je komt meestal toch pas hier als je elders ben uitgekeken en echt extra hulp (en informatie nodig hebt?)

ik ben geen postbode, maar postman Pat rulez!

Acties:

GA!S

295 g/km

intert0y schreef op 24 september 2002 @ 10:03:
Maar je komt meestal toch pas hier als je elders ben uitgekeken en echt extra hulp (en informatie nodig hebt?)

Of omdat je geen idee hebt waar je moet beginnen met zoeken...

de betaler vervuilt

dinsdag 24 september 2002 10:41

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Zullen we ons nu weer met z'n allen over het vraagstuk buigen, ipv te discussieren of deze post wel op de juiste plaats staat (daar beslis ik nog altijd over) ?

Als je een goed idee hebt wie/wat het is, en je hebt naast logfiles ook nog andere harde bewijzen, dan zou ik eens met een advocaat gaan bellen (desnoods misschien met je rechtsbijstand ?)

Of als je het adres weet, laat je advocaat een leuk briefje met kostenderving en schadeposten sturen met het vriendelijk doch uiterst dringend verzoek dat even te storten op je rekening.

Tijd voor een nieuwe sig..

dinsdag 24 september 2002 11:09

Acties:

dinsdag 24 september 2002 11:13

thinking of stardust

Topicstarter

Koffie schreef op 24 september 2002 @ 10:41:
Zullen we ons nu weer met z'n allen over het vraagstuk buigen, ipv te discussieren of deze post wel op de juiste plaats staat (daar beslis ik nog altijd over) ?

Als je een goed idee hebt wie/wat het is, en je hebt naast logfiles ook nog andere harde bewijzen, dan zou ik eens met een advocaat gaan bellen (desnoods misschien met je rechtsbijstand ?)

Of als je het adres weet, laat je advocaat een leuk briefje met kostenderving en schadeposten sturen met het vriendelijk doch uiterst dringend verzoek dat even te storten op je rekening.

Ja, dit is dus de spreekwoordelijke koevoet, die in de dichtgespijkerde houten doos zit: Je kan er niet bij, want de doos moet je open maken met iets wat erin zit...

Er zijn IRC logs met verkapte toespelingen en that's it. En er is een motief. En er is dus een IP adres, een nickname, een voornaam en een plaatsnaam. Niet genoeg om een advocaat een brief te laten sturen. Want: erhh, naar wie, en waar woont hij ?

Dus, eerst aangifte doen, dan een gerechtelijk dwangbevel verkrijgen om bij de ISP de naams- en adresgegevens te verkrijgen, en dan de brief naar de dader. Dat is een nogal onzekere gang van zaken omdat alles hangt op fragmenten van logs met daarin suggesties en toespelingen, meer niet.

Dat is nogal wat, voor een niet-commerciele website die het moet hebben van gesponsorde bandbreedte en absoluut nul aan inkomsten...

( Overigens, de reden dat ik niet meteen naar de politie gestapt ben is omdat ik niet zelf eigenaar/verantwoordelijke ben voor die webserver. Ik probeer alleen erachter te komen wat de gebruikelijke procedure is. )

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Maar je hebt toch wel logfiles van de ddos aanval ?

Tijd voor een nieuwe sig..

dinsdag 24 september 2002 11:16

Acties:

dinsdag 24 september 2002 11:20

Als er alleen maar indirecte toespelingen zijn dan geef ik je weinig kans. Ze kunen dan weliswaar zien vanwaar de DDOS is gekomen maar ze zullen toch echt tot de bron moeten zien door te dringen voordat ze ook maar wat kunnen.

Een advocaat op deze, door jou verdachte, persoon sturen zou ik niet doen want dan kan hij je volgens mij aanklagen wegen smaad want je hebt geen enkel bewijs. (alleen maar vage aanwijzingen) Mocht het tot een rechtzaak o.i.d. komen dan ben jij nog steeds diegene die zijn schuldigheid zal moeten aantonen.

Wel zou ik aangifte doen van dit geval dan is in ieder geval je aanval bekend en kan er zodra er wellicht een keer toch een GOED spoor wordt achtergelaten en de dader gepakt kan worden.

Ik vraag met trouwens ook af wat de geldigheid van een IRC-log is, ik denk helemaal niks eigenlijk. Een irc log heb je zo in elkaar geflanst natuurlijk. Je moet met keiharde logs van je webserver zien te komen en deze moeten matchen met die van de provider van waar de aanval heeft plaatsgevonden.

Is er geen meldpunt computercriminaliteit? (maar toch ik zou eerst eens even naar een politiebureau bij je in de buurt bellen en gewoon even vragen)

ik ben geen postbode, maar postman Pat rulez!

Acties:

dinsdag 24 september 2002 11:24

intert0y schreef op 24 september 2002 @ 11:16:Is er geen meldpunt computercriminaliteit? (maar toch ik zou eerst eens even naar een politiebureau bij je in de buurt bellen en gewoon even vragen)

Jah, die is er, weet alleen de naam niet.

* Erkens is een sukkel en ramt in mirc op f5 :+
* XTerm GROOOOOOTE kuis houden op hd's :)

Acties:

Verwijderd

met een log van een ddos aanval kan je de dader ook niet aanwijzen hoor...
zijn ip (of andere gegevens) staan er niet bij...

ze zouden in de logs van de isp van de dader moeten kijken of er connecties zijn geweest naar de pc(s) die die aanvel hebben uitgevoerd

dinsdag 24 september 2002 11:27

Acties:

sh4d0wman

Attack | Exploit | Pwn

ga naar CERT NL zal ff een linkje zoeken, die kunnen je wel helpen.

edit: http://cert-nl.surfnet.nl/
weet alleen niet of ze helpen als je niet bij surfnet zit, vroeger was dat anders geregeld

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 24 september 2002 11:31

Acties:

dinsdag 24 september 2002 11:37

thinking of stardust

Topicstarter

Koffie schreef op 24 september 2002 @ 11:13:
Maar je hebt toch wel logfiles van de ddos aanval ?

Als het goed is wel. (Maar, zoals ik al aangaf, ik ben geen beheerder, ik probeer voor iemand uit te zoeken wat er moet gebeuren / gedaan kan worden.)

Maar wat schiet je op met de logs, behalve dan aantonen dat er een remote Distributed Denial of Service is geweest ? Dan heb je een lijstje met een handjevol ongepatchte IIS servers, verspreid over meerdere landen, die samen die webserver hebben lopen flooden. Dan nog kan je niet terugkomen bij de aanstichter van de ellende.

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

Acties:

dinsdag 24 september 2002 11:39

Precies dus dan heb je vervelend genoeg volgens mij gewoon GEEN CASE!

en ik zou absoluut niet proberen de vermoedelijke dader terug te pakken of wat dan ook, het beste kun je gewoon niks doen en hopen dat er niks verder gebeurt omdat je er geen aandacht aan besteed.

Ook hoop ik niet dat een eventuele dader ook op GOT komt en dit draadje leest want dat zal hem alleen maar bevallen om te horen dat het 100en EURO's heeft gekost. Kortom geen aandacht aan geven lijkt mij de beste remedie. (maar wel aangifte doen, elke keer dat het gebeurt hoe meer gegevens hoe eerder ze wellicht somehow toch wat kunnen doen en als uiterste redmiddel kan de GOT-knokploeg wellicht worden opgetrommeld).

SUCCES!

ik ben geen postbode, maar postman Pat rulez!

Acties:

dinsdag 24 september 2002 11:43

thinking of stardust

Topicstarter

sh4d0wman schreef op 24 september 2002 @ 11:27:
ga naar CERT NL zal ff een linkje zoeken, die kunnen je wel helpen.

edit: http://cert-nl.surfnet.nl/
weet alleen niet of ze helpen als je niet bij surfnet zit, vroeger was dat anders geregeld

die afkomstig lijken te zijn van de SURFnet klanten of waarbij SURFnet klanten het slachtoffer zijn geworden.

Helaas, niet dus.

Verwijderd schreef op 24 september 2002 @ 11:24:
met een log van een ddos aanval kan je de dader ook niet aanwijzen hoor...
zijn ip (of andere gegevens) staan er niet bij...

ze zouden in de logs van de isp van de dader moeten kijken of er connecties zijn geweest naar de pc(s) die die aanvel hebben uitgevoerd

Die kans is maar klein. Je hebt ook goed kans dat het via een 3e computer is gegaan, namelijk via een verborgen IRC kanaal: de besmette IIS servers connecten daar naartoe, de persoon die de aanval start ook, en geeft op dat kanaal het IP adres dat geflood moet worden... Lees eventueel dit er maar op na: http://grc.com/dos/grcdos.htm

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

Acties:

dinsdag 24 september 2002 11:53

Ik zat te denken he,

Weet je wel zeker dat je zijn ip hebt?
Hij is waarschijnlijk wel zo slim dat hij zelf niet meedoet aan het Ddossen, dat laat ie de besmette servers wel doen.
Als dit zo is heb je alleen de ip's van die betreffende servers.
En dat zou genaaid zijn!

* Erkens is een sukkel en ramt in mirc op f5 :+
* XTerm GROOOOOOTE kuis houden op hd's :)

Acties:

dinsdag 24 september 2002 12:03

thinking of stardust

Topicstarter

j_iscool schreef op 24 september 2002 @ 11:43:
Ik zat te denken he,

Weet je wel zeker dat je zijn ip hebt?
Hij is waarschijnlijk wel zo slim dat hij zelf niet meedoet aan het Ddossen, dat laat ie de besmette servers wel doen.
Als dit zo is heb je alleen de ip's van die betreffende servers.
En dat zou genaaid zijn!

Het IP adres dat bekend is komt uit een andere 'bron' dan die DDoS. De persoon die claimt het gedaan te hebben is bekend, en dus is er uit geheel andere logs zijn IP gevist. Laten we het daar maar op houden.

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

Acties:

Verwijderd

[...]

Die kans is maar klein. Je hebt ook goed kans dat het via een 3e computer is gegaan, namelijk via een verborgen IRC kanaal: de besmette IIS servers connecten daar naartoe, de persoon die de aanval start ook, en geeft op dat kanaal het IP adres dat geflood moet worden... Lees eventueel dit er maar op na: http://grc.com/dos/grcdos.htm

ja idd..
je zal zijn pc moeten omspitten om wettelijk verantwoorde bewijzen te vinden..
maar jah, zo ver kom je nooit

dinsdag 24 september 2002 13:01

Acties:

Verwijderd

Lekker vaag allemaal!
Als jij geen beheerder bent.... Wat is dan jou rol in deze?
Het zal een beslissing van de directie moeten zijn om tot aangifte over te gaan of niet....
En buiten dat..... Ik zou dit hele verhaal ook kunnen omdraaien....
Misschien ben jij de attacker wel, en ben jij op zoek naar een manier om je reet in te dekken omdat je bang bent dat ze jou pakken........
en zo kan ik nog wel ff doorgaan......
Ik zeg niet dat 't zo is! maaaaar......

Dus als het bedrijf het wil melden kunnen ze gewoon naar de lokale politie stappen, en als die er geen knowhow voor in huis hebben, kom je vanzelf bij de KLPD terecht!
En anders stap je toch rechstreeks naar de KLPD.... telefoontje is voldoende om te weten of je bij je eigen politiebureau een aangifte moet maken of dat dat ook bij hun kan...

Het heeft verder helemaal geen zin om te speculeren.... gewoon alle info die je hebt overdragen en als ze meer willen hebben waar jullie niet aan gedacht hadden vragen ze het echt wel!

En ik kan je alvast voor 1 ding waarschuwen:

De persoon die claimt het gedaan te hebben is bekend

is daar ook werkelijk bewijs van? zijn er ook getuigen? heeft ie dat op papier gezet?
Mischien heeft ie het hele verhaal wel verzonnen.......

en dus is er uit geheel andere logs zijn IP gevist. Laten we het daar maar op houden.

en

Het IP adres dat bekend is komt uit een andere 'bron' dan die DDoS

Kijk.... dit wordt leuk......
Als die info niet uit het eigen bedrijf komt, kan je wel eens een probleem krijgen......

a) onrechtmatig verkregen bewijsmateriaal
- zaak wordt geseponeerd wegen onvoldoende bewijs.
b) aanklacht tegen het bedrijf wegens schending van de privacy.....
- van de vermeende verdachte
En geloof mij..... zijn advocaat zal er dankbaar gebruik van maken voor een schadevergoeding, omdat de meeste bedrijven best wel in de publiciteit willen staan, maar dan toch niet op deze manier......!!

You get my point??

Ja daar had je natuurlijk nog helemaal niet aan gedacht he.....

Daarom, laat dit soort onderzoeken over aan diegene die er verstand van hebben!

dinsdag 24 september 2002 13:12

Acties:

Verwijderd

goed punt

dinsdag 24 september 2002 13:27

Acties:

dinsdag 24 september 2002 14:06

thinking of stardust

Topicstarter

Verwijderd schreef op 24 september 2002 @ 13:01:
[..]
You get my point??

Ja daar had je natuurlijk nog helemaal niet aan gedacht he.....

Daarom, laat dit soort onderzoeken over aan diegene die er verstand van hebben!

Dat je een aantal belangrijke dingen aanstipt geeft je nog geen recht om op de man te spelen in plaats van op de bal, dank je wel

Een aantal dingen had je gewoon kunnen lezen trouwens: mijn rol in deze is (om te proberen) er achter te komen hoe er gehandeld dient te worden. Uitvoering is aan anderen. Directie ? Bedrijf ? Het gaat in dit geval om een niet-commerciele website, gerund door vrijwilligers op gesponsorde bandbreedte. Hier zit geen B.V. of N.V. of V.o.F. achter. Er kan niet even naar de bedrijfsadvocaat gestapt worden voor verdere afhandeling.

Als je mij niet geloofwaardig vindt, behandel het dan maar als een geheel hypothetische situatie. Uiteindelijk gaat het erom dat ik graag wil weten hoe er in een situatie als deze gehandeld dient te worden. En als, gebaseerd op bovenstaande gegevens, dat zou betekenen: er dient niet gehandeld te worden, dan heb ik daar ook mee te leven.

Als je hier op PNS niet eens meer terecht kan met vragen, waar IS dit forum dan voor ?

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

Acties:

Verwijderd

oke, daar gaan we weer.....
Ik speel wel op de bal, maar wil je er wel ff voor waarschuwen dat je straks geen blunders begaat die je wel eens veel geld zouden kunnen gaan kosten.....
Oke, een niet-commerciele website.....
En je staat gehost.... dan ga ik er maar ff voor het gemak van uit dat je op een gesharde host staat.... (maakt trouwens toch al helemaal niet uit of je nu wel of niet op een gesharde host staat)
Wat zegt de hosting-provider ervan?
Want als ze de host van jou plat gooien heb je een hele grote kans dat er dus nog meer klanten gedupeerd zijn....
Gaan die nog ectie ondernemen?
Danwel technisch, danwel een aangifte doen?
Zelfs als ze dat wel doen, zou ik nog steeds aangifte doen!
En voor een aangifte heb je helemaal geen advocaat nodig!
Als diegene gepakt wordt en hij moet voorkomen, pakt het OM hem wel aan!
Hij heeft nl. de wet overtreden en is het dus geen civiele zaak!
Na de veroordeling kan je er altijd nog een civiele zaak van maken voor een schadevergoeding, voor zover je deze nog niet hebt gekregen in de rechtzaak zelf, maar dan gaat het je wel geld kosten... of je moet verzekerd zijn voor rechtsbijstand....

dinsdag 24 september 2002 14:10

Acties:

SithWarrior

Ik ben uniek, net als iedereen

uhu dit is geen verzonnen verhaaltje, dis RL stuff en die vage verhaaltjes van jou heb ie natuurlijk niks aan. Onderzoeken door gene die er verstand van heb, je dat vraagt ie toch ook hoe je dan moet handelen....

You can take a picture of something you see. In the future, where will I be?

dinsdag 24 september 2002 14:14

Acties:

NuKeFaCe

Ander ip nemen

dinsdag 24 september 2002 14:18

Acties:

dinsdag 24 september 2002 14:18

thinking of stardust

Topicstarter

NuKeFaCe schreef op 24 september 2002 @ 14:14:
Ander ip nemen

Het gaat om een website, met een domeinnaam. Veranderen van IP helpt dan NIETS, want die website heeft geen nut als 'ie verborgen is. Dan kan je 'em net zo goed opdoeken.

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

Acties:

SithWarrior

Ik ben uniek, net als iedereen

uhu.. et zijn onder meer webservers dus het simpele ping naar url zou al genoeg zijn om nieuwe ip te zien dus lijkt me niet echt oplossing

You can take a picture of something you see. In the future, where will I be?

dinsdag 24 september 2002 14:19

Acties:

dinsdag 24 september 2002 14:21

NuKeFaCe schreef op 24 september 2002 @ 14:14:
Ander ip nemen

Juist jah!
En dan vullen ze gewoon de domeinnaam in!
Handig!

Een 2e ip icm met een router/loadbalancer kan wel, is denk ik alleen veel te duur omdat je aangeeft dat het allemaal gesponsord is!

* Erkens is een sukkel en ramt in mirc op f5 :+
* XTerm GROOOOOOTE kuis houden op hd's :)

Acties:

Jester

NuKeFaCe schreef op 24 september 2002 @ 14:14:
Ander ip nemen

Dat heeft dus totaal geen nut, je attackt op DNS-naam (wordt automatisch vertaald naar het bijbehorende ip...)

[ Voor 0% gewijzigd door Jester op 24-09-2002 14:21 . Reden: quatropost ? ]

- hardware always changes.. -

dinsdag 24 september 2002 14:24

Acties:

dinsdag 24 september 2002 14:35

thinking of stardust

Topicstarter

j_iscool schreef op 24 september 2002 @ 14:19:
[...]
[...]

Een 2e ip icm met een router/loadbalancer kan wel, is denk ik alleen veel te duur omdat je aangeeft dat het allemaal gesponsord is!

Een van de eerdere DDoS aanvallen, via een aantal gehackte ISS bakken op buitenlandse universiteiten leverde een flood op van 100 mbit continu, met een eenmalige piek van bijna 400 mbit. Daar is geen load balancer tegenop gewassen.

ALL-CAPS WITH NO PUNCTUATION IS SO MUCH TRUER TO THE WAY THOUGHTS HURTLE OUT OF THE HUMAN BRAIN THAN CAREFULLY MANICURED AND PUNCTUATED SENTENCES COULD EVER BE

Acties:

dinsdag 24 september 2002 15:21

JumpStart schreef op 24 september 2002 @ 14:24:
[...]

Een van de eerdere DDoS aanvallen, via een aantal gehackte ISS bakken op buitenlandse universiteiten leverde een flood op van 100 mbit continu, met een eenmalige piek van bijna 400 mbit. Daar is geen load balancer tegenop gewassen.

Klopt, ik denk ook dat je er 2 moet hebben, met 2 verschillende ip's.
En dan zoiets als wanneer er Ddos op de ene binnenkomt dat ie alles dicht gooid, en de andere het op een ander internetip overneemt, maar in de praktijk kan dit denk ik niet!

Ddos is nl (nog) niet te voorkomen/beschermen!

* Erkens is een sukkel en ramt in mirc op f5 :+
* XTerm GROOOOOOTE kuis houden op hd's :)

Acties:

Booster

Superuser

Mensen die niet weten wat ze in zo'n geval *ongeveer* moeten doen zouden niet moeten hosten imho.

Maargoed, misschien handig om te vragen of de betreffende colocater filters in hun firewall wil aanbrengen. (aannemende dat ze iets van een firewall hebben)

En tja, op rechtsgebied weet ik er niet enorm veel vanaf. Uiteraard moet je alles bewaren aan logs en ALLES wat je nog hebt van deze DDoS aanvallen.

The cake is a lie | The Borealis awaits...

dinsdag 24 september 2002 15:40

Acties:

Verwijderd

Het dataverkeer bestaat hoogst waarschijlijk gewoon uit loze icmp pings die achter elkaar met veel bytes binnenkomen.

Je zou dus kunnen vragen aan het bedrijf waarbij jij je site host om zei icmp pings willen blokken, als dat gebeurt wordt het dataverkeer er waarschijlijk bij hun snelle routers er al uitgefilterd...

De pakketjes komen niet aan, de hosting provider heeft minder last van dataverkeer op hun eigen netwerkt, minder belasting van de servers, jij hoeft je dataverkeer niet te betalen en al de sites blijven up.

Logisch gevolg is dat er gewoon helemaal niet meer gedossed word en dat is dan natuurlijk de beste oplossing, tenzij je hosting provider lekker aan jou wil verdienen en zelf al die data verkeer genereert

Ik weet natuurlijk niet of dit een beetje makkelijk te blocken is maar zelfs een Draytek 2200E kan het, iig even je hosting provider bellen dus...

iig succes

dinsdag 24 september 2002 15:47

Acties:

jep

Verwijderd schreef op 24 september 2002 @ 15:40:
Het dataverkeer bestaat hoogst waarschijlijk gewoon uit loze icmp pings die achter elkaar met veel bytes binnenkomen.

Hoezo? Kan zoveel zijn, icmp gebeurt maar weinig.

Je zou dus kunnen vragen aan het bedrijf waarbij jij je site host om zei icmp pings willen blokken, als dat gebeurt wordt het dataverkeer er waarschijlijk bij hun snelle routers er al uitgefilterd...

Wie gaat dat transit-verkeer betalen? Provider zou wel gek zijn.

De pakketjes komen niet aan, de hosting provider heeft minder last van dataverkeer op hun eigen netwerkt, minder belasting van de servers, jij hoeft je dataverkeer niet te betalen en al de sites blijven up.

Dataverkeer wat voor jou bestemd is, behoor je ook te betalen.. denk je niet? Lijkt me niet erg slim van die provider als ze alles voor je betalen.

Logisch gevolg is dat er gewoon helemaal niet meer gedossed word en dat is dan natuurlijk de beste oplossing, tenzij je hosting provider lekker aan jou wil verdienen en zelf al die data verkeer genereert

Ik weet natuurlijk niet of dit een beetje makkelijk te blocken is maar zelfs een Draytek 2200E kan het, iig even je hosting provider bellen dus...

iig succes

Jij kan DDoS attacks tegen houden met jou Draytek? Dan ben jij een héle knappe jongen.

dinsdag 24 september 2002 15:55

Acties:

Verwijderd

Jij kan DDoS attacks tegen houden met jou Draytek? Dan ben jij een héle knappe jongen.

Dat natuurlijk ook niet, maar me router zorgt er wel voor dat ik niet te pinge ben, de download pakketjes komen natuurlijk wel aan maar replye gaat ie natuurlijk niet, dood door een ddos attack ga ik natuurlijk wel omdat me hele download vol zit... Over me eige netwerk (switched 100Mbit langs draytek) gaan die pakketjes ook niet hoor, worden er gewoon uitgefilterd...

Maar als de provider gewoon alle data die langs hun router komt filteren op bepaalde pakketjes en die er tussen uithalen zullen er geen pakketjes meer op zijn host aankomen en als hosting bedrijf mag je toch wel voor een beetje stabiliteit zorgen... En ICMP gebeurt veel en als dat het niet is moet het toch makkelijk na te gaan zijn wat het dan wel is...

dinsdag 24 september 2002 15:56

Acties:

dinsdag 24 september 2002 15:59

jep schreef op 24 september 2002 @ 15:47:
[...]

Hoezo? Kan zoveel zijn, icmp gebeurt maar weinig.

[...]

Wie gaat dat transit-verkeer betalen? Provider zou wel gek zijn.

[...]

Dataverkeer wat voor jou bestemd is, behoor je ook te betalen.. denk je niet? Lijkt me niet erg slim van die provider als ze alles voor je betalen.

[...]

Jij kan DDoS attacks tegen houden met jou Draytek? Dan ben jij een héle knappe jongen.

Als ik me niet vergis an Ddos over elke openstaande poort, het houd gewoon in dat er nutteloze data verstuurd word, en er zijn weinig programma's die daar goed mee om kunnen gaan.

* Erkens is een sukkel en ramt in mirc op f5 :+
* XTerm GROOOOOOTE kuis houden op hd's :)

Acties:

Verwijderd

Topicstarter: Post anders een aantal ip's van ddos bakkies, zijn we er zo uit wat voor dataverkeer te versturen en of het dus tegen te houden is voor je hosting provider...

dinsdag 24 september 2002 16:00

Acties:

Quinie

.nl

JumpStart schreef op 24 september 2002 @ 11:39:
[...]
http://grc.com/dos/grcdos.htm

[...]

Je komt zelf met deze link waarin veel nuttige info staat.
Heb je b.v. al uitgezocht wat er wordt gebruik bij de DoS aanval.

http://www.Quinie.nl
http://soundcloud.com/quinie
https://www.wereoutthere.nl

dinsdag 24 september 2002 16:12

Acties:

dinsdag 24 september 2002 20:30

Verwijderd schreef op 24 september 2002 @ 15:55:Maar als de provider gewoon alle data die langs hun router komt filteren op bepaalde pakketjes en die er tussen uithalen zullen er geen pakketjes meer op zijn host aankomen en als hosting bedrijf mag je toch wel voor een beetje stabiliteit zorgen... En ICMP gebeurt veel en als dat het niet is moet het toch makkelijk na te gaan zijn wat het dan wel is...

Als je een bak gecolocate hebt staan word er niet gefilterd, daar moet je zelf voor zorgen.
Ik denk ook niet dar een coreswitch gemaakt is om te filteren.

* Erkens is een sukkel en ramt in mirc op f5 :+
* XTerm GROOOOOOTE kuis houden op hd's :)

Acties:

vargo

Dat artikel op GRC.com is zeerzeker een aanrader! Lees dat!
Een distributed DOS attack is erg moeilijk tegen te gaan. Probleem is dat de aanvaller vaak gebruik maakt van exploits op andere systemen om jou aan te vallen. Ook is het zeer moeilijk om uit te zoeken wie je heeft aangevallen en te bewijzen (dus niet met een irc log).
Wat ik zou doen is je logfiles naspitten om te kijken waar de aanvallen vandaan komen.
Benader die personen voor medewerking (eventueel met dreiging van schadeclaim???) en probeer via hun logfiles uit te zoeken wie je heeft aangevallen.
Hiermee kan je aantonen wie het is geweest en heb je bewijs voldoende voor justitie om iets hiertegen te doen.

Nogmaals: lees het GRC artikel!

dinsdag 24 september 2002 20:49

Acties:

mavink

Anyway, als je echt aangifte wilt doen moet je waarschijnlijk bij de KLPD zijn, en dan de Groep Digitaal Rechercheren. Die zijn in dit soort dingen "gespecialiseerd". En als die je niet kunnen helpen weten ze vast wel wie wel, en kunnen ze je ook helpen met eventueel verzamelen van bewijsmateriaal etc.

woensdag 27 oktober 2004 13:01

Acties:

TromboneFreakus

Ergo

Het topic is wat ouder, maar toch even...

Ik maak gebruik van shared hosting en mijn domain ligt nu plat (dus een heleboel domains, maar goed...). Nu vraag ik me af: heeft iemand in die situatie al eens voor zichzelf aangifte gedaan, of werd dat niet geaccepteerd?

Of het zin heeft of niet is een tweede, het is in ieder geval een signaal aan de politie. Net als dat aangifte doen van fietsendiefstal strikt genomen geen zin heeft, maar in ieder geval de statistieken op peil houdt....

Daar gaat mijn vraag dus niet over, ik ben benieuwd naar de ervaring/de praktijk.

woensdag 27 oktober 2004 13:20

Acties:

jep

Ik heb regelmatig DDoS attacks op 1 server (die fysiek niet in 't zelfde netwerkje zit als mijn andere machines) maar de politie heeft er geen tijd voor.

1 Keer wist ik de naam en adres gegevens van de daders, maar de politie gaf aan de aangifte wel op te willen nemen, maar puur voor de statistiek. Ook het cyberteam van politie gaf aan hier geen tijd voor te hebben.

Zelf een oplossing regelen dus. Het wordt nog eens cyber oorlog.

woensdag 27 oktober 2004 13:31

Acties:

Neophyte

it's back....

Wil niemand aanzetten tot verkeerde praktijken, maar de politie doet hier niks tegen nee, ten eerste omdat ze er weinig verstand van hebben en het deeltje dat dat wel heeft, heeft het drukker met voor hun meer belangrijke zaken. En omdat de wet veel te moeilijk is op dit vlak nemen ze gewoon niet de moeite om er een zaak van te maken. Zie het voorbeeld van het platleggen van de overheidssites...

Dus eigenlijk komt het er op neer dat als je het wilt oplossen je het zelf moet doen... Helaas...

Senri no michi mo ippo kara

woensdag 27 oktober 2004 14:26

Acties:

SithWarrior

Ik ben uniek, net als iedereen

Ik wil nog wel even kwijt dat in bovenstaand verhaal, dat er niks uit gekomen is. Zowel als de ISP's als de politie heeft er maar weining mee gedaan.Gelukkig is die gast van zelf gestopt. (Was het zelfs al weer bijna helemaal vergeten zo lang geleden

)

You can take a picture of something you see. In the future, where will I be?

woensdag 27 oktober 2004 14:44

Acties: