Schutz vor DDoS-Attacken

  • Hallo,


    auch mein Server leidet gelegentlich unter DDoS-Attacken unbekannter Dritter. Es gab bereits einen regen Schriftwechsel mit dem Support, leider wird dort aber nicht zielführend gearbeitet.


    Auf meine Frage hin wie man sich denn vor DDoS schützen kann kam nur folgende Antwort:



    Textbaustein kopiert und direkt ein Ticket weniger. So schnell geht das :)


    Im Vorfeld hatte ich sicherlich bereits 10 Mails geschickt, immer in einem freundlichem und sachlichem Ton. Unter anderem bat ich darum doch bitte meine IP zu ändern, da wir nun Cloudflare nutzen und die IP in der Vergangenheit exposed wurde. Der Support meinte ich könne doch eine weitere IP kaufen. Habe ich gemacht, allerdings lässt sich diese nur auf die alte routen. Wo liegt da der Sinn? Toller Tipp, 12 Monate Vertrag ohne Widerrufsrecht (extra nachgefragt) an der Backe für die IP.


    Leicht genervt ging es jetzt nach einem weiteren DDoS-Angriff mit dem Schriftverkehr weiter:



    Laut dem Support sind die Attacken also meine Schuld, da wir uns nicht davor absichern. Wie hier bereits im Forum oft genannt, handelt es sich dabei um ein physikalisches Problem. Wir haben extra Cloudflare aufgesetzt um die Angriffe einzudämmen. Ich war die letzten Jahre bereits bei mehreren Hostern und nirgends wurde die Verantwortlichkeit einfach strikt auf die Kunden abgeschoben.


    Nach den vielen Textbausteinen im Vorfeld wollte ich jetzt endlich mal eine klare Antwort haben.



    Daraufhin die freundliche Antwort vom professionellen Supportteam:


    Zitat

    bitte erläutern Sie mir nun einmal, was genau an unseren Antworten unklar ist.

    Es ist Ihre Aufgabe, sich um den Server zu kümmern. Weiterhin ist es nicht unsere Schuld, wenn dieser von "unbekannten Dritten" attackiert wird, jedoch ist es unsere Aufgabe unsere internen Systeme zu schützen. Wir sind ein professionelles Unternehmen und es erschließt sich mir nicht, dass Sie unsere Vorgehensweise in Frage stellen, wenn es um derartiges geht.

    Ich schlage vor, dass Sie die Sache von jemandem prüfen lassen, der das Fachwissen

    in Punkto Sicherheit von Systemen bei Angriffen durch Aussenstehende in Form eines Denial of Services besitzt. Die Unterstellung mangelnden Interesses unseres Kunden Hilfestellung zu leisten weise ich strikt ab, sie haben alle nötigen Informationen bekommen. Dass Sie diese nicht wahr haben oder verstehen wollen steht auf einem Blatt.



    Da ist man einfach nur noch sprachlos. Nach einer kurzen Recherche habe ich gesehen dass man wohl mehr Bandbreite bestellen kann, um sich vor den Attacken zu schützen. Dass an einem 1TBit Schutz gearbeitet wird [1] und das allgemein mit dem DDoS-Schutz geworben wird [2]. Warum das alles wenn doch der Schutz eh komplett die Aufgabe des Kunden ist?


    Fühle mich da leider ziemlich im Stich gelassen und "verarscht". Ist mir bis jetzt noch bei keinem Hoster passiert.


    Die Namen wurden extra entfernt da ich natürlich niemanden an den Pranger stellen möchte.


    Was haltet ihr davon? Sehe ich das vielleicht nur falsch?



    Liebe Grüße :)



    [1] https://mobile.twitter.com/netcup/status/976738117020512256

    [2] https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php

  • Kannst du das bitte erläutern? Welche Verantwortlichkeit? Schutz des Servers? Unterbindung von DDoS-Attacken? Wo wird darauf hingewiesen? In den Supportmails? Ja nach dem Kauf des Servers.


    Wie soll der Kunde die Angriffe denn unterbinden? Er hat keinen Einfluss auf die unbekannten Dritten die die Attacken ausführen. Viel mehr als Cloudflare einrichten kann von unserer Seite nicht getan werden. Oder weißt du da mehr?

  • Den Hinweis findest du hier:
    https://www.netcup.de/vserver/vserver_guenstig_qualitaet.php

    Zitat

    Freiheit will gebändigt werden

    Vor einer Bestellung bitten wir zu bedenken, dass ein unmanaged vServer zwar viele Freiheiten mit sich bringt, gleichzeitig der Kunde einen enormen Teil der Verantwortung übernimmt. Ein unmanaged vServer, egal über welche Firma er bezogen wird, erfordert konsequente Datenpflege, die mindestens gute bis sehr gute Linuxkenntnisse voraussetzt. Ein fehlerhaft konfigurierter und dadurch unsicherer vServer birgt ein hohes Schadensrisiko. Für eventuelle Schäden haftet in jedem Fall der Systemadministrator. Bei einem unmanaged vServer ist dies der Kunde. Wir möchten als verantwortungsbewusste Firma unsere Kunden auf dieses persönliche Risiko ausdrücklich hinweisen, obwohl wir uns darüber bewusst sind, dass es andere Hostingfirmen gibt, die diese Risiken verschweigen, um potentielle Kundenaufträge nicht zu verlieren.

    Es ist schon hilfreich den SSH Zugang zu sichern und den Port 22 zu ändern. Seit ich den Port verändert habe, werden fast keine IP'S mehr gebannt, weil die meisten auf Port 22 suchen. Ansonsten gibt es hier im Forum sehr viele Ideen, was man tun kann.


    Ein Beispiel aus dem Forum: https://forum.netcup.de/admini…bleme-mit-ssh/#post111959
    Lg

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Hay,

    Du verstehst es nicht :D


    Nicht der Server des Kunden führt einen Angriff aus, sondern er wird (von außen) angegriffen. Da kannst Du den Server so sicher konfiguriert haben, wie Du willst, ein Angreifer (von außen) braucht nur eine IP um Dich in die Scheiße zu reiten und mit Paketen zu bombardieren, bis die Bandbreite einfach ausgeschöpft ist.


    Aber soviel ich weiß, existiert ein genereller DDoS-Schutz. Und mir ist unverständlich, was der Support-Mitarbeiter ausdrücken möchte (außer sich seinen Job leicht zu machen).


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Den Hinweis findest du hier:
    https://www.netcup.de/vserver/vserver_guenstig_qualitaet.php

    Es ist schon hilfreich den SSH Zugang zu sichern und den Port 22 zu ändern. Seit ich den Port verändert habe, werden fast keine IP'S mehr gebannt, weil die meisten auf Port 22 suchen. Ansonsten gibt es hier im Forum sehr viele Ideen, was man tun kann.


    Ein Beispiel aus dem Forum: https://forum.netcup.de/admini…bleme-mit-ssh/#post111959
    Lg

    Es geht um DDos Attacks, ... nicht etwa um Login Versuche etc.


    Dagegen kannst als Kunde nix machen, wenn es wer auf deine IP abgesehen hat.


    Kann den Unmut vom Kunden durchaus verstehen, da es in meinen Augen dem Betreiber des Netzwerks obliegt hier zu filtern. Kann aber auch netcup verstehen, da hierfür Kapazitäten benötigt werden die verständlicherweise nicht in den günstigen VPS Tarifen inkludiert sind. Aber evtl. sollte man hier für geplagte Kunden eine Tarifoption anbieten, gestaffelt nach GBit Stärke der erwarteten Angriffe, die von Netcup gefiltert werden.


    DDos Attacks haben schon ganze RZ lahm gelegt, und Services wie Mastercard oder das PS Netzwerk außer Gefecht gesetzt, ...


    In jedem Fall würde ich strafrechtlich gegen den Verursacher vorgehen, zumindest wenn es einen dringenden Tatverdacht gibt - was natürlich schwer nachzuweisen ist.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Soweit ich den letzten derartigen Thread erinnere, besteht derzeit ein DDOS-Schutz bis zu einer Bandbreite von 5 GBIt/s. Mehr Kapazität haben die normalen, im Produkt enthaltenen Paketfilter nicht. Übersteigt also der Angriff diese Bandbreite, dann bleibt Netcup nur die Möglichkeit die betroffene IP ins Nirwana zu routen. Diese "Inklusivbandbreite" soll jetzt wohl erhöht werden, außerdem kann man zusätzlichen Schutz (Bandbreite) kaufen. Das reicht dann gegen die normalen "Späßchen" irgendwelcher Neider, die mal eben günstig ein Botnetz mieten, um eine DDoS Attacke auf deine IP zu fahren. Gegen die ganz großen Botnetze reicht aber auch 1 TBit/s mittlerweile nicht mehr.

  • Soweit ich den letzten derartigen Thread erinnere, besteht derzeit ein DDOS-Schutz bis zu einer Bandbreite von 5 GBIt/s. Mehr Kapazität haben die normalen, im Produkt enthaltenen Paketfilter nicht. Übersteigt also der Angriff diese Bandbreite, dann bleibt Netcup nur die Möglichkeit die betroffene IP ins Nirwana zu routen. Diese "Inklusivbandbreite" soll jetzt wohl erhöht werden, außerdem kann man zusätzlichen Schutz (Bandbreite) kaufen. Das reicht dann gegen die normalen "Späßchen" irgendwelcher Neider, die mal eben günstig ein Botnetz mieten, um eine DDoS Attacke auf deine IP zu fahren. Gegen die ganz großen Botnetze reicht aber auch 1 TBit/s mittlerweile nicht mehr.

    Erinnere mich aber auch, dass die letzten Angriffe angeblich bei weit unter den 5Gbit lagen,... also Bedarf besteht hier sicher.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Ok, danke für den Hinweis :)
    Hab ich doch glatt was verwechselt ;)

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Zitat

    --> was kann man denn jetzt gegen die ddosangriffe unternehmen?

    Das ist eine Frage, die Ihnen ihr Administrator kompetent beantworten kann. Wir hingegen können dies nicht, da wir nicht wissen wie Sie ihr Server konfiguriert und eingerichtet haben. Wir haben auf Ihren Server keinen Zugriff.

    Also diese Antwort versteh ich auch nicht. Natürlich kann ich meine Firewall einrichten, aber das ändert ja nichts daran, dass ich mit Paketen bombadiert werde und zwangsläufig irgendeine Seite nachgibt (vermutlich erstmal der eigene Server...).

    Auch ich besitze VPS und sowohl bei der Bestellung, als auch jetzt noch befindet sich auf der "Shop-Seite" https://www.netcup.de/vserver/vps.php ganz oben ein Schriftzug "DDoS-Schutz inklusive". Auch ich verlasse mich zur Zeit darauf, dass dieser aktiv ist und wie unter https://www.netcup.de/ueber-netcup/ddos-schutz-filter.php beschrieben funktioniert.

    Darüber hinaus würde mich aber auch mal interessieren, was denn ein kompetenter Administrator auf diese Frage antwortet.

    Sollte es in diesem Thread um Angriffe oberhalb von 5GBits/s gehen wurde mir das beim Lesen nicht klar und ich nehme meine Aussage natürlich zurück.

  • Guten Tag,



    wir haben hier leider wieder die nicht ganz einfach Unterscheidung zwischen dem Management eines durch netcup unmanaged Servers und die Leistung welche wir in der Form eines DDoS-Schutzes anbieten. Derzeit sichern wir einen DDoS-Filter von mindestens 5 GbIt/s zu. Neben der Bandbreite ist allerdings auch die Anzahl der Pakete relevant.


    Im Q2 2019 ist ein Relaunch unserer Produkte und unserer Website geplant. Unser Ziel ist es hier die Qualität noch weiter zu steigern. Unter anderem kommt dann offiziell ein DDoS-Filter mit bis zu 1 TBit/s Kapazität in Einsatz. Dieser arbeitet bereits für sämtlichen Traffic den wir über das Backbone-Europe abwickeln. Beworben wird er ab dem Relaunch der Website.


    Ich habe diesen Beitrag zum Anlass genommen um das auslösende Ticket an die Abteilung Operation zu eskalieren. Die Diskussion welche unser Mitarbeiter mit Ihnen angefangen hat, entspricht nicht den Vorstellungen von netcup. Ich bedauere es sehr das es dazu gekommen ist und ich werde mich persönlich dafür einsetzen, dass der Mitarbeiter keinen solche Diskussionen mehr führt. Diese sind nicht im Sinne unserer Kunden und damit nicht im Sinne des Unternehmens netcup bei dem alle Mitarbeiter sich sehr große Mühe geben damit Sie, als unsere Kunden, zufrieden sind.


    Ich hoffe das Sie bald eine zufriedenstellende Antwort erhalten, wobei ich gleich sagen muss das wir bei VPS der aktuellen Preisklasse nicht mehr kostenfreien Schutz vor DDoS gewähren können.


    Bitte haben Sie dafür Verständnis das ich nicht jeden Beitrag hier im Forum lesen kann. Bitte wenden Sie sich an die Beschwerdestelle, wenn Ticketantworten nicht zu Ihrer Zufriedenheit sind.


    Vielen herzlichen Dank!



    Mit freundlichen Grüßen


    Felix Preuß

  • Zitat

    Im Q2 2019 ist ein Relaunch unserer Produkte und unserer Website geplant. Unser Ziel ist es hier die Qualität noch weiter zu steigern. Unter anderem kommt dann offiziell ein DDoS-Filter mit bis zu 1 TBit/s Kapazität in Einsatz. Dieser arbeitet bereits für sämtlichen Traffic den wir über das Backbone-Europe abwickeln. Beworben wird er ab dem Relaunch der Website.

    Kann man schon nen ungefähren Monat sagen?

    Reseller Level A, 1x RS 4000, 2x VPS 200 G8 ADV19, Cloud vLAN & ≈ 26 Domains