Wieder DDoS-Attacke

Habe selbst noch keine Antwort vom Support, aber in verschiedenen Foren wird ein Antwortschreiben zitiert:

----->
Sehr geehrte Damen und Herren,

aktuell findet auf die InterNetX-Infrastruktur ein massiver DDOS
Angriff statt. Der Fokus des Angriffs gilt im Besonderen dem
Nameserverpool.

Wir versuchen diesen Vorfall schnellstmöglich zu beheben und werden
Sie umgehend über die Entstörung informieren.

Wir möchten uns an dieser Stelle für etwaige Unannehmlichkeiten
entschuldigen und Ihnen für Ihr Verständnis danken.
<-----

Stefan Scholl schrieb:
--------------------------------------------------------------------------------
> Wir möchten uns an dieser Stelle für etwaige Unannehmlichkeiten
> entschuldigen und Ihnen für Ihr Verständnis danken.

Und was ist, wenn man kein Verständnis für diese Ausfälle zeigt, weil sie auf schlampiger Infrastruktur beruhen? :)

Danken einem die Mitarbeiter dann nicht mehr? ;)

Die Frage ist ist doch viel mehr für was man Verständnis zeigen soll?

Für den Angriff? Hab' ich Verständnis für, kein Problem, gerne.
Dafür dass Sie es schnellstmöglich versuchen zu beheben? Dafür brauch ich kein Verständnis, dafür Zahlt man doch!
Und Verständnis für Unannehmlichkeiten hab ich auch nicht!

Als bis jetzt ist mir noch nicht klar wofür man Verständnis haben soll.
Immer dieses pauschale "Danke für ihr Verständnis". Ein "wir bitten um Entschuldigung" hätte besser gepasst! Finde ich.

mitch schrieb:
--------------------------------------------------------------------------------
> Die Frage ist ist doch viel mehr für was man Verständnis zeigen soll?

Na die sagen doch immer "Wir danken für ihr Verständnis". Das ist so eine hohle und leere Phrase in diesen schönen Formbriefen, die mich wirklich absolut nervt! Woher wissen die bitte, ob ich Verständnis für deren schlampige Arbeit zeige? Wie können die mir das einfach in den Mund legen, das ich Verständnis zeige? Darum geht es mir ja! ;)

> Für den Angriff? Hab' ich Verständnis für, kein Problem, gerne.

Dafür habe ich keines! Würden sie mehr in Sicherheit investieren, hätten sie es schneller/besser gelöst! :)

> Dafür dass Sie es schnellstmöglich versuchen zu beheben? Dafür brauch ich
> kein Verständnis, dafür Zahlt man doch!

Eben! :)

> Und Verständnis für Unannehmlichkeiten hab ich auch nicht!

So meine ich das obige ja. Unannehmlichkeiten zähle ich ja zu "Nicht Verfügbarkeit"! :)

> Als bis jetzt ist mir noch nicht klar wofür man Verständnis haben soll.

Scheinbar dafür, das sie Mist gebaut haben und ihn nun schnellstmöglichst beheben müssen. Da sie sich vorab nicht gut genug abgesichert haben...
Ein so wichtiger Dienst muss doch wohl besser geschützt werden! Bessere Leitungen und Server die mehr aushalten, wäre zB. eine Möglichkeit!

> Immer dieses pauschale "Danke für ihr Verständnis". Ein "wir bitten um
> Entschuldigung" hätte besser gepasst! Finde ich.

Genau so sehe ich das auch! Eine Entschuldigung dafür wäre angebracht! Mir ein Verständnis in den Mund zu legen, das ich NIE gegeben habe, empfinde ich als dreist und absolut unpässlich!

mitch schrieb:
--------------------------------------------------------------------------------
> Die Frage ist ist doch viel mehr für was man Verständnis zeigen soll?
>
> Für den Angriff? Hab' ich Verständnis für, kein Problem, gerne.
> Dafür dass Sie es schnellstmöglich versuchen zu beheben? Dafür brauch ich
> kein Verständnis, dafür Zahlt man doch!
> Und Verständnis für Unannehmlichkeiten hab ich auch nicht!
>
> Als bis jetzt ist mir noch nicht klar wofür man Verständnis haben soll.
> Immer dieses pauschale "Danke für ihr Verständnis". Ein "wir bitten um
> Entschuldigung" hätte besser gepasst! Finde ich.

sorry, aber ich finde eure Kommentare zum kotzen.

Leute mit dieser Einstellung will ich nicht mal als meine Kollegen. Bei eurer Haltung macht doch nicht einmal erfolgreich sein Spaß. Irgendein Satz, eine Äusserung, eine Haltung oder eine Unschönheit wird euch immer stören.

naja, was heisst "schlampige infrastruktur"? deren infrastruktur wirst du wohl nicht kennen.
wie würdest du die nameserver aufstellen?

fastmouse schrieb:
--------------------------------------------------------------------------------
> sorry, aber ich finde eure Kommentare zum kotzen.

Grund?

> Leute mit dieser Einstellung will ich nicht mal als meine Kollegen.

Aha, toller Grund! ;)

> Bei eurer Haltung macht doch nicht einmal erfolgreich sein Spaß.

Was hat erfolgreich sein denn bitte damit zu tun, das man hohle Phrasen irgendwo in Texte verfasst, nur weil diese gerade "IN" zu sein scheinen? Anmaßend bleiben sie trotzdem! "Wir entschuldigen uns für ihre Unannehmlichkeiten" wäre passend gewesen und würde dem Kunden gegenüber Respekt zollen, welcher nun Stress wegen einem Ausfall eines Dienstes hat! Zur Höflichkeit finde ich gehört auch, das man dem Kunden nicht einfach formal Zugeständnisse in den Mund legt wie "Verständnis", sondern anders sich eher beim Kunden entschuldigt, wenn er unter Störungen zu leiden hat! :)

> Irgendein
> Satz, eine Äusserung, eine Haltung oder eine Unschönheit wird euch immer
> stören.

Ach das ist doch Quatsch! Oben siehst du auch warum. :)
Es geht hier nicht um "Unschönheiten", sondern um Respekt und Höflichkeit dem Kunden gegenüber! :)



1 mal bearbeitet, zuletzt am 07.01.10 09:10 durch spanther.

mitch schrieb:
--------------------------------------------------------------------------------

> Für den Angriff? Hab' ich Verständnis für, kein Problem, gerne.

Naja, damit meinte ich eher ich kann die Angreifer verstehen :)

Und genau, letztendlich geht es hier nur um den Satzteil:
> ...und Ihnen für Ihr Verständnis danken."

tunnelblick schrieb:
--------------------------------------------------------------------------------
> naja, was heisst "schlampige infrastruktur"? deren infrastruktur wirst du
> wohl nicht kennen.

Sie hatten solche Vorfälle aber schon mal und haben nichts daraus gelernt wie du siehst. Sie haben nicht ausgebessert und aus den Problemen Resultate gezogen. Hätten sie gelernt aus den Problemen, hätten sie analysiert was genau den Zusammenbruch auslöste und dort nachgebessert. Es also stabiler gemacht, indem stärkere besser angebundene Systeme dazugeschaltet worden wären! :)

> wie würdest du die nameserver aufstellen?

Nunja bei ganz wichtigen Diensten würde ich zumindest schon mal größere Rechner dranklemmen, mit dickeren Leitungen :)

spanther schrieb:
--------------------------------------------------------------------------------
> tunnelblick schrieb:
> ---------------------------------------------------------------------------
> -----
> > naja, was heisst "schlampige infrastruktur"? deren infrastruktur wirst
> du
> > wohl nicht kennen.
>
> Sie hatten solche Vorfälle aber schon mal und haben nichts daraus gelernt
> wie du siehst. Sie haben nicht ausgebessert und aus den Problemen Resultate
> gezogen. Hätten sie gelernt aus den Problemen, hätten sie analysiert was
> genau den Zusammenbruch auslöste und dort nachgebessert. Es also stabiler
> gemacht, indem stärkere besser angebundene Systeme dazugeschaltet worden
> wären! :)

ja und? man weiss ja nicht, wieviele die dinger geddost haben. du faselst hier nur floskeln, ohne konkret zu werden. das kann jeder. und was heisst dazu schalten? wenn sie den gleichen namen haben, werden auch die geddost. andere "namentliche" nameserver "mal eben" im netz bekannt machen dauert auch ewig.
und wer weiss, ob der angriff überhaupt mit dem letzten zu vergleichen ist?

> > wie würdest du die nameserver aufstellen?
>
> Nunja bei ganz wichtigen Diensten würde ich zumindest schon mal größere
> Rechner dranklemmen, mit dickeren Leitungen :)

ahja, das wird wahrscheinlich viel helfen... allein an der namensgebung der nameserver von internetx kann man eigentlich schon erkennen, dass die nicht nur einen betreiben. und sorry, aber rein für dns betreibt man keinen quadcore-xeon. welcher übrigens wohl auch bei einer ganzen masse an anfragen platt wäre.

mitch schrieb:
--------------------------------------------------------------------------------
> mitch schrieb:
> ---------------------------------------------------------------------------
> -----
>
> > Für den Angriff? Hab' ich Verständnis für, kein Problem, gerne.
>
> Naja, damit meinte ich eher ich kann die Angreifer verstehen :)

Ach "SO" rum meintest du das! xD

> Und genau, letztendlich geht es hier nur um den Satzteil:
> > ...und Ihnen für Ihr Verständnis danken."

Joa :)

tunnelblick schrieb:
--------------------------------------------------------------------------------
> ja und? man weiss ja nicht, wieviele die dinger geddost haben. du faselst
> hier nur floskeln, ohne konkret zu werden. das kann jeder. und was heisst
> dazu schalten? wenn sie den gleichen namen haben, werden auch die geddost.

Ja, wenn sie aber Leistungsstärker sind, können sie dem Angriff besser standhalten! ^^

> andere "namentliche" nameserver "mal eben" im netz bekannt machen dauert
> auch ewig.

Muss man ja nicht, einfach vorhandene ausbauen! :)

> und wer weiss, ob der angriff überhaupt mit dem letzten zu vergleichen
> ist?

Ja gut das wird wohl nur die Firma selbst wissen können und die Angreifer, insofern es wieder die selben waren! :)

> ahja, das wird wahrscheinlich viel helfen... allein an der namensgebung der
> nameserver von internetx kann man eigentlich schon erkennen, dass die nicht
> nur einen betreiben. und sorry, aber rein für dns betreibt man keinen
> quadcore-xeon. welcher übrigens wohl auch bei einer ganzen masse an
> anfragen platt wäre.

Warum tut man das nicht? Wenn man durchgängige Stabilität und "möglichst" hohe Sicherheit vor Angriffen haben möchte, wird man das tun! :)
Und wieso ein Quadcore? 4 Kern Server sind doch schon lange Lachnummern! Also mit Lachnummern meine ich nun, nichts besonderes mehr ^^

Die haben da einen Service, welcher DNS Anfragen weiterleitet. Ob sie auch Webspace usw. anbieten weis ich allerdings nicht :)

Aber auch wenn sie nur das tun, was bitte kostet denn schon ein Quadcore Xeon? O.o

Und das ist ja auch eine Firma, kein Privatmensch der einen PC aufstellt und an seine DSL Leitung klemmt! xD

Die müssten doch sowieso in viel größeren Maßstäben rechnen und Reserven einkalkulieren, damit auch bei Stoßzeiten und extrem vielen Anfragen noch nicht direkt alles zusammenbricht! :)

Ich finde es immer wieder erstaunlich wie hier manche behaupten oder zumindest scheinbar der Überzeugung sind, hätten sie an der passenden verantworlichen Stelle gesessen würde nie ein DDOS oder irgend ein anderer Angriff die Infrastruktur, die sie geplant haben plattmachen. Völlig fehlerfrei, ohne jede Lücke, quasi gottgleich perfekt.

Ich bin jetzt auch IT'ler, zwar nicht unbedingt aus der Sparte Netzwerk, aber ich würde mir trotzdem nie anmassen zu behaupten das "wenn ich das gemacht hätte, würd nichts passieren". Nichtmal durch Massnahmen die über "ach da stell ich mal nen paar dickere Kisten und Leitungen hin, passt dann wohl schon" hinausgehen...

Ich persönlich nehme eher an, egal was ich tun würde, jemand mit ausreichend Ressourcen (Geld/Zeit/Willen/Bandbreite/Zombierechner etc.) wird quasi jedes System in die Knie zwingen können.. und würde, ohne jedes Wissen über die Massnahmen und die Struktur von IX lieber nicht behaupten "mit nem paar dickeren Leitungen könnt sogar ich das besser".

STB schrieb:
--------------------------------------------------------------------------------
> Ich finde es immer wieder erstaunlich wie hier manche behaupten oder
> zumindest scheinbar der Überzeugung sind, hätten sie an der passenden
> verantworlichen Stelle gesessen würde nie ein DDOS oder irgend ein anderer
> Angriff die Infrastruktur, die sie geplant haben plattmachen. Völlig
> fehlerfrei, ohne jede Lücke, quasi gottgleich perfekt.

Habe ich nie gesagt! :)

> Ich bin jetzt auch IT'ler, zwar nicht unbedingt aus der Sparte Netzwerk,
> aber ich würde mir trotzdem nie anmassen zu behaupten das "wenn ich das
> gemacht hätte, würd nichts passieren". Nichtmal durch Massnahmen die über
> "ach da stell ich mal nen paar dickere Kisten und Leitungen hin, passt dann
> wohl schon" hinausgehen...

Und ich würde behaupten, wäre die Geiz ist Geil Mentalität nicht so verbreitet und mehr in Infrastruktur investiert, würden Dienste und das gesamte Netz ansich viel stabiler und schneller laufen heute! Wir aber kriechen heute noch mit durchschnittlich 3mbit/s herum...

Die Japaner lachen über uns! xD

> Ich persönlich nehme eher an, egal was ich tun würde, jemand mit
> ausreichend Ressourcen (Geld/Zeit/Willen/Bandbreite/Zombierechner etc.)
> wird quasi jedes System in die Knie zwingen können.. und würde, ohne jedes
> Wissen über die Massnahmen und die Struktur von IX lieber nicht behaupten
> "mit nem paar dickeren Leitungen könnt sogar ich das besser".

Das schöne ist ja aber auch, das die Provider diese DDoS Attacken einfach zulassen. Sie filtern diesen Datenverkehr nicht, um so DDoS abzuwehren, sondern leiten jede Anfrage einfach immer weiter auf diesen Punkt, bis dann das System abstürzt.

Da müsste man sich mal langsam wirklich Gedanken über eine Grundsanierung machen, um dem gesamten System Internet mehr Stabilität und Sicherheit gegenüber Attacken geben zu können.

spanther schrieb:
--------------------------------------------------------------------------------
> tunnelblick schrieb:
> ---------------------------------------------------------------------------
> -----
> > ja und? man weiss ja nicht, wieviele die dinger geddost haben. du
> faselst
> > hier nur floskeln, ohne konkret zu werden. das kann jeder. und was
> heisst
> > dazu schalten? wenn sie den gleichen namen haben, werden auch die
> geddost.
>
> Ja, wenn sie aber Leistungsstärker sind, können sie dem Angriff besser
> standhalten! ^^

ach? und wenn sie eine nicht bekannte sicherheitslücke im named ausnutzen, um diesen lahmzulegen? da hilft auch kein petaflop-rechner.

> > andere "namentliche" nameserver "mal eben" im netz bekannt machen dauert
> > auch ewig.
>
> Muss man ja nicht, einfach vorhandene ausbauen! :)
>
> > und wer weiss, ob der angriff überhaupt mit dem letzten zu vergleichen
> > ist?
>
> Ja gut das wird wohl nur die Firma selbst wissen können und die Angreifer,
> insofern es wieder die selben waren! :)

eben. also sollten wir von aussen mal keine mutmassungen anstellen und denen *irgendwas* vorwerfen.

> > ahja, das wird wahrscheinlich viel helfen... allein an der namensgebung
> der
> > nameserver von internetx kann man eigentlich schon erkennen, dass die
> nicht
> > nur einen betreiben. und sorry, aber rein für dns betreibt man keinen
> > quadcore-xeon. welcher übrigens wohl auch bei einer ganzen masse an
> > anfragen platt wäre.
>
> Warum tut man das nicht? Wenn man durchgängige Stabilität und "möglichst"
> hohe Sicherheit vor Angriffen haben möchte, wird man das tun! :)
> Und wieso ein Quadcore? 4 Kern Server sind doch schon lange Lachnummern!
> Also mit Lachnummern meine ich nun, nichts besonderes mehr ^^

nein, mit leistung allein erreicht man doch keine sicherheit?! und ja, 4-kerner sind lachnummern. aber nein, nur für dns sind 4-kerner erstmal oversized.

> Die haben da einen Service, welcher DNS Anfragen weiterleitet. Ob sie auch
> Webspace usw. anbieten weis ich allerdings nicht :)
>
> Aber auch wenn sie nur das tun, was bitte kostet denn schon ein Quadcore
> Xeon? O.o
>
> Und das ist ja auch eine Firma, kein Privatmensch der einen PC aufstellt
> und an seine DSL Leitung klemmt! xD
>
> Die müssten doch sowieso in viel größeren Maßstäben rechnen und Reserven
> einkalkulieren, damit auch bei Stoßzeiten und extrem vielen Anfragen noch
> nicht direkt alles zusammenbricht! :)

das tun sie doch! sieht man doch an den namen deren dns'e.

tunnelblick schrieb:
--------------------------------------------------------------------------------
> ach? und wenn sie eine nicht bekannte sicherheitslücke im named ausnutzen,
> um diesen lahmzulegen? da hilft auch kein petaflop-rechner.

Wäre dann ärgerlich! :)

> eben. also sollten wir von aussen mal keine mutmassungen anstellen und
> denen *irgendwas* vorwerfen.

:)

> nein, mit leistung allein erreicht man doch keine sicherheit?! und ja,
> 4-kerner sind lachnummern. aber nein, nur für dns sind 4-kerner erstmal
> oversized.

Ja bei normalem DNS Gebrauch schon :)
Man könnte so aber auch immer schnellste Verfügbarkeit und Berechnung garantieren, auch wenn viele viele Hunderttausende gleichzeitig surfen :)

> das tun sie doch! sieht man doch an den namen deren dns'e.

Ich habe mir deren Server nicht selbst angeschaut. Ich ging nur von Berichten aus, wo von sehr langen Reaktionszeiten die Rede war. Also scheinbar funktionierte dann der DNS noch, aber war eben halt stark belastet und deswegen sehr langsam in der Reaktion. Wäre er also größer bestückt gewesen, hätte er schneller reagiert :)

spanther schrieb:
--------------------------------------------------------------------------------
> STB schrieb:
> ---------------------------------------------------------------------------

> Und ich würde behaupten, wäre die Geiz ist Geil Mentalität nicht so
> verbreitet und mehr in Infrastruktur investiert, würden Dienste und das
> gesamte Netz ansich viel stabiler und schneller laufen heute! Wir aber
> kriechen heute noch mit durchschnittlich 3mbit/s herum...
>
> Die Japaner lachen über uns! xD

ja, aber hundertpro nicht über die anbindung von internetx.

> > Ich persönlich nehme eher an, egal was ich tun würde, jemand mit
> > ausreichend Ressourcen (Geld/Zeit/Willen/Bandbreite/Zombierechner etc.)
> > wird quasi jedes System in die Knie zwingen können.. und würde, ohne
> jedes
> > Wissen über die Massnahmen und die Struktur von IX lieber nicht
> behaupten
> > "mit nem paar dickeren Leitungen könnt sogar ich das besser".
>
> Das schöne ist ja aber auch, das die Provider diese DDoS Attacken einfach
> zulassen. Sie filtern diesen Datenverkehr nicht, um so DDoS abzuwehren,
> sondern leiten jede Anfrage einfach immer weiter auf diesen Punkt, bis dann
> das System abstürzt.

woher willst du denn wissen, was die filtern? sollen die dns-anfragen filtern? mensch, spanther. wirklich. als ob da nur hobbyisten sitzen würden. die hobbyisten sind die, die meinen, sie könnten aus der ferne eine blackbox bewerten.

> Da müsste man sich mal langsam wirklich Gedanken über eine Grundsanierung
> machen, um dem gesamten System Internet mehr Stabilität und Sicherheit
> gegenüber Attacken geben zu können.

ja, dann spende doch schon mal ein wenig aus deinem geldfundus!

dazu müsste man mal wissen, wie deren systeme und infrastruktur aussieht, wie deren named skaliert und wieviele anfragen wirklich kamen. zumal die meisten eh nicht deren nameserver nutzen.

tunnelblick schrieb:
--------------------------------------------------------------------------------
> dazu müsste man mal wissen, wie deren systeme und infrastruktur aussieht,
> wie deren named skaliert und wieviele anfragen wirklich kamen. zumal die
> meisten eh nicht deren nameserver nutzen.

Das tun wir aber nicht wissen, da es nicht unsere Firma ist ^^
Na Gottseidank! :)
Sonst wäre ja noch viel mehr diese Zeit lang nicht erreichbar gewesen :(

tunnelblick schrieb:
--------------------------------------------------------------------------------
> woher willst du denn wissen, was die filtern? sollen die dns-anfragen
> filtern? mensch, spanther. wirklich. als ob da nur hobbyisten sitzen
> würden. die hobbyisten sind die, die meinen, sie könnten aus der ferne eine
> blackbox bewerten.

Nein die sollen keine DNS Anfragen filtern, aber wenn von einem Punkt ein Angriff startet also sehr viele Anfragen sozusagen auf einen einzigen anderen Punkt (DNS Server zB.) gestartet wird, hat der Provider doch die Macht dies zu unterbinden. Unüblich extrem hohe Anfragenwerte müssten ihm doch auffallen, da Provider doch auch ihren Traffic usw. überwachen! ^^

Ich will nichts bewerten, sondern einfach nur sagen das die Provider als Einwahl und Netzbesitzer die Macht haben, die Angriffe zu unterbinden. Wenn jemand offensichtlich einen Angriff ausführt, könnte doch dann zB. der Provider diesen "Kunden" vom Netz nehmen :)

Der Provider kann doch sehen über Echtzeit-Statistik, ob nun einer in der Liste der Kunden ungewöhnlich extrem viele Anfragen gleichzeitig auf einen einzigen Punkt konzentriert abgibt. Dann kann man Bot-Netzwerke doch somit dann ausfindig machen und die attackierenden Rechner rauswerfen.

Der Provider muss ja garnicht in den Datenverkehr hineinsehen, aber wenn er die Angreifer welche unüblich viele Anfragen pro Sekunde senden auf einen einzigen Punkt rausfiltert, kann er diese dann doch blockieren bzw. wenn es ein Kunde ist vom Provider diesen einfach sperren vom Netzzugang. Das sollte doch wohl möglich sein denke ich O.o

> ja, dann spende doch schon mal ein wenig aus deinem geldfundus!

Tue ich das nicht schon Monatlich, über die Gebühr die ich bezahle bei meinem Provider? :)