Abuse-Mitteilung wegen einkommenden DDoS

  • Hallo Zusammen,
    Heute Nacht wurde anscheinend mein vServer massiv mit einer NTP Reflection Attacke bombardiert. Mein Server war in diesem Angriff (laut Log) definitiv das Ziel und keine Quelle.


    Netcup hat top reagiert und einen DDoS-Filter drübergelegt. Als der Angriff aber abnahm hat Netcup nun eine Abuse-Mitteilung gegen mich rausgehauen und fordert mich auf eine Unterlassungserklärung zu unterzeichnen.


    Nun meine Frage: Wieso sollte ich eine Unterlassungserklärung unterzeichnen? Ich meine ich kann doch schwer verhindern, dass jemand anderes meinen Server mit einem DDoS von so einer Bandbreite attackiert. Mein Server war in diesem Vorfall definitiv das Ziel und nicht die Quelle. Die Software war up to date und es wurde keine Sicherheitslücke ausgenutzt. Es handelte sich wirklich um stupiden UDP DDoS gegen Random Ports in Bereichen über >20.000 wo ich gar keine Application laufen habe.


    Wie würdet ihr darauf reagieren? Ich meine ich kann ja schlecht eine Unterlassungserklärung unterzeichnen und sagen das ich nie wieder unter einer DDoS Attacke stehe. Darauf habe ich keinen Einfluss.


    Das einzige was ich machen kann ist die Firewall etwas agressiver zu machen aber das hilft nicht gegen einen DDoS von so einer Bandbreite.


    Wie würdet ihr reagieren? Such ich mir nun einen neuen Hoster mit anständigen DDoS Schutz ala Cloudflare?


    Netcup bietet ja zwar einen kostenlosen DDoS Schutz an mit dem sie toll werben aber der bringt mir nix wenn mich Netcup beim 2. Mal verklagen kann weil wieder irgendein DDoS eintrudelt worauf ich nun wirklich keinen Einfluss nehmen kann.

    • Official Post

    Guten Abend,


    die DDos-Protection filtert bis zu 5 Gbit/s. Trotz aktiviertem Filter sind trotzdem noch knapp 2 Gbit/s an Traffic im Netzwerk eingegangen, was zu einer erheblichen Beeinträchtigung der Infrastruktur und somit anderer Kunden geführt hat. Daher wurde Ihr Server, um weiteren Schaden zu vermeiden, vom Netz genommen.


    Die AGB sind hierzu eindeutig:

    Quote

    5.5 Der Kunde verpflichtet sich, bei der Nutzung der von netcup zur Verfügung gestellten Dienste die maßgeblichen gesetzlichen Vorschriften
    einzuhalten und Maßnahmen zu unterlassen, die zu einer Störung des
    Betriebs der Server von netcup führen könnten
    .

    Alle relevanten Informationen sind in der Benachrichtigung der Abuse-Abteilung enthalten. Bei weiteren Fragen stehen wir im Support selbstverständlich zur Verfügung.


  • Guten Abend,
    in den log files war nur von 2-3Gbit/s die Rede. Ist damit der Überschüssige traffic gemeint oder der komplette traffic? Wenn ja liegt der traffic ja in eurem ddos filter Bereich.


    Zu den AGBs:


    ja ich kenne die AGBs. Ich war nicht verursacher des ddos also kann ich auch keine weiteren ddos angriff von so einer Bandbreite verhindern. In euren AGBs steht ja ganz klar drin:


    Quote

    5.5 Der Kunde verpflichtet sich, bei der Nutzung der von netcup zur Verfügung gestellten Dienste die maßgeblichen gesetzlichen Vorschriften
    einzuhalten und Maßnahmen zu unterlassen,die zu einer Störung des
    Betriebs der Server von netcup führen könnten.


    Es wurden alle gesetzlichen Vormaßnahmen. meinerseits eingehalten. Alle Software up to date und es wurde keine vulnerability ausgenutzt. Außerdem lag der Ursprung der Attacke nicht in meiner Verantwortlichkeit. Ich kann schlecht verhindern das jemand den Server unter ddos setzt. Das ist ein physikalisches Problem.


    Außerdem steht in den AGBs:" ...Maßnahmen zu unterlassen..". Genau da liegt ja der Punkt. Ich habe keine maßnahme ergriffen euren Netzwerk betrieb zu schädigen. Oder ist das mieten eines Servers bei euch Maßnahme zur Schädigung eurer Infrastruktur?


    Ich kann also schlecht eine Unterlassungserklärung unterzeichnen für etwas wofür ich nicht verantwortlich bin und was außerhalb meiner Verantwortlichkeit liegt.
    Ich kann keine maßnahmen ergreifen gegen weitere ddos Angriffe von solch einer Größenordnung. Ich bin leider nicht Gott. Das Problem ist rein physikalisch euer ddos Schutz ist zu klein. Das ist mit Software meinerseits nicht verhinderbar das mehrere Gbit/s an ddos in euer Netzwerk eintrudeln.


    Was soll ich Ihrer Meinung denn tun um zukünftig einen DDoS so einer Größenordnung zu verhindern? Ich kann da nichts machen das müssten sie genauso gut wissen wie ich.
    Ich frag morgen mal beim support an.

  • Hallo shibumi,


    vielen Dank für deinen Bericht! Halte uns doch bitte auf dem Laufenden, wie die Geschichte weitergeht. Ich finde es ungewöhnlich, dass du als Opfer eine Unterlassungserklärung abgeben sollst.


    Viele Grüße
    Thomas

  • Dein Server stellt jetzt ein Risiko dar, Netcup will sich rechtlich absichern und sich vor möglichen ausfällen schützen, daher die Unterlassungserklärung, egal ob Opfer oder Täter.


    Es gibt nur einen wirksamen schutz gegen DDoS, abschalten also dir kündigen, denn ein Kunde weniger ist leichter zu Kompensieren, als 10, 20, ect...


    Wie das ganze nun ausgeht, würde mich auch Interessieren, zumal das einem jederzeit passieren kann.

  • Also mal ehrlich ich würde diese nicht unterschrieben, denn jeder kann unter ddos kommen und man kann es schlecht verhindern wenn ein paar Kinder mal wieder Lust haben Stress zu machen. Ich an deiner Stelle würde mir entweder überlegen wenn du öfters unter ddos stehst oder ein Projekt hast wo dieses öfters passieren könnte einen Hoster mit besseren ddos Schutz zu suchen oder mal cloudflare zu versuchen aber an deinem Problem mit der Unterlassungserklärung ändert sich da ja nun nichts dran das du unterschreiben sollst. Netcup ist ein sehr guter Hoster aber nicht für jedes Projekt die beste Wahl gerade wenn man unter ddos stehen könnte.


    Viele kaufen sich den billigsten vServer bei dem Hoster mit den 3 Buchstaben und setzen auf diesen einen reverse Proxy auf somit schützt man sich mit der großes ddos protection von denen.


    Ich bin mal gespannt wie es weiter geht, halt uns auf den laufenden ;)

  • Netcup steht meiner Meinung nach auf dem Stand, dass du das Vermeiden kannst, indem du garantierte Bandbreite einkaufst.


    Wenn dir das zu teuer ist, würde ich versuchen mit dem Support eine Lösung in folgende Richtung zu finden:


    Neue IP erhalten, Cloudflare oder ähnliches nutzen und eine Anzeige bei der Polizei stellen (Kopie an Netcup senden)


    Ob das Unterlassen des Buchens von garantierter Bandbreite wirklich eine Verletzung der AGB ist, würde ich als juristischer Laie erstmal skeptisch sehen. Du kannst ja Server ohne einkaufen, bei denen nie garantiert ist, dass da die Leitung wegen eines Angriffes platzt. Ob du nach diesen Maßnahmen diese Unterlassungserklärung unterschreiben solltest, kann ich nicht beurteilen. Eventuell ist man aber kompromissbereit: Nach den angesprochenen Maßnahmen vllt. noch eine Genehmigung hinterlassen zum Blackholing und andere Maßnahmen, sollte wider Erwarten ein neuer Angriff stattfinden.


    In jedem anderen Fall hätte der DDOSer gewonnen. Da er dir Schaden zugefügt hat.

  • Guten Morgen,



    ich habe mich jetzt noch nicht in den Fall eingearbeitet. Generell kann aber folgendes gesagt werden:


    Unser kostenlose DDoS-Schutz filtert mindestens 5 GBit/s. So wird das auch in der Leistungsbeschreibung genannt. Bei einem größeren DDoS wird die betroffene IP Null geroutet und der Kunde informiert. Dieser muss dann Maßnahmen ergreifen, um gegen größere Angriffe geschützt zu sein. Das Null-Routing können wir erst entfernen, wenn der Kunde auch entsprechende Maßnahmen sicher gestellt hat. Wir können z.B. kostenpflichtig einen Schutz für noch mehr Bandbreite anbieten.


    Bevor hier jetzt Mitbewerber von uns genannt werden, bitte ich auch deren AGB zu lesen. Viele bieten kostenlos maximal einen Filter bis zu 1 GBit/s an oder geben gar keine Zusicherungen, wie der Anbieter mit den drei Buchstaben. Das diese dann als Alternative empfohlen werden, ist nicht sinnvoll.


    Ich werde denn Fall später genau prüfen und hier dann schreiben was genau vorgefallen ist.



    Mit freundlichen Grüßen


    Felix Preuß

  • Ich habe mich jetzt mit dem Mitarbeiter der letzte Nacht Bereitschaft hatte unterhalten und mir Logs angesehen. Es gab in der Tat einen Angriff per UDP > 5 GBit/s. Aus dem Grund hat unser Mitarbeiter manuell eingegriffen und das Blackholing für die betroffene IP-Adresse aktiviert. Da in dem Moment für den DDoS-Filter der Angriff "nachgelassen" hat, hat dieser fehlerhafter Weise gemeldet, dass das der Angriff zu ende sei. An dieser Stelle werden wir unsere Prozesse überarbeiten, dass unsere Kunden eine richtige Meldung erhalten.


    Normalerweise kann der DDoS-Filter automatisch das Blackholing aktivieren. Dieses wäre auch passiert, hätte unser Mitarbeiter etwas länger gewartet. In so einem Fall benötigen wir keine Stellungsnahme vom Kunden. Hier prüfen wir dann in immer länger werdenden Intervallen, ob der Angriff > 5 GBit/s nachgelassen hat. Sobald er < 5 GBit/s ist, wird die IP aus dem Blackholing entfernt und der Filter wird wieder aktiv.


    Wir haben die betroffene IP-Adresse jetzt aus dem Blackholing entfernt. Sollte der Angriff wieder > 5 GBit/s werden, wird der DDoS-Filter aktiv und wird eigenständig das Blackholing managen.


    Ich bitte für die bereiteten Umstände stellvertretend um Entschuldigung. Normalerweise managen wir DDoS-Angriffe kundenfreundlicher und sind sehr kulant was die Bandbreite angeht.

    Quote

    Wie kann ich mich zuverlässig vor einem DDOS schützen?

    Das wurde ja bereits oben geschrieben. Z.B. indem Sie mehr Bandbreite einkaufen. Je nach Applikation macht auch ein cloud-basierter Schutz vor DDoS eventuell Sinn. Mit unserem Filter der bis 5 GBit/s kostenfrei angeboten wird, kommen Sie jedoch sehr weit, verglichen mit anderen kostenlosen Angeboten. Sollten größere Angriffe zunehmen, werden wir unseren kostenfreien Schutz vor DDoS auch erweitern.



    Mit freundlichen Grüßen


    Felix Preuß

  • Ich habe mich nochmal eingehend mit Herr Preuß unterhalten und kann seine von ihm gemachten Aussagen im Forum bestätigen.
    Mein Fall war ein Ausnahmefall. Im Regelfall greift einfach das Nullrouting wenn der DDoS Filter von 5Gbit/s überschritten wird.
    Wenn der DDoS nachgelassen hat wird der Server wie gewohnt einfach wieder aus dem Blackholing zurückgeholt und ist wie gewohnt erreichbar.
    Das Thema hat sich für mich erledigt. Es sei denn jemand hat noch eine Frage. Ansonsten kann das Thema geschlossen werden.


    Vielen Dank für den letztenendlich doch noch guten Service.

  • Hallo,


    ich möchte hier noch einmal nachhaken. Die technische Umsetzung halte ich für sinnvoll und nachvollziehbar. Jedoch ist mir noch nicht klar, wann denn nun eine Unterlassungserklärung verlangt wird und welche Erklärung der Kunde dabei abzugeben hat. Soweit ich dies verstanden habe, muss ein Kunde nach überschreiten der kostenlosen 5 Gbit/s eine Unterlassungserklärung abgeben, dass er in Zukunft nicht mehr Opfer eines DDOS von mehr als 5 Gbit/s wird oder eben entsprechende Kapazitäten bei Netcup einkauft. Ist das richtig?


    Viele Grüße
    Thomas

  • Guten Morgen,



    um das noch einmal ganz deutlich zu schreiben:


    Wegen einem eingehenden DDoS braucht kein Kunde bei uns eine Unterlassungserklärung unterschreiben. Selbst wenn die kostenlose Kapazität des DDoS-Filters überschritten wurde.



    Mit freundlichen Grüßen


    Felix Preuß

  • Guten Tag,


    das kann ich so nicht bestätigen. Als ich Anfang August Opfer eines größeren Angriffs wurde, musste ich eine Unterlassungserklärung abgeben.
    Ich habe damals auch beim Support nachgefragt gehabt.


    Quote

    vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt ***- Root-Server L v3 statt, der erhebliche Netzwerkressourcen beansprucht hat und zu einer starken Beeinträchtigung unseres Netzwerks führte.
    Wir mussten Ihr Produkt ***- Root-Server L v3 daher zur Sicherheit und zum Schutz des Netzwerks deaktivieren.


    Quote

    Um Ihren Server wieder aktivieren zu können, benötigen wir von Ihnen eine schriftliche, persönlich durch Sie unterschriebene Stellungnahme per Brief oder Fax. Geben Sie darin bitte an, wie es zu dem Vorfall kam und wie Sie solche Vorfälle in Zukunft verhindern. Zudem benötigen wir eine Unterlassungserklärung, in der Sie uns zusichern, dass ein solcher Vorfall nicht erneut vorkommt und dass alle schadhaften Dateien entfernt wurden. Verwenden Sie zur Erstellung bitte folgendes Formular: http://formulare.netcup.net/index.php/sn


    Eine reine Stellungnahme ohne Unterlassungserklärung war laut Support nicht ausreichend.


    Mit freundlichen Grüßen
    Sven

  • Guten Tag Sven,



    unter welcher Kundennummer lief der Vorfall ab? Unter der Kundennummer mit der Sie hier im Forum aktiv sind, finde ich keinen solchen Vorfall.


    Sollte jemand eine Unterlassungserklärung wegen DDoS abgeben müssen seit dem es den DDoS-Filter gibt (diesen gibt es ja noch nicht so lange), ist das definitiv ein Fehler. In dem Fall bitte auf diesen Beitrag berufen. Ich sende jetzt noch eine Rundmail an alle Mitarbeiter die Bereitschaft haben, damit hier keine Fehler passieren.



    Mit freundlichen Grüßen


    Felix Preuß

  • Guten Tag Sven,



    vielen Dank für die Nennung der Kundennummer. Hier gab es leider in der Tat eine Accountsperrung. Diese ist wieder auf den Mitarbeiter zurückzuführen, der auch die erste Accountsperrung verursacht hat. Der Vorfall lag vor dem Bekanntwerden des Missstandes.


    Dieses wird in der Zukunft nicht mehr passieren und war ein Missverständnis des Mitarbeiters. Sie können denke ich bestätigen, dass für weitere DDoS-Attacken die bei dem Kunde eingegangen sind, keine Unterlassungserklärung mehr verlangt wurde. Zusätzlich wurden alle Mitarbeiter die in Frage kommen darüber per Rundmail informiert. Wir nehmen die Vorfälle zum Anlass, um unsere internen Prozesse weiter zu optimieren. Für die bereiteten Umstände bitte ich auch hier um Entschuldigung. Ich hoffe das jetzt alles korrekt arbeitet? Wenn nicht, können Sie mich auch gerne direkt anschreiben.



    Mit freundlichen Grüßen


    Felix Preuß

  • Sehr geehrter Herr Preuß,


    vielen Dank für ihre Aufklärungsbemühungen.
    In der Tat waren für weitere Angriffe keine Unterlassungserklärungen mehr erforderlich, diese wurden jedoch auch alle ohne Nullrouting bewältigt.
    Ich entschuldige mich für die bereiteten Umstände, ich war bezüglich des Handlings eingehender Angriffe aufgrund dieses Threads nur etwas verwirrt.


    Mit freundlichen Grüßen
    Sven