HOSTBLOGGER.de

Ein Blogleser (da bin ich aber nicht ganz sicher) hat bei einem anderen Anbieter einen Server, den wohl irgendein Depp unliebsamer Zeitgenosse mit unsinnigen Datenpaketen angreift. Der Server-Betreiber hat uns um Rat gefragt, evtl. wollte er sich sogar einen Server bei uns nehmen.

Leichenflädderei Leichenfledderei ist gar nicht unser Ding. Wir hatten ihm daher geraten, beim Rechenzentrum nachzufragen, ob die nicht einfach den Absender sperren können, z.B. per Nullroute, bis die Attacke aufgehört hat. Auf seinen eigenen, ersten Versuch mit derselben Idee hat man dort nicht reagiert. Die Antwort beim zweiten Versuch (evtl. mit dem von uns avisierten Gruß, der den Leutchen da zeigen sollte "Hey, da ist einer Eurer Kunden und ist gerade sehr unglücklich und ist schon dabei, bei der Konkurrenz nachzufragen!") hat folgendes ergeben:

1. Man sperrt ueber der Routingprotokoll (z.B. BGP). Diese Art ist fuer die Router relativ einfach zu realiesieren da ja nur zusaetliche Routen enstehen. Dabei kommte es nicht auf ein paar an. Der Nachteil ist das dabei nur Zieladdressen gespert werden koennen. Weil die Ports oder die SourceIPs nicht beachtet werden.

2. Man laest den Gesamten Traffic durch eine Firewall laufen. Dabei kann man zwar auch die SourceIPs und die Ports beachten, man wuerde aber den gesamten Traffic durchsehen, was Latenz und Kosten verursacht.

Daher ist eigentlich fuer uns nur die erste Sperrart moeglich.

Die Antwort ist technisch richtig, aber nicht vollständig. Man könnte auch einfach mal das Absender-AS betrachten, dort nachhaken und ggf. den nullrouten. Zweitens sollte wohl irgendein Modul in deren Router auch #2 wenigstens für ein paar Tage weiterhelfen können.

Im Endeffekt hat der Server-Betreiber die IP-Adresse gewechselt.