Wo sind die 5 GBit/s vom DDOS-Filter ?

  • Guten Morgen,


    da hätte ich dann aber nochmal eine Rückfrage.

    Gab es Ende letzten Jahres/Anfang diesen Jahres eine Störung beim DDoS Filter?

    Wie beschrieben, habe ich im oben genannten Zeitraum einige DDoS Angriffe abbekommen, die laut Benachrichtigungsmail definitiv unter den 5 GBit/s lagen und auch maximal ca. 72000 Pakete die Sekunde sendeten. Der Support konnte mir darauf keine zufriedenstellende Antwort geben.

  • Guten Morgen, bzw. jetzt gerade Abend [netcup] Felix ,


    ich besitze alle E-Mails von den Attacken.

    Meine User haben wirklich bei jeder Attacke gemeldet, dass man kaum meinen Server pingen kann.

    Bzw IP ist null.


    Evtl kann es sein, dass Netcup's Filter einige Attacken erfolgreich mitigiert hat und meine IP nicht genulled wurde. Aber ich habe keine E-Mail bekommen, wo der Server trotzdem noch pingbar war.


    Wie funktioniert eigentlich Netcup's DDOS-Filter ?

    Ich hab's zwar mir hier durchgelesen und ich verstehe es auch, aber "wieso" wird schon bei 338.94 MBit/s auf null gerouted als die versprochenen 5000 MBit/s ?


    Kann man denn als Kunde überhaupt was bei Netcup machen für einen besseren Schutz gegen Angriffe, außer wie vom Support die Firewall "besser" einstellen ?


    Verstehen Sie das nicht als Beschwerde, ich will nur Informationen sammeln und darauf hinweisen, dass der Filter ein wenig Probleme hat :)

  • Wen man deinen Server "kaum" pingen kann, dann ist er nicht auf Null geroutet. Müsste man mal analysieren, welche Art von Angriff es überhaupt war.Was für einen Server hast du denn? Anderswo muss ich lesen, dass da der Filter überhaupt erst bei 300.000 Paketen/Sekunde anspringt, weil kleinere Mengen "für den Server kein Problem" seien.


    Die Firewall sollte halt so eingestellt sein, dass nur die wirklich benötigten Ports geöffnet sind und alles andere geblockt wird. Am schnellsten ist immer noch das Paket abgearbeitet, das (außer von der Firewall) gar nicht bearbeitet, sondern gleich ins Datennirwana entsorgt wird.

  • Wen man deinen Server "kaum" pingen kann, dann ist er nicht auf Null geroutet. Müsste man mal analysieren, welche Art von Angriff es überhaupt war.Was für einen Server hast du denn? Anderswo muss ich lesen, dass da der Filter überhaupt erst bei 300.000 Paketen/Sekunde anspringt, weil kleinere Mengen "für den Server kein Problem" seien.


    Die Firewall sollte halt so eingestellt sein, dass nur die wirklich benötigten Ports geöffnet sind und alles andere geblockt wird. Am schnellsten ist immer noch das Paket abgearbeitet, das (außer von der Firewall) gar nicht bearbeitet, sondern gleich ins Datennirwana entsorgt wird.

    Sorry ich meine garnicht pingen.

    Nen Root Server vom Sonderangebot

  • Guten Tag,


    bei allen E-Mails steht halt immer "Aktivierung DDoS-Filter Server v22019057893989734" und dass mein Server auf den kostenlosen DDoS-Filter gerouted wird.

    Ich denke mir: "Okay! Gut, dann werden ja alle bösen Pakete gefiltert." Aber wirklich exakt 5 Minuten jedes mal habe ich 100% paket lost, beim Pingen während des Angriffes.


    Niemand kann mehr zu diesen 5 Minuten auf die Website, Spiele-Server oder sonst was.

    Kann es evtl sein, dass dies ein Systemfehler ist ?

  • Ich würde einfach darauf Tippen, dass der DDoS-Filter erstmal den Datenverkehr analysieren muss um zu lernen, was er genau blocken muss.

    Sprich: Du bekommst den DDoS-Angriff für 5 Minuten in vollen Umfang ab, bis der DDoS-Filter seine gewünschte Wirkung erzielt.

  • Ich würde einfach darauf Tippen, dass der DDoS-Filter erstmal den Datenverkehr analysieren muss um zu lernen, was er genau blocken muss.

    Sprich: Du bekommst den DDoS-Angriff für 5 Minuten in vollen Umfang ab, bis der DDoS-Filter seine gewünschte Wirkung erzielt.

    Würde das so sein, dann wäre das kein effizienter Weg. Die User Anzahl sinkt dadurch und die Leute, die mich attackieren, die freuen sich.

    Auf keinen Fall provoziere ich diese ganzen Angriffe. Diese Leute(Angreifer) sind auf mein Netzwerk eifersüchtig und wollen, dass ich viele User in kürzester Zeit verliere, sobald die sehen, dass mal mehr als gewohnt online sind.

  • Guten Morgen,



    in dem Fall gab es kein Nullrouting, wie zunächst hier geschrieben wurde. Schön das wir dieses klarstellen konnten.


    Ich vermute das hier eine Anwendung betroffen ist, die via UDP Daten austauscht. Mit UDP lassen sich Angriffe so fahren, dass sie im ungünstigen Fall nicht gefiltert werden können. So lässt sich z.B. jedes eintreffende Paket mit einem anderen Absender versehen. Daraus das Muster abzuleiten ist nicht immer möglich und damit kann nicht sauber gefiltert werden. Kein DDoS-Filter kann das. Ich empfehle Ihnen nur Anwendungen zu nutzen die via TCP kommunizieren, wenn Sie von Angriffen auf Basis von UDP betroffen sind.



    Mit freundlichen Grüßen


    Felix Preuß

  • Guten Tag,


    Die Proxy für meine virtuellen GameServer benutzen nur tcp.

    In den Logs von den Angriffen steht z.B "###.##.###.###:123 -> ##.###.###.##:19008 UDP 398550 186.5 M"

    Das heißt also, dass mein Server auf den Port 19008 mit UDP angegriffen worden ist?

    Auf diesen Ports kamen auch UDP Attacken: 19008, 20480, 0, 17753.


    Ich habe mal mit "lsof -i -P -n | grep LISTEN" nachgeschaut, welche Ports gerade aktiv sind und keiner der aktiven Ports stimmt mit den angegriffenen Ports überein.

    Die mir mit diesen Befehl aufgelistet werden, zeigen auch nur TCP an.
    Mit den Befehl "lsof -i -P -n | grep (Hier angegriffener Port)" kommt nichts.


    Ich möchte halt diese Attacken, die mein Server einfach "100% packet lost" machen, aufhören.

    Was kann ich denn jetzt gegen diese UDP Angriffe machen ?

  • MR.CLEAN Du hast ursprünglich geschrieben, dass Du einen Gameserver betreibst und alle Spieler betroffen sind. Verwendet dieser ganz sicher kein UDP? Um welches Spiel geht es überhaupt?

    Es handelt sich um Minecraft. Die Java Version und die Handy Version.

    Es werden 2x proxies betrieben. Alle UnterServer laufen nur über 127.0.0.1 und sind nur local erreichbar, bzw nur durch die Proxy.

    Die proxies benutzen nur TCP. Port 25565 und 19132.

  • Sind denn die nicht benötigten Ports alle in der Firewall geblockt?

    Ich habe Linux Debian 9 aufgesetzt und viel konfiguriert, um dort ein Spiele Netzwerk zu betreiben.

    Ich habe zwar ein bisschen an der Firewall rum geschraubt, jedoch nicht so, dass nur die nötigen Ports zugelassen sind.

    Soll ich jetzt meine Firewall so einstellen, dass nur die nötigen Ports erlaubt sind ?

    Was ist mit Putty, VNC, SSH, apt-get usw ?

  • Ich merke gerade, dass der Port 19132 UDP benutzt. Das ist die Handy-Server(Pocket) Proxy.

    Nunja ich kann das nicht ganz einfach auf TCP ändern.

    Aber bis jetzt wurde dieser Port noch nicht angegriffen.

  • Was macht denn deine Firewall sonst?


    Im Idealfall schon.

    Ich hatte mal was dort gemacht, dass zu viele Pings, die ip sperren, aber ich habs wieder raus gemacht.

    Sonst ist halt auf Standard.


    Ich könnte es versuchen, aber irgendwie habe ich etwas Angst, dass ich dann kaum noch mein Server erreichen kann.