webtropia/myLoc/fastit! Serversperrung (Nullroute) 6 Stunden lang

[federschuh]

Vorsicht vor dem Server-Hoster myLoc / webtropia / fastit !

Dieser Hoster sperrt den Server für ganze 6 Stunden (und das mindestens!) wenn eine DoS-Attacke
von Aussen auf den Server detektiert wird!

Diese wichtige Information steht nirgendwo, weder in deren AGB noch im Vertrag
noch im Kleingedruckten.

So sieht das Schreiben von myLoc/webtropia in so einem Fall aus:

"
Sehr geehrter Herr XXXXXX,

wir möchten Sie darüber in Kenntnis setzen, dass unser Intrusion Detection System
auf Grund eingehender Denial of Service Attacken auf Ihren Server XXXXX.cyan.fastwebserver.de,
diesen durch eine Nullroute gesperrt hat, um weitere Auswirkungen auf unsere Infrastruktur zu vermeiden.

Ihr Server wird automatisch nach Ablauf von sechs Stunden wieder entsperrt.
Sollten die Attacken jedoch zum Zeitpunkt der Entsperrung weiterhin massiv auftreten,
könnte dies eine weitere Sperrung nach sich ziehen.

Falls Rückfragen zu diesem Hinweis bestehen sollten, so steht Ihnen unser Support
unter [email protected] selbstverständlich gerne zur Verfügung.

Mit freundlichen Grüßen,
Ihr webtropia.com Team
"

Also, Vorsicht vor diesem Anbieter, denn einen Internet-Server der heutztage 6 Stunden lang nicht erreichbar ist,
kann man nicht mehr "Internet-Server" nennen.

Sie lassen auch nicht mit sich reden um die 6 Stunden zu verkürzen, auch eine Beschwerde bei der Geschäftsleitung bringt nichts.

Für Gewerbetreibende, die Internetdienste auf Miet-Servern bei myLoc/webtropia haben, kann das den Ruin bedeuten...
Denkt mal an einen eMail-Server, oder Web-Server, oder DNS-Server oder ftp-server usw. bei so einem Anbieter...

.

 

[Ben.]

1. Es gibt immer zwei Ansichten.
2. Webtropia ist nicht der einzige Anbieter der so reagiert.

 

[wstuermer]

1. ist das nun mal die kostengünstigste Maßnahme, die Gefährdung der Infrastruktur zu unterbinden,
2. hat eine (D)DoS auch immer irgendwo eine Ursache. In den seltensten Fällen entspringt diese aus purer Langeweile.

 

[federschuh]

Man selber kann völlig unschuldig sein. Man bekommt eine IP von denen, welches schon x-mal vergeben wurde, also es braucht nur der Vorbesitzer der IP so eine DoS-Attacke auf sich ziehen. Das Opfer ist der neue Besitzer der IP. Was die Angreifer nicht schaffen, das erledigt der eigene Provider!
Webtropia/myLoc kann nicht mal zwischen einer brachliegenden (also, nicht eingebundenen IP) und einer aktiven IP unterscheiden, die sperren immer.

.

 

[Ben.]

Solltest du nicht eher über die Angreifer verärgert sein?

Dass Webtropia ihre Infrastruktur schützt (und damit anderen Kunden deine Probleme erspart), ist für dich ärgerlich, für andere ein Segen, für sie selber die effizienteste Lösung.

Wenn du also aus diesem Grunde vor Webtropia "warnst", solltest du der Vollständigkeit halber alle anderen gleichagierenden Provider mit einbeziehen (Hetzner, Strato, 1und1 etc. vermutlich nämlich auch).

 

[yago]

Webtropia/myLoc kann nicht mal zwischen einer brachliegenden (also, nicht eingebundenen IP) und einer aktiven IP unterscheiden, die sperren immer.

.

Laut Aussage von webtropia hier im Forum, sperren die immer nur die IP, die den Angriff abbekommt.

 

[Jesaja]

Hetzner handelt definitiv genauso. Bei OVH bin ich mir recht sicher. Bei allen anderen günstigen Hostern würds mich wundern, wenn die anders handeln.

Was wäre denn die Alternative?
Dern DDOS filtern ist zu teuer, den Traffic weiter zum Kunden routen beeinträchtigt möglicherweise das Netz und andere Kunden.

 

[Deleted member 11691]

Also echt jetzt:

Ob Webtropia dafür sorgt, dass dein Server unerreichbar ist, oder das der Angreifer macht, ist ja schon egal?

 

[maltris]

diese aus purer Langeweile.

Aber auch das passiert. Gibt sogar User hier im Forum die genau das hin und wieder praktizieren weil sie vermutlich uebertriebenes Fruehrungs- oder Geltungsbeduerfnis haben.

Funfact: Eine dieser Personen hat in diesem Thread schon gepostet.
Funfactfunfact: Und das auch gar nicht so weit entfernt von meinem Posting.

 

[mr_brain]

Wenn man wirtschaftlich davon abhängig ist, das sein Server erreichbar ist, dann sollte man das entsprechende Kapital in die Hand nehmen und nicht auf hohem Niveau jammern. Eine entsprechende DDoS-Mitigation bieten heute recht viele Anbieter. Natürlich muss diese teure Investition in Hardware entsprechend refinanziert werden. Möchte der Kunde eben nur einen preiswerten Server ohne sonstige Zusatzleistungen und etwaige Redundanzen, so muss er wohl über übel damit leben, dass er in solchen Fällen mal null-geroutet wird.

 

[Thunderbyte]

Ich habe jetzt mal das Thema neutraler formuliert. Wegen DDoS Schutzmaßnahmen, die einen Server (erfolgreich) vom Internet trennen, vor einem Anbieter zu warnen, ist unqualifiziert und völliger Quatsch.

1. Der Angegriffene sollte DANKBAR sein, dass der Server nicht die volle Wucht abbekommt, sondern der ganze Traffic vorher abgefangen wird (insbesondere wenn keine Flatrate da ist).

2. Der Angegriffene sollte sich Gedanken darüber machen, wieso er angegriffen wird. Aus bloßem Jux und Dollerei passiert das i.d.R. nicht.

3. Das "IP Argument" ist Blödsinn. Wer einen DDoS startet, wird schon vorher das Ziel ganz genau ausmachen und nicht eine IP treffen, die "irgendwann" mal jemand gehört hat.

4. Ob ein DDoS einen Server wg Überlastung vom Internet trennt oder diese Trennung per Nullrouting automatisch passiert dürfte ziemlich egal sein.

Vermutung: eine ungerechtfertigte und nervige "aufbrausende Gemütsart", die auch im Ursprungsthread klar ersichtlich ist, hat dazu geführt, dass sich jemand auf den Schlips getreten fühlt.

 

[federschuh]

wie schon geschrieben: die betroffene IP war gar nicht mal aktiv, sie ist nur eine noch nie eingesetzte IP aus dem IP-Paket... D.h. die Attacke muss sehr wohl dem Vorbesitzer gegolten haben...

 

[s24!]

Was die eigene Schuld an einer DDoS-Attacke angeht:

Quatsch. Spätestens bei Webhosting-Nodes hat man keine Chance mehr, herauszufinden, an welchen Kunden die Attacke eigentlich gerichtet ist (und kommt mir jetzt nicht mit einer IP pro vHosts - das lässt sich einrichten, wenn IPv6 flächendeckend unterstützt wird).


Zum Argument, dass der Server so oder so offline ist:

Das stimmt prinzipiell, aber DDoS-Attacken > 1 GBit/s dauern meiner Erfahrung nach in den seltesten Fällen länger als 30-90 Minuten. Wenn der Server sechs Stunden gesperrt wird, muss der Angreifer nur fünf Minuten lang genug Bandbreite aufbringen und der Serverbetreiber hat ein dezentes Problem.
Etwas besser ist das meiner Meinung nach bei Hetzner; dort wird nicht automatisch entsperrt (gesperrt wird übrigens nur die angegriffene IP), sondern nach Supportanfrage geprüft, ob der Angriff noch läuft und ggf. dann wieder entsperrt. Nachteil, den man nicht unterschätzen sollte: Ab 18:00 Uhr arbeitet die Netzwerkabteilung nicht mehr.
Die bislang beste Lösung habe ich bei IP-Projects gesehen, wo 20 oder 30 Minuten nullrouted und anschließend automatisch entsperrt wird.

 

[Deleted member 11691]

30 Minuten

Sind genau 30 Minuten... Ob ab Nullrouting oder ab letztem DDoS-Paket kann ich nicht sagen. Aber: Nullrouten tut nicht IP-Projects selber sondern Accelerated davor schon (und das verdammt gut).

 

[Thunderbyte]

Aber hier geht es um einen abgehängten Server. Insofern eine (oder mehrere) IP(s).

 

[Firewire2002]

Spätestens bei Webhosting-Nodes hat man keine Chance mehr, herauszufinden, an welchen Kunden die Attacke eigentlich gerichtet ist

Keine Chance? Du scheinst nicht viel Erfahrung in der Branche zu haben. Das geht, auch ohne separate IP pro Kunden.

 

[Spin-Doc]

Gib dem Threadersteller doch ein paar Stichpunkte zur Google-Fütterung, damit er und andere evtl. Wissenslücken füllen können.

 

[Joe User]

wie schon geschrieben: die betroffene IP war gar nicht mal aktiv, sie ist nur eine noch nie eingesetzte IP

Warum regst Du Dich dann darüber auf? Wenn die IP nicht genutzt wird, dann ist es doch egal ob sie nullgeroutet ist oder nicht.

Und wenn Du wirklich ein Business auf billigen Mietservern betreibst, dann stellt sich mir ernsthaft die Frage, ob das Business auf einem soliden Businessplan oder eher einer unüberlegten fixen Idee beruht. Ein solider Businessplan hätte nämlich eine vorherige gründliche Evaluierung der potentiellen Geschäftspartner erfordert und dazu gehört eben auch dieses Thema und ein Plan B für den Fall den Fälle.

Kurz: YGWYPF

Ein Koch kauft seine Messer auch nicht für 10EUR im Supermarkt, sondern für ein Vielfaches im Fachhandel. Schneiden tun Beide...

 

[s24!]

Warum regst Du Dich dann darüber auf?

Ein Grund zur Aufregung des TE scheint zu sein, dass ihn die AGB über diesen Sachverhalt nicht (ausreichend) aufklären.

 

[Joe User]

Müssen die AGB auch nicht tun. Wäre auch dumm vom Anbieter dies in die AGB aufzunehmen, denn wenn er das Nullrouting später mal auf 8 Stunden verlängern wollen würde, müssten die Kunden erst den dann fälligen neuen AGB zustimmen oder von dem dann entstehenden Sonderkündigungsrecht gebrauch machen.

AGB sind keine Pflicht und müssen auch nicht jeden Furz enthalten, aber wenn vorhanden, dann müssen sich beide Seiten an den Inhalt (und der Anbieter zusätzlich ans AGBG) halten.

Manchmal sind keine AGB durchaus von Vorteil