Userbase

Momenteel heb ik al 2 dag dos,.. kan amper mijn verbinding gebruiken dus ik meld dit aan edpnet denk je dat ze hier iets aan doen buiten mij het abuse email doorgeven dat in de whois van het ip staat waar het om gaat en dan spreken we nog niet over het volume dat deze gasten aan het verprutsen zijn, .. dit is gewoon diefstal.

Het ergste is dat ik het gewoon niet kan filteren, .. ze verzenden udp packets naar en ip, naar een poort die niet open staat !? ik heb het ip al neergehaald het haalt gewoon niks uit.

iemand met suggesties, .. alle zijn welkom, ..

ik draai freebsd ik heb ipfw al proberen het ip te blokkeren helpt niet ik heb het al proberen te filteren via ios in cisco router met access-list ik heb al zelfs het ip neergehaald heeft allemaal geen effect.

Sowieso contact opnemen met het abuse adres. Vanzelf gaan ze niet stoppen vrees ik.

Op een DSL lijn filteren? Good luck with that... Enige optie zal zijn contact op te nemen met de operator die verantwoordelijk is voor dat specifieke IP. En dan nog...

Waarom zet je al je IRC gear niet gewoon in een datacenter aan een 100mbit link? Daar kun je al pak meer doen...

Goendi schreef:Op een DSL lijn filteren? Good luck with that... Enige optie zal zijn contact op te nemen met de operator die verantwoordelijk is voor dat specifieke IP. En dan nog...

Waarom zet je al je IRC gear niet gewoon in een datacenter aan een 100mbit link? Daar kun je al pak meer doen...

dit heeft niks met irc te maken, .. nu heb ik het kunnen filteren maar het maakt weinig of niks uit de bandbreedte wordt nog steeds verbruikt maar het stopt op de router.

'k heb een access list gemaakt op de router specifiek voor dat ip en dan heb ik die acces-group fysiek toegewezen resultaat dat er niks meer op het doel aankomt maar nu nog wel op de router ...

En inderdaad good luck .. ik was juist het zelfde aan het denken.. toen ik de reply las van edpnet .. die gasten lezen die mails waarschijnlijk nooit, ondertussen giga's bandbreedte verspilt, .. het is trouwens maar afkomstig van 1 ip en niet meerdere, .. dus geen ddos maar echt dos.. vreemd dat dit zomaar kan, .. dus udp pakket versturen .. dat geen aankomst adres heeft raar, maar blijkbaar kan het.

EDIT: allé het heeft wel een bestemming maar de bestemmingspoort is niet gebind zelfs als het ip niet bestaat komt de traffiek nog aan omdat het zo geroute is.

nu ben ik aan het denken om een rate limit op dat ip toe te wijzen.

Ofloo schreef:dit heeft niks met irc te maken, .. nu heb ik het kunnen filteren maar het maakt weinig of niks uit de bandbreedte wordt nog steeds verbruikt maar het stopt op de router.

Alle kom, dat geloof je nu toch zelf niet dat de aanleiding in deze niet IRC related is? 3/4de van U fixed IP's wordt voor die doeleinden gebruikt...

Wat betreft het toekomen van die UDP floods: de IP's in de 212 range bij EDPnet worden geforward naar uw effectief IP van uw PPPoE sessie (213 range). gevolg: ook als je dat IP plat gooit, zal die traffiek nog toekomen op de gateway. Mogelijke work arounds zijn er niet... Je bandbreedte zit vol. je kunt nu wel filteren, maar zonder upstream support (EDPnet) zul je idd enorm veel packetloss hebben (en zeker op een dsl lijn). Ergens snap ik wel dat ze geen DDoS beveiliging gaan implementeren op hun edge routers voor een eindgebruiker...
Heb je 1 of 2 EDPnet DSL lijnen? indien 2, stuur uitgaand verkeer over de ene lijn, en inkomend verkeer over de andere? Dat zou eventueel kunnen helpen... Niet veel, maar toch.

Waarom zet je je gear niet gewoon in een DC waar je provider deftige DDoS beveiliging heeft?

Nee dit heeft helemaal niks met irc te maken, .. dit heeft te maken dat ik iemand geen toegang wou geven tot een bepaalde service. Op zijn minst dat denk ik toch, 'k kan me niks anders voorstellen.

Mijn fixed ip's worden niet enkel voor die doeleinden gebruikt ook bv ssl certs .. reverse hosts zitten er tussen ja maar daar heeft het helemaal niks mee te maken, .. trouwens ik heb dedicated server in datacentra.

EDIT: upload op dit moment is geen probleem het is de download die verzadigd is.

Is het ip dat je aanvalt Belgisch? Anders eens naar de CCU bellen...

[ Post made via mobile device ]

nee, .. spijtig genoeg niet het is japans .. dus ik vrees ervoor dat ik ooit een antwoord ga krijgen. Ik denk dat mijn beste optie een illegale gaat zijn..

Ofloo schreef:Nee dit heeft helemaal niks met irc te maken, .. dit heeft te maken dat ik iemand geen toegang wou geven tot een bepaalde service. Op zijn minst dat denk ik toch, 'k kan me niks anders voorstellen.

Mijn fixed ip's worden niet enkel voor die doeleinden gebruikt ook bv ssl certs .. reverse hosts zitten er tussen ja maar daar heeft het helemaal niks mee te maken, .. trouwens ik heb dedicated server in datacentra.

EDIT: upload op dit moment is geen probleem het is de download die verzadigd is.

Dat weet ik, maar met een 2de lijn kun je in principe die verzadiging opvangen. Eventueel is ipsec tunneling ook een alternatief, waardoor je upstream zelf aan filtering kunt doen. Dat is nu net het nadeel van op een DSL lijn services te runnen die publiek toegankelijk zijn...

Tja, je kan het IP dat jou aanvalt zelf gaan aanvallen en kijken wie het het langst overleeft natuurlijk . Maar dat is illegaal uiteraard.

Goztow schreef:Tja, je kan het IP dat jou aanvalt zelf gaan aanvallen en kijken wie het het langst overleeft natuurlijk . Maar dat is illegaal uiteraard.

in mijn geval is het zelf verdediging

ik denk dat het zoiets gaat moeten worden er schiet gewoon niks anders meer over, het abuse email heb ik gecontacteerd, .. mijn isp wilt precies niks doen buiten een abuse email geven, ... filteren werkt niet..

en ik mag nog altijd de rekening betalen van de verbruikte bandbreedte en misschien nog op smallband terecht komen, dan denk ik dat ik meer kans heb dat ik zijn connectie dicht trek dat hij gaat stoppen ipv hier te zitten wachten tot iemand die verantwoordelijk is iets onderneemt.

bah al 76.939,82 mb verbruikt in 2 dagen tijd, en hij begint te geven ik kan al terug online.. nog steeds dos maar niet zoveel.

Het lijkt eindelijk voorbij te zijn, .. wel al mijn volume zo goed als verbrast .. gaat me nog 60 euro extra volume kosten dat ik anders niet heb en dan nog eens de rest van de maand op small band en uiteindelijk heeft geen enkele ISP iets ondernomen buiten, na veel gezaag heeft edpnet een mailtje gestuurd.

Ze waren er van overtuigd dat je UDP packets kon tegen houden met een firewall, het pakket wel ja maar het bandbreedte verbruik niet nee..

Als je daat een paar keer voor hebt, kan je mss beter uitkijken naar een professioneel abo ergens, waar ze er wel iets kunnen tegen doen? Een colo in een datacenter in Nederland kost ook echt niet zo veel meer.

Goztow schreef:Als je daat een paar keer voor hebt, kan je mss beter uitkijken naar een professioneel abo ergens, waar ze er wel iets kunnen tegen doen? Een colo in een datacenter in Nederland kost ook echt niet zo veel meer.

Inderdaad maar dit is de eerste keer in een 8 jaar.. nu had ik toch wel verwacht dat als men een melding van abuse krijgt dat men daar iets mee doet, .. en dan bedoel ik dat niet zozeer van edpnet zijn kant maar van de isp van waar de trafiek kwam en dit is nogmaals de zoveelste thread die aantoont dat limieten niet deugen. Stel dat jij dat krijgt.

Nu ik heb wel dedicated server ze, in een datacenter er zijn gewoon een paar dingen die ik graag thuis doe.

En vertel me niet dat ze dit niet konden tegen houden als ik het op mijne cisco router kan filteren kunnen zij dat ook het enige verschil is dat ze dan de kost van het volume niet kunnen aanrekenen !

Extended IP access list 2001
10 deny ip 221.184.204.0 0.0.0.255 any
20 deny ip 125.170.235.0 0.0.0.255 any
30 deny ip 122.27.172.0 0.0.0.255 any
40 permit ip any any
50 permit icmp any any

en dan ip access-group 2001 out toevoegen aan de interface

EDIT:

Zelfs wild vreemde willen helpen, ..

Can you tell me whether this traffic passes the AMSIX or send me a
traceroute?

-- Regards,

PS post de naam er niet bij gewoon uit privacy redenen