DDoS Attacke und NetCup lässt einem im Regen stehen

  • Hi,
    ich bin im Moment gerade sehr ungehalten über die Verfahrensweise von NetCup. Eben erst heim gekommen sah ich diese Email:

    Quote

    auf Ihren vServer geht aktuell ein DDoS ein. Hierdurch wurde unser Netzwerk und somit die Server anderer Kunden negativ beeinträchtigt.


    Ihr vServer wurde daher vorsorglich deaktiviert.


    Bitte teilen Sie uns mit, was Sie gegen den eingehenden Angriff unternehmen wollen.

    Die Frage ist nun was für großartige Möglichkeiten habe ich den nun? IP-Tabels kann ich nicht nutzen, dadurch funktionieren viele Anti-Flooding Scripte nicht. SynCookies kann ich ja auch nicht so einfach aktivieren aufgrund der hier verwendeten Virtualisierung wenn ich das richtig sehe, IP-Bereiche würde ich im Firewall gerne Sperren aber ohne Zugriff kann ich mir ja die Bereiche auch nicht ansehen. Tja, und da endet ja schon die Skala an nutzbaren Möglichkeiten, oder hat noch jemand einen Tipp. NetCup selbst macht da auch keine Vorschläge und hat mir einfach mal die komplette Möglichkeit der Kontrolle genommen. :rolleyes:


    Also ich bin im Moment herbe von NetCup enttäuscht. Bei meinem alten Anbieter gab es solche Attacken auch, doch dort hatte ich mehr Möglichkeiten, der Support stand beratend zur Seite und der vServer wurde nicht einfach ohne Rückmeldung komplett abgedreht.:mad: All das vermisse ich hier nun schmerzlich.

  • Quote from Proyx;7847

    du kannst dir die Firewall freischalten lassen beim Support


    Der ist freigeschaltet, aber ich kann ja nicht hellsehen woher die Attacken kommen und auf Logs kann ich ja nicht zugreifen. ;)

  • da hast du recht ;)
    aber was hostest du ? DDos ist doch häufig nur auf Warez bzw Kiddy-Hacker Seiten
    sonst schreib denenen doch du musst ihn doch erstmal wieder aktiviert haben um was zu machen oder einfach beim Support anrufen :rolleyes:
    [????Müssten die Router des Rechenzentruma nicht eine IP-Sperre eingebaut haben um sich selbst vor DDos zu schützen??? ]


    Hier habe ich grade gefunden schau es dir mal an
    Funkt glaube ich ohne IP -Tables bin mir aber nicht sicher
    Klick Mich

  • Quote from Proyx;7851

    da hast du recht ;)
    aber was hostest du ? DDos ist doch häufig nur auf Warez bzw Kiddy-Hacker Seiten
    sonst schreib denenen doch du musst ihn doch erstmal wieder aktiviert haben um was zu machen oder einfach beim Support anrufen :rolleyes:


    Ich hoste ganz normale Internet-Seiten, alles Legal. Ich weiß ja bisher nicht mal einmal ob das mit der Attacke stimmt. Ohne Zugriff kann ich das ja nicht mal prüfen. Verstehe nicht warum mir der vServer da gleich gesperrt wird. Das ist doch ein unerhörtes verhalten seitens des Anbieters. Ein herunterfahren und eine entsprechende Meldung hätte doch gereicht. Wer weiß ob das überhaupt eine echte Attacke war oder ob einfach nur viele Besucher online waren.


    Also ich kann das Verhalten NetCups nicht nachvollziehen. Zumal um diese Uhrzeit telefonisch auch keiner mehr zu erreichen ist.


    Ich bereue echt zu NetCup gewechselt zu sein. Das ist doch ein unmögliches Verhalten.

  • Quote from Proyx;7851

    Hier habe ich grade gefunden schau es dir mal an
    Funkt glaube ich ohne IP -Tables bin mir aber nicht sicher
    Klick Mich


    Hi, danke für den Link, das Tool kenne ich aber schon, da ich es bei meinem alten Anbieter verwendete leider benötigt es aber IP-Tables. :(

  • Einen DDoS kann man nur sehr schlecht von gewöhnlichen Angriffen unterscheiden, schließlich sind es in der Regel ganz normale Seiten-Aufrufe, die aber das Ziel haben, den Server oder noch schlimmer das davor liegende Netzwerk lahm zu legen. Router können keine richtigen DDoS-Attacken erkennen, genauso wie Firewalls hier nur beschränkte Möglichkeiten für haben. Einem DDoS kann man nur mit entsprechend großen Kapazitäten begegnen. Kostenpunkt beträgt hier mehrere 10 000 Euro pro Monat (je nach größe der Kapazitäten). Ein gewöhnlicher vServer hält nur sehr kleinen DDoS-Angriffen stand.


    Entsprechend unserer AGB müssen wir bei einem größeren DDoS im Interesse aller anderen Kunden Maßnahmen ergreifen, um die Infrastruktur lauffähig zu erhalten, wie es hier geschehen ist.


    Das wir Kunden nicht beratend zur Seite stehen, stimmt nicht. Selbstverständlich helfen wir so weit wir es können. Wenn kein 24 Stunden Support gebucht wurde, stehen wir aber nur zu den Zeiten zur Verfügung, zu denen wir auch bezahlt werden.

  • Also das wäre jetzt das erste mal, dass ich von so einem Vorfall höre. Denn ansonsten liest man immer von Meldungen, dass Netcup so "tolle" Systeme hat, die so etwas zum größten Teil blockieren und auch gehackte Server erkennen. In der Vergangenheit las man auch von erfolgreichen Abwehrmaßnahmen oder von einem Vorfall, wo einige Kunden leider neue IP's bekommen mussten.


    Ansonsten gebe ich dir recht, dass du bei einem vServer kaum Möglichkeiten hast, vor allem wenn du keinen Zugriff darauf hast. Telefonisch sollte jetzt nur auf den Notfalltelefonnummern jemand erreichbar sein. Ich würde dir aber empfehlen morgen einmal bei Netcup anzurufen und versuchen das Ganze (freundlich) zu klären. Halte uns auf dem Laufenden ;)


    Proyx: Naja, solche Attacken können jeden Treffen, die Frage ist eher, was jemand anderer davon hätte, wenn das angegriffene System offline gesetzt bzw. gestört ist. Je nach Typ, Inhalt und Zielgruppe der Website ergibt das dann Sinn :o


    EDIT: Ich bin mal wieder zu langsam :D


    felix: Ich kenne nicht alle Details, das ist dann aber ein Widerspruch. Einerseits hält ein vServer keine großen DDosS Attacken aus, aber er soll etwas dagegen machen...? Ja wie denn, wenn alleine schon die Virtualisierungslösung die meisten Möglichkeiten nicht unterstützt?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Quote

    Einerseits hält ein vServer keine großen DDosS Attacken aus, aber er soll etwas dagegen machen...?


    Möglicherweise betroffene Domain per DNS gegen 127.0.0.1 schalten, betroffenen Dienst nicht antworten lassen, auf ein dediziertes System wechseln o.ä....

  • Quote from [netcup] Felix;7857

    Möglicherweise betroffene Domain per DNS gegen 127.0.0.1 schalten


    Wenn die IP das Ziel ist, wäre er wieder bei Null ;)

    Quote from [netcup] Felix;7857

    auf ein dediziertes System wechseln


    Hmmm *Meinung zurückhalt* :D



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Vielleicht sollte NetCup mal ernsthaft darüber nachdenken die Virtualiserungssoftware zu wechseln. Ohne IP-Tables/SynCookies kann man nichts machen. :(

  • Quote

    Wenn die IP das Ziel ist, wäre er wieder bei Null ;)

    Aus Erfahrung kann ich sagen meist immer eine Domain direkt aufgerufen wird. Wenn die IP betroffen ist, bleibt nichts anderes übrig als zu warten oder entsprechend zu investieren.


    Quote

    Vielleicht sollte NetCup mal ernsthaft darüber nachdenken die Virtualiserungssoftware zu wechseln. Ohne IP-Tables/SynCookies kann man nichts machen.

    iptables kann nicht wirklich vor einem DDoS helfen. Wir setzen bewusst auf Linux-VServer, da dieses mehr Performance bietet als andere Virtualisierungs-Möglichkeiten wie z.B. XEN.

  • werden solche angriffe nicht bei entsprechender infrastruktur schon vorher gegen 0 geroutet?


    im schlimmsten fall kann er seinen server ja nie wieder verwenden.

    Logic will take you from A to B. Imagination will take you everywhere.(A.Einstein)
    Nur wer sein Ziel kennt findet auch den Weg!

  • Ohne jetzt eine Endlosdiskussion anzufangen, aber das interessiert mich jetzt: Wenn der vServer wegen einer DDoS Attacke von Netcup abgeschaltet wird, muss der Inhaber aber nicht eine 20 € Gebühr zahlen wie z.B. bei einem gehackten Server, oder? ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • ich habe mal eine heftige ddos attacke auf einem rooty in den usa mitgemacht. das ganze ging über fast drei monate.
    jedoch hatte der isp sein eigenes rz und dem entsprechend möglichkeiten.


    warum solange?
    der isp hatte mich gebeten das mit denen zusammen durchzustehen um auf den kern der attacken zu kommen. je mehr die sperrten und filterten desto mehr neue attacken wurden aktiviert. ist ne lange und spannende geschichte, letztendlich konnte in zusammen-arbeit mit mehreren rz´s der ursprung des ganzen festgestellt werden. dann war es nur noch der kontakt zum entsprechendem rz und ruhe war.


    ich habe eine 80 seiten lange doc. über das ganze und bin froh das die verstaubt.

    Logic will take you from A to B. Imagination will take you everywhere.(A.Einstein)
    Nur wer sein Ziel kennt findet auch den Weg!

  • Also ich habe mir die Logs nun allesamt durchgesehen und ich kann keinen Anhaltspunkt für eine DDos Attacke erkennen. Es waren nur viele User online. Aber bei allen zeigte sich normales Surf-Verhalten (Also alle paar Sekunden/Mintuen ein Seitenaufruf). :confused: Lediglich der Error-Eintrag bezüglich des Max-Client Setting weist auf einen möglichen DDos Angriff hin, allerdings wird dieses Limit zu Stoßzeiten öfter mal erreicht. Mal wieder an den Support wenden...

  • Ich misch mich mal am Rande ein :


    Quote from [netcup] Felix;7857

    Möglicherweise betroffene Domain per DNS gegen 127.0.0.1 schalten, betroffenen Dienst nicht antworten lassen, auf ein dediziertes System wechseln o.ä....


    DNS gegen 127.0.0.1 routen könnt meistens nur Ihr, solange die Domains bei Euch liegen -> da kann der Kunde nichts machen, da er keine DNS Einstellungen tätigen kann. Ein dediziertes System ? Was macht da den Unterschied, eben sagtest Du noch, dass selbst IPTables-Regeln da nichts helfen - der Traffic besteht sowohl bei einem VServer als auch bei einen Dedicated. Letztlich bringt es nichts den betroffenen Dienst nicht antworten zu lassen, Anfragen trudeln trotzdem rein.


    Quote from [netcup] Felix;7855

    Einen DDoS kann man nur sehr schlecht von gewöhnlichen Angriffen unterscheiden, schließlich sind es in der Regel ganz normale Seiten-Aufrufe, die aber das Ziel haben, den Server oder noch schlimmer das davor liegende Netzwerk lahm zu legen. Router können keine richtigen DDoS-Attacken erkennen, genauso wie Firewalls hier nur beschränkte Möglichkeiten für haben. Einem DDoS kann man nur mit entsprechend großen Kapazitäten begegnen. Kostenpunkt beträgt hier mehrere 10 000 Euro pro Monat (je nach größe der Kapazitäten). Ein gewöhnlicher vServer hält nur sehr kleinen DDoS-Angriffen stand.


    Ihr seid doch Großkunde bei Hetzner?! Das Hetzner RZ bietet doch sicherlich Möglichkeiten für mittelständische Unternehmen diesem entgegenzutreten. Ich denke auch Hetzner ist in der Lage, Traffic von IP's gen /dev/null laufen zu lassen, oder irre ich mich hier ?

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Bitte beim Thema bleiben, sonst gibts hier von uns keine Antworten mehr!


    Quote

    DNS gegen 127.0.0.1 routen könnt meistens nur Ihr, solange die Domains bei Euch liegen -> da kann der Kunde nichts machen

    Nein, wir haben keinen Zugriff auf den vServer. Die Domain muss uns schon der Kunde mitteilen.


    Quote

    ? Was macht da den Unterschied, eben sagtest Du noch, dass selbst IPTables-Regeln da nichts helfen - der Traffic besteht sowohl bei einem VServer als auch bei einen Dedicated. Letztlich bringt es nichts den betroffenen Dienst nicht antworten zu lassen, Anfragen trudeln trotzdem rein.

    Ein System mit 10 GBit und mehr Upload ist einem DDoS weitaus besser gewachsen.


    Quote

    hr seid doch Großkunde bei Hetzner?! Das Hetzner RZ bietet doch sicherlich Möglichkeiten für mittelständische Unternehmen diesem entgegenzutreten. Ich denke auch Hetzner ist in der Lage, Traffic von IP's gen /dev/null laufen zu lassen, oder irre ich mich hier ?

    Genau das wurde hier ja auch gemacht. Deswegen ist der Thread hier entstanden.