IPS DoS Traffic Fehler

  • Hallo Zusammen,


    heute morgen kurz vor 9 kam eine Abuse Meldung rein, durch das Netcup IPS getriggert.

    Hauptsächlich durch (wie ich meine) legitimen NTP Traffic. Ich bin Mitglied des NTP Pools.

    Ich möchte auch nicht ausschließen, dass hier tatsächlich eine UDP Reflection Attack stattgefunden hat.

    Code
    ========== Logs ==========
    Direction: OUT
    Internal IP: 185.207.***.***
    Treshold Packets: 30000 packets/s
    Sum Packets: 7471458600 packets/300s (24904862 packets/s)
    Sum Bytes: 3.48 TByte/300s (95 GBit/s)

    Die Byte Summe halte ich für einen Fehler. Ich habe doch nur eine 1 GBit/s Leitung. Der Traffic taucht auch nicht im SCP Traffic Counter auf.


    Insgesamt fallen in dem Log 5 dieser Zeilen auf: 185.207.***.***:123 -> 85.216.***.***3:58650 1.0 G 536.5 G

    Ich habe jetzt nur eine Adresse überprüft - ist ein privat DSL Anschluss. Nichts was auf inlegitimen Verkehr hindeutet.


    Hat jemand anderes das Problem auch gerade?


    Viele Grüße,

    Paul

  • 100Gbit/s schaffst du nicht von einer VM ausgehend. Wahrscheinlich hast du damit komplett Netcup, deren Uplinks und das Netzwerksegment beim DSL-Anbieter geplättet.


    Bin auf die Auflösung gespannt.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Bin auf die Auflösung gespannt.

    Sieht mir nach falsch hohen Werten aus. Ich brauche keine 150 Pakete und keine 10 kB für ein paar DNS Auflösungen.

    Im übrigen wurde der Server gar nicht gesperrt?


    Code
    Der Datenverkehr ihres Servers wird daher nun nicht mehr ins Internet weitergeleitet.
    Für Ihre notwendigen Wartungs- und Analysearbeiten können Sie auf Ihr System über die VNC Console des SCP zugreifen.

    ist nicht zutreffend.

  • Hast du mal den Support kontaktiert?

    Ja, ich soll auf die Abusemail antworten oder über das CCP eine Stellungnahme abgeben.

    Der Server wurde eben (kommentarlos) wieder "aktiviert". Evtl. kommt da noch ein Text.


    Edit:

    Code
    Leider kam es aufgrund eines Fehlers zur einer falschen Auswertung der Rohdaten die für die DDoS Erkennung genutzt wird. Der Kollege der in diesem Fall den Abusevorfall eröffnete hatte sich von den aufbereiteten Rohdaten dann fehl leiten lassen.
    Ihr Hostingpaket v22017**** RS 1000 SAS G7SEa1 12M wurde somit wieder entsperrt. Für die entstandenen Unannehmlichkeiten möchten wir uns entschuldigen. 
  • Verstehe ich das richtig, dass ein oder mehrere kurze Peaks auf 5 Minuten hochgerechnet wurden

    So wie ich das sehe, gab es keine Peaks (siehe SCP Graph), sondern das IDS/IPS hat mit fehlerhaften Werten gearbeitet.


    Der Server wurde durch die Abusemitteilung nicht gesperrt, entgegen dem Text der Mitteilung - er war vollständig währenddessen erreichbar.

    Insofern ist auf der Seite kein Schaden entstanden, nur Zeit und Nerven meinerseits.


    (SSH geht nicht, weil der Server gesperrt wurde, wie gut macht das VNC bei meinem aktuellen Internetdefekt mit?)


    Ich wollte auch keine Stellungnahme abgeben, sondern erstmal die Plausibilität prüfen lassen. Allerdings muss man eine Stellungnahme abgeben, da der Support das von keinem anderen Ticket haben möchte. Ich habe den Rahmen mal an die Beschwerdestelle weiter gereicht (Support kann nur tätig werden, wenn Stellungnahme oder Antwort auf die Abuse Mail eingeht; und Behauptung Server sei vom Netz getrennt, obwohl das nicht der Fall war).

  • (SSH geht nicht, weil der Server gesperrt wurde, wie gut macht das VNC bei meinem aktuellen Internetdefekt mit?)

    Wenn du es schaffst dein Passwort einzugeben, dann hast du die größte Hürde überstanden. Ich habe mit Firefox unter Ubuntu gar keine Probleme, andere berichten von doppelten Zeichen (die hatte ich unter Windows)... Anschließend siehst du ja was du tippst

  • Ich habe mit Firefox unter Ubuntu gar keine Probleme, andere berichten von doppelten Zeichen (die hatte ich unter Windows)... Anschließend siehst du ja was du tippst

    Mit 0,5 Mbit/s und bis zu 50% Paketverlust? Ich bezweifle, dass das gut gehen wird.

    Ich kann es heute Abend ja mal ausprobieren, und dir dann im Längsten Thema berichten.

  • Hallo an Alle;
    Wir waren heute sehr wohl offline für 30 bis 45 min. Ich kann aber den Traffic, der die Sperre auslöste, an keinen der vier Webspace zuordnen. Der Ausschlag ist auch im SCP nicht zu erkennen.
    Eine Erklärung sollte der unten angeführte (von mir gekürzte) Logfile bringen, den ich mit der Freischaltungmeldung übermittelt bekam.
    Kann mir das wer erklären?
    War es denn nun ein Versehen?
    Die Datenmenge ist in der Zeit doch unmöglich, oder nicht?
    Netz.PNG
    ========== Logs ==========

    Direction: OUT
    Internal IP: "ENTFERNT"
    Treshold Packets: 30000 packets/s
    Sum Packets: 6938287650 packets/300s (23127625.5 packets/s)
    Sum Bytes: 3.23 TByte/300s (88.22 GBit/s)

    :::::::::::::::::::::::::::
    die weiteren Infos / IP's sind entfernt.


    LG Werner

    Ja, ich soll auf die Abusemail antworten oder über das CCP eine Stellungnahme abgeben.

    Der Server wurde eben (kommentarlos) wieder "aktiviert". Evtl. kommt da noch ein Text.


    Edit:

    Code
    Leider kam es aufgrund eines Fehlers zur einer falschen Auswertung der Rohdaten die für die DDoS Erkennung genutzt wird. Der Kollege der in diesem Fall den Abusevorfall eröffnete hatte sich von den aufbereiteten Rohdaten dann fehl leiten lassen.
    Ihr Hostingpaket v22017**** RS 1000 SAS G7SEa1 12M wurde somit wieder entsperrt. Für die entstandenen Unannehmlichkeiten möchten wir uns entschuldigen. 
    • Offizieller Beitrag

    Guten Tag,



    ein sehr kleiner Anteil unserer Server-Kunden hat heute eine Abusemeldung erhalten, welche zur Blockierung der Netzwerkanbindung des jeweiligen Servers geführt hat. Die betroffenen Kunden informieren wir in Kürze auch nochmals per E-Mail mit dieser Nachricht.


    Die Sperrung wurde zwischenzeitlich bereits durch uns wieder aufgehoben, nachdem festgestellt wurde, dass die zugrunde liegende Meldung fehlerhaft war. Ein System in unserem Netzwerk hat falsche Werte ermittelt, weswegen die Meldung an die betroffenen Kunden versendet wurde und die Netzwerkanbindung des Servers deaktiviert wurde.


    Es ist uns wichtig, den betroffenen Kunden den Grund für die fehlerhafte Sperrung zu erläutern und bei diesen um Entschuldigung für diesen Vorfall zu bitten. Wir verstehen, dass dies für diese eine unbefriedigende Situation war. Leider lassen sich Fehler nie völlig ausschließen. Wir haben aus dem Vorfall gelernt und umgehend Maßnahmen getroffen, die eine erneute fälschliche Sperrung vermeiden sollten.


    Wir bedanken uns für Ihr Verständnis und freuen uns, wenn Sie uns weiter Ihr Vertrauen schenken.