webtropia/myLoc/fastit! Serversperrung (Nullroute) 6 Stunden lang

Fusl

Blog Benutzer
Du scheinst nicht viel Erfahrung in der Branche zu haben. Das geht, auch ohne separate IP pro Kunden. ;)
Du ebenfalls nicht.

Nehmen wir als Beispiel bplaced:

Sarkastisch gemeint -> ptohoart.bplaced.net kenne ich nicht und daher würde ich es niemals offline nehmen ^^
Code:
fusl@thinktop:~$ # Ich mag photoart.bplaced.net nicht und fange nun an diese Seite offline zu nehmen:
fusl@thinktop:~$ host ptohoart.bplaced.net
ptohoart.bplaced.net has address 5.9.107.19
fusl@thinktop:~$ host 5.9.107.19
19.107.9.5.in-addr.arpa domain name pointer bplaced.net.
fusl@thinktop:~$ blablablaofflinenehmddosundsoeinbefehl 5.9.107.19 fuer-2-tage-fluten

Die sehen dann nurnoch einen eingehenden Angriff auf die IP 5.9.107.19 und du sagst mir/uns, dass man hier zurückverfolgen kann, wen der Angreifer nun nicht mag?

Achja, eventuell schickt ja der Angreifer ja vorher noch eine Mail:

Hallo,

ich greife nun die IP-Adresse 5.9.107.19 von euch an, da mir die Seite "ptohoart.bplaced.net" nicht gefällt.

:rolleyes:
 

TerraX

Active Member
Aber auch das passiert. Gibt sogar User hier im Forum die genau das hin und wieder praktizieren weil sie vermutlich uebertriebenes Fruehrungs- oder Geltungsbeduerfnis haben.

Funfact: Eine dieser Personen hat in diesem Thread schon gepostet.
Funfactfunfact: Und das auch gar nicht so weit entfernt von meinem Posting.
Du kannst diese Behauptung sicherlich mit entsprechenden Nachweisen unterlegen?
 

Firewire2002

Registered User
du sagst mir/uns, dass man hier zurückverfolgen kann, wen der Angreifer nun nicht mag?
Meine Aussage bezog sich in erster Linie auf "Keine Chance". Technisch gibt es aber sehr wohl Möglichkeiten. Ob diese wirtschaftlich in jedem Falle sinnvoll sind, steht auf einem anderen Blatt.
Aber wir sind hier nun mal Admins und keine Unternehmensberater oder Wirtschaftsprüfer. Somit stehen die technischen Gedanken im Vordergrund. ;)
Da das Thema nicht hier in den Thread gehört, wurden auch entsprechend tiefer greifende Hinweis mit der beteiligten Person schon diskutiert und soweit ich den Reaktionen entnehmen konnte, wurde meinen Ausführen was die technische Machbarkeit berifft auch nicht widersprochen.
 

Eve

New Member
Solltest du nicht eher über die Angreifer verärgert sein?

Dass Webtropia ihre Infrastruktur schützt (und damit anderen Kunden deine Probleme erspart), ist für dich ärgerlich, für andere ein Segen, für sie selber die effizienteste Lösung.

Ich greif das hier einfach mal auf. Ich kann aus eigener Erfahrung sagen das Webtropia ziemlich krasse NulRoute Politik Betreibt es sind Jetzt nur noch 6 Stunden vor ein paar Monaten waren es noch 12... Mein Server wurde von Webtropia genullroutet weil ein paar Tausend UDP Pakete durch gingen die nichts mir einem Angriff zu tun hatte lediglich mit einem gut besuchten TeamSpeak3 Server... man bekommt von Webtropia auch nichtmal Zeit selber zu Reagieren in der selben Sekunde geht eine Mail Raus und der Server ist vom Netz. Ein Scriptkiddie DoS mit irgendwelchen Tools muss doch nich genullroutet werden... Bei einem DDoS Verstehe ich das da muss man die Kiste vom Netz nehmen wenn nicht genug Anbindung da ist. Aber bei nem SlowLoris ist das schon Übertrieben...
 
Last edited by a moderator:
F

federschuh

Guest
Man müsste doch mit Ersatz-IPs die man bei Bedarf autom. hinzuschaltet bzw. aktiviert,
dennoch erreichbar bleiben ("Hochverfügbarkeit"), insb. wenn man einen eigenen DNS-Server betreibt
und darin die eigene Domain selber verwaltet.
Kann das aber bei einer DDoS-Attacke funktionieren?
 
Last edited by a moderator:
D

Deleted member 11740

Guest
Theoretisch ja. Ich weiß nicht, wie weit die Betreiber ihre IPs routen können. Wenn es eine IP aus einem anderen Subnetz des Providers ist, auf jeden Fall.

Es ist dann aber nur eine Frage der Zeit, bis der Angreifer das merkt.
Sicherlich würde er dann die Ersatz-IP angreifen.

Du kannst es drehen und wenden wie du willst. Wenn dir jemand ans Bein pissen will, dann macht er das. Du kannst nur viel Geld in die Hand nehmen und z.B. Cloud-Server oder HA-Cluster mieten. Meines erachtens sollte es viele Provider geben, die sich nur darauf spezialisiert haben.

Es gibt auch durchaus gute vServer bei Cloud-Anbietern wie z.B. Amazon, die sogar eine Dokumentierte API anbieten.

Letzenendes ist es eine Frage der Wirtschaftlichkeit. Technisch machbar ist fast alles. Das Internet gibt es nicht erst seit gestern und dDoS-Angriffe gibt es auch schon länger.
 

infinitnet

New Member
Es ist völlig normal, dass ein Provider eine IP nullroutet, wenn sie angegriffen wird. Wenn (D)DoS zu erwarten ist, sollte man sich im Vorfeld nach entsprechenden Möglichkeiten umsehen, um selbigen zu mitigieren und dann nicht dem bösen Provider die Schuld geben. Falls die IP tatsächlich noch nicht von dir verwendet wurde, ist das natürlich ärgerlich. Hier sollte man sich einfach den Provider wenden und ihm dies mitteilen, um ggf. eine andere IP ohne "Vorgeschichte" zu bekommen.

Keine Chance? Du scheinst nicht viel Erfahrung in der Branche zu haben. Das geht, auch ohne separate IP pro Kunden. ;)
Mich würde sehr interessieren, wie man beispielsweise UDP-Flood auf einem Shared-Server mit einer gemeinsamen IP einem einzelnen Kunden zuordnen soll oder sonst irgendwas, wenn direkt die IP angegriffen wird.
 

Thunderbyte

Moderator
Staff member
Mit Diensten wie https://www.cloudflare.com/ kann man als Webseitenbetreiber (egal ob Webspace oder Server) einen DDoS ganz gut begrenzen UND hat Zugriff auf einen ganz vernünftigen externen DNS Server.

In der Tat ist es aus mehreren Gründen fahrlässig, auf dem eigenen Root den DNS Server für die eigenen Domains zu hosten. Dann ist nämlich bei einem Serverausfall ALLES platt, auch das was nicht auf dem Server liegt.
 

xeomueller

Registered User
Scheinbar geht myLoc mit dem Limit runter. Heute Nacht habe ich folgende E-Mail bekommen:

Sehr geehrter Herr Name,

wir möchten Sie darüber in Kenntnis setzen, dass unser Intrusion Detection System auf Grund eingehender Denial of Service Attacken auf Ihren Server , diesen durch eine Nullroute gesperrt hat, um weitere Auswirkungen auf unsere Infrastruktur zu vermeiden.

Ihr Server wird automatisch nach Ablauf von zwei Stunden wieder entsperrt. Sollten die Attacken jedoch zum Zeitpunkt der Entsperrung weiterhin massiv auftreten, könnte dies eine weitere Sperrung nach sich ziehen.

Falls Rückfragen zu diesem Hinweis bestehen sollten, so steht Ihnen unser Support unter support@myLoc.de selbstverständlich gerne zur Verfügung.
 
Top