Moin,
gestern Nacht habe ich folgende EMail erhalten:
QuoteDisplay MoreGuten Tag perrflynn,
vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt v220170322154xxxx statt. Wir routen daher die betroffene IP-Adresse 188.68.40.169 über unseren kostenlosen DDoS-Filter. Dieser filtert alle Pakete, die den DDoS verursachen. So bleiben die Dienste Ihres Servers die nicht Angegriffen werden, weiterhin erreichbar. Bedingt durch die Filterung kann es zu etwas längeren Paket-Laufzeiten kommen.
Wir prüfen in regelmässigen Abständen, ob die Angriffe nachgelassen haben. Sobald dieses passiert ist, werden wir die IP-Adresse 188.68.xxx.xxx wieder direkt auf Ihren Server routen.
Hier finden Sie Logauszüge, die den Angriff darstellen:
Direction: IN
Destination IP: 188.68.xxx.xxx
Threshold Packets: 30000 packets/s
Sum Packets: 23581000 packets/300s (78603 packets/s)
Sum Bytes: 32.94 GByte/300s (899.37 MBit/s)
CodeLog: Detail Output: Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes 188.40.xx.xx:22 -> 188.68.xxx.xxx:41656 TCP 23.6 M 35.4 G 188.40.xx.xx:22 -> 188.68.xxx.xxx:41656 TCP 23.6 M 35.4 G
Mit freundlichen Grüßen / best regards
Ihr netcup Team
Ich bin gerade dabei einen alten dedizierten Server auf den neuen KVM Server hier bei netcup zu migrieren. Zu dem Zeitpunkt kopierten zwei TAR Archive mit einer Gesamtgröße von ~60 Gigabyte via scp vom dedi auf den neuen KVM Server.
Als der DDoS Schutz einsetzte, lief der Kopiervorgang wunderbar weiter.
Leider funktionierten keinerlei DNS Auflösungen mehr. Was schlecht ist, wenn man bedenkt, dass der Schutz insgesamt fast sechs Stunden aktiv war und der Kopiervorgang schon lange davor beendet war. Als DNS Server nutze ich den Google DNS.
Finde das komisch, dass ein einzelner dedizierter Server der zwei SSH Verbindungen öffnet den DDoS Schutz auslösen kann. Auch wenn der Dedi eine Gigabit Anbindung hat.
Hat hier jemand Erfahrung?
VG
Christian