Anbieterverhalten bei amplification/reflection Attacken

U

uname

New Member
Nachdem einer mein (v)server Opfer der aktuellen ntp reflection attacken wurde und mir netcup diesen eiskalt
deaktviert hat (was sicherlich auch den AGB entspricht (leider haben sie es dann verdorben mir ihn wieder
zugaenglich zu machen 8( )), wuerden mich Erfahrungsberichte mit anderen Anbietern interessieren.

Ich hatte dazu einige der Anbieter von vserver/vps angeschrieben und nach deren Verhaltensweisen, im Falle
einer solchen Attacke gefragt. Die Antworten waren alle ziemlich wohlklingend, was in der moeglichen Kundengewinnung
begruendet liegen mag.

Mich wuerde nun interessieren, wie verhalten sich hier die Anbieter in realen Situationen, wer regelt das
"kundenfreundlich" und drosselt z.B. den virtuellen Port auf ein ungefaehrliches Mass? Wer ruft zeitnah an?
Wie ist das Prozedere? Netcup moechte z.B. eine zugefaxte Unterlassungserklaerung, eine (Wieder)Inbetriebnahme
ist allerdings nur Geschaeftszeiten moeglich. Es kann immer vorkommen, dass man in eine solche Situation reingeraet.
Man moechte aber sicher nicht, dass einem spontan die Dienste abgedreht werden.


Habe mich extra angemeldet, bisher hatte ich nicht die Notwendigkeit mich fuer solche Themen zu interessieren,
man lernt nie aus. 8)
 
Ich hatte mal bei server4you.de auf meinem Rootserver eine mit > 2500 DNS Servern abbekommen.

Die 2500 waren diejenigen, die von den IPTables abgelehnt wurden, ob es noch mehr waren, keine Ahnung.

Nach ca 5 Minuten war der Spuk vorbei. Laut Support Aussage hat server4you die dann erkannt und gefilter.

Bei OVH ist seit einigen Monaten eine DDOS Protection offiziell mit inbegriffen. Erfahrungen, wie sie mit Kunden umgehen, die öfters angegriffen werden, habe ich keine. Ich will da nichts unterstellen, könnte mir aber vorstellen, dass man Kunden unter Dauerangriff nicht gerne halten möchte ;)
 
Vielleicht darf auch ein Provider etwas dazu schreiben :)

Abuse != Abuse
Je nach Art der Abuse kann es sich um einen kritischen oder unkritischeren Vorgang handeln. Bekommt jemand eine Abuse in der mitgeteilt wird, dass eine Webseite Viren im Internet verteilt, ist das nicht gleichzusetzen mit einer SPAM sendenden Webseite oder einem Server, der andere Server im Internet mit Paketen Flutet. Man sollte hier als ISP doch deutliche Unterscheidungen treffen.

Klare Richtlinien, wie man sich als Anbieter hier verhalten soll gibt es eigentlich nicht. Manche Anbieter ignorieren Abuse, manche leiten es weiter, manche wollen ein FAX mit irgendwelchen Unterlassungserklärungen. Welche Vorgehensweise jetzt gut / schlecht ist...

Wir verhalten uns bei Abuse immer so, wie wir es für angemessen halten. Ist die Abuse Meldung eher unkritisch, leiten wir diese lediglich an den Kunden weiter. Ist es kritisch, sperren wir z.B. die Webseite und informieren den Kunden. Hat der Kunde das Problem an der Webseite beseitigt oder mitgeteilt, dass er jetzt Zeit hat, den Server zu prüfen und das Problem zu beseitigen, schalten wir die Leistung wieder frei. Kunden die einen erweiterten Service gebucht haben und wo wir wissen, dass kritische Dienste betrieben werden, informieren wir telefonisch bevor irgendetwas gesperrt wird. Meist reagieren solche Kunden auch sehr schnell auf Abuse Meldungen.

Die Pflege eines großen bürokratischen Aufwands in Form von schriftlichen Unterlassungserklärungen ist in meinen Augen mit Kanonen auf Spatzen geschossen (meine persönliche Meinung). Das Problem hierbei ist auch, dass der Webhosting Kunde der seine Webseite von einem Freund mit Joomla installieren ließ und die Joomla Installation jetzt SPAM Mails versendet, von so einen Vorgehen verständlicherweise stark abgeschreckt wird und meist auch gar nicht versteht um was es überhaupt geht. Auch ist eine mögliche automatisierte Sperrung bei Abuse ein sehr heißes Thema was durchaus zu Schadenersatzansprüchen führen kann.

Wie gesagt, jeden das Seine, man sollte nur die Kunden und deren Ansprüche im Blick behalten.
 
Bei uns ist es so, dass wir oder z.T. unsere Carrier schon eine automatische Erkennung haben und die Pakete dann filtern.
Allerdings auch hier: Wenn das mehrfach täglich vorkommt und die Infrastruktur resp. andere Kunden darunter leiden, würden wir auch irgendwann dem Kunden eine vorzeitige Vertragskündigung ans Herz legen...

Bei ausgehenden Attacken prüfen wir üblicherweise auch, was denn so konkret passiert und ob es selektiv gefiltert werden kann - bei offenen DNS-Resolvern sperren wir im Zweifel erstmal Port 53/UDP eingehend und schicken eine E-Mail mit der Bitte, dass da etwas passiert.
 
Ok, vielen Dank erst mal fuer die Antworten und die Informationen. Das Filtern des betroffenen Dienstes (sofern moeglich)
scheint mir am sinnvollsten, gerade wenn es sich wie in meinem Beispiel um ntp handelt, ist das vollkommen undramatisch
und der Anbieter hat Sorge getragen, nach aussen getragene stoerende Pakete zu unterbinden.

Wir machen das auch, allerdings nicht im Server Bereich, sondern bei der Terminierung von Breitband Anschluessen,
wenn z.B. die Kunden einen Spambot installiert haben, wird einfach auf dem BRAS smtp ausgehend gesperrt (Kunde
wird natuerlich informiert).

Zum Thema Unterlassungserklaerungen, hier habe ich habe ich sowieso das Problem, dass ich nicht wirklich die
Unterlassug erklaeren kann (was ich aber soll). Wie soll ich wissen, welcher Dienst zukuenftig irgendeine Schwaeche
aufzeigt, welche missbraucht werden kann. Haeufig passiert das ja bevor irgend ein advisory draussen ist.
Mehr als nach besten Wissen und Gewissen geht halt nicht. Eine solche Erklaerung scheint mir eher fuer
vorsaetzliche Angriffe oder irgenwelche Fahrlaessigkeiten gedacht.
 
Das mit der Unterlassungserklärung machen viele Hoster auch deshalb, um sich damit selbst gegenüber (Rechts-)Ansprüchen Dritter abzusichern. Die Rechtslage schaut in Deutschland grob gesagt so aus, dass ich als Hoster ab Kenntnisnahme (Eingang der Abuse-Meldung) ggf. als Mitstörer haftbar gemacht werden kann. Im Worst Case können sich daraus dann z.B. Schadenersatzansprüche gegen mich als Hoster ergeben, obwohl das Fehlverhalten eigentlich von einem meiner Kunden ausging.

Durch die Aufforderung zur Abgabe einer Unterlassungserklärung zeige ich an, dass ich mich in Hinblick auf einen zukünftigen Rechtsstreit "adäquat" vehalten habe. Das stellt also eine reine Vorsichtsmaßnahme dar. Natürlich kann ich damit auch etwaige "Kiddies" abschrecken. Wenn ich also auf Risikominimierung aus bin, dann nötigt mich die aktuelle Rechtslage fast schon zu einer derartigen Maßnahme.
 
tomasini said:
Durch die Aufforderung zur Abgabe einer Unterlassungserklärung zeige ich an, dass ich mich in Hinblick auf einen zukünftigen Rechtsstreit "adäquat" vehalten habe. Das stellt also eine reine Vorsichtsmaßnahme dar. Natürlich kann ich damit auch etwaige "Kiddies" abschrecken. Wenn ich also auf Risikominimierung aus bin, dann nötigt mich die aktuelle Rechtslage fast schon zu einer derartigen Maßnahme.
Click to expand...

Nun ja, es machen ja anscheinend nicht alle. Ich finde es rechtlich kritisch (ianal), eine Erklaerung "pro forma"
zu unterschreiben, obwohl in einem solchen Fall die Unterlassung ja gar nicht garantiert werden kann. Fuer den
Kunden ist das sicher keine Risikominimierung.
 
You must log in or register to reply here.
Back
Top