Ddos aanval

[flufsor]

Ik wist niet waar dit te plaatsen en vond dit het beste,
Ik heb van dommel een statisch ip en heb gemerkt dat ik regelmatig connectie verlies bijna dagelijks en word dan automatisch op een iets lager profiel gezet.
Aangzien dit zojuist weer gebeurt is heb ik op mijn router log gekeken en zag dit staan:

Code: Selecteer alles

Oct 25 19:06:17 War <EVENT> kernel: "DOS tcpSyncFlooding: "IN=nas1 OUT= MAC=00:01:e3:8e:8f:9f:00:90:d0:63:ff:08:08:00 SRC=89.149.239.13 DST=83.101.90.24 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=61552 DF PROTO=TCP SPT=42990 DPT=6588 WINDOW=5840 RES=0x00 SYN URGP=0 

Kan dit een gevolg hiervan zijn en wat moet ik hiertegen doen, want mijn router firewal staan aan.

[Sub Zero]

Als je firewall er een melding van maakt, dan heeft hij het ding proper geblokkeerd en zal dat wel de oorzaak niet zijn.

[Sasuke]

Als je firewall er een melding van maakt, dan heeft hij het ding proper geblokkeerd en zal dat wel de oorzaak niet zijn.

Errm, I beg to differ ... een DoS aanval kan je niet blokkeren hé ... per definitie gaat een DoS juist trachten jouw firewall zo te belasten met pakketten om dus ofwel de lijn, de firewall, de router, de server of whatever te laten crashen (ofzo).

Het kan dus perfect zo zijn dat de TS een DoS aanval krijgt, dommel dit bekijkt als "excessief" gebruik en dan de snelheid naar beneden haalt. Echter, dommel zou dat niet mogen doen en ik betwijfel ook of ze dat effectief doen.

Als ik de TS was, zet een PC / Server met wat webservices erop (IIS, FTP, VNC, SSH, ...) in een DMZ en log ALLES wat er gebeurt. Dan zie je direct of er iemand effectief iets probeert te doen. Heb op deze manier ook al wat mailtjes naar "abuse@..." gestuurd hoor

Grtz,
Sasuke

[gr4vity]

Ik ga het eens benaderen van het standpunt van dat het geen Ddos is.

Heb je een dns server draaien binnen je lokaal netwerk. Zoja, staat deze gelist als zijnde een nameserver van een bepaald domein (dus ns1 of ns2 of eender wat)?

Toen ik dommel had zag ik deze dingen ook regelmatig voorbij komen in de firewall, maar ik ben toch nooit ge Ddos't dus ik betwijfel een beetje of het wel een Ddos is.

[flufsor]

Dit is juist het rare ik heb geen een server draaien er staat alleen af en toe een torrent op.
Dat is een het echte buiten gaand verkeer voor de rest niets daarom dat ik het zo raar vind.

[selder]

Dus CityConnect? Dan controleert Dommel inderdaad alles, en kunnen ze je modem laten syncen aan een lager profiel. Zou me verbazen maar het is mogelijk.

En een DDOS is nu net dat, door een DDOS haal je een service or server (of router, bak, modem, whatnot) onderuit ... Voorwat staat anders de 2de "d" in DDOS

Wij hebben een custom Linux oplossing als router en firewall. Een paar weken geleden werd de POP3 service geddosed, ewel, die bakken waren daar zo hard mee bezig met die aanval af te slaan dat wij van onze secure lan niet meer naar buiten konden, de bakken hadden er gewoon CPU power meer voor over om "echte" requests te serven.

Tegen een goeie "echte" DDOS is helemaal niks te beginnen...

[flufsor]

Dat lager profiel is dan ook maar voor een tijd, dus ik denk dat ik door die ddos op een soort repair profiel word gezet omdat mijn router crasht door die ddos.

[Goendi]

Dus CityConnect? Dan controleert Dommel inderdaad alles, en kunnen ze je modem laten syncen aan een lager profiel. Zou me verbazen maar het is mogelijk.

En een DDOS is nu net dat, door een DDOS haal je een service or server (of router, bak, modem, whatnot) onderuit ... Voorwat staat anders de 2de "d" in DDOS

Wij hebben een custom Linux oplossing als router en firewall. Een paar weken geleden werd de POP3 service geddosed, ewel, die bakken waren daar zo hard mee bezig met die aanval af te slaan dat wij van onze secure lan niet meer naar buiten konden, de bakken hadden er gewoon CPU power meer voor over om "echte" requests te serven.

Tegen een goeie "echte" DDOS is helemaal niks te beginnen...

Een DDOS is met goeie Juniper gear te filteren. Echter, een goeie DDoS op een dsl lijntje en je hebt gewoon geen verbinding meer. De kans is dus enorm klein dat het een effectieve DDoS was.

[selder]

Een DDOS is met goeie Juniper gear te filteren. Echter, een goeie DDoS op een dsl lijntje en je hebt gewoon geen verbinding meer. De kans is dus enorm klein dat het een effectieve DDoS was.

Ge hebt natuurlijk DDOS attacks en ge hebt DDOS attacks. Ik ben er heilig van overtuigd dat ge met een mega-botnet uw juniper ook op zijn knieën krijgt. Of misschien toch doet buigen, maar tijdens zo'n DDOS moet ge niet veel anders meer op uw lijn proberen hoor, hoe dik ze ook is - als de DDOS ook dik is

[Goendi]

Het hangt sterk af van de aard van de traffiek waar we over spreken. Een DDoS op een high end webserver die normaal gezien 1000-en bezoekers per seconde heeft, zal veel meer effect hebben dan een DDoS op een basis server die 2 bezoekers krijgt. Het ambetante is niet zozeer dat er traffiek binnenkomt (juniper gear kan die effectief wirespeed filteren), het ambetante is dat je maar zoveel traffiek kunt trekken als je pipes toelaten, en dat dat ook nog eens geld kost.

vertaald naar een DSl connectie... krijg je 20 mbit DDoS binnen, dan is je lijn vol. krijg je er 100 mbit binnen, dan kun je niks meer met je lijn. Wat je ook aan het uiteinde hebt staan, juniper of niet, als je lijn vol zit, dan zul je niet meer naar wens kunnen surfen.

[selder]

Exact wat ik bedoelde ... tegen een goeie DDOS is helemaal niets te beginnen. En of ze nu een apparaat op de knieën krijgen of ze nu de hele bandbreedte volproppen, "denied" zal het allezinds worden.

Maar om even op de TS terug te komen, bij u zal dat wel niet het geval geweest zijn...

[Goendi]

Op paar gbit fibers is het gans andere koek hoor DDoS is gewoon dure grap om je tegen te wapenen...

[selder]

Ik heb een plan om het te testen ... ik zal eerst de lotto moeten winnen, dan het conficer botnet kopen/huren en dan moogt hij mij een verbinding aangeven om te testen

[Goendi]

Ik ondervind het nog maandelijks hoor Test is ondertussen al 3 jaar bezig

[Heronic]

Wie heb je boos gemaakt?