(vermeintlicher) DoS auf Greyworm(-07)

Gerde Mitteilung erhalten das greyworm aufgrund “eingehender Denial of Service Attacken” gesperrt wurde.
(Null Route). Source ist FFRL.

185.66.195.1 -> 89.163.129.16
185.66.194.0 -> 89.163.129.16

FYI, Traffic März
30TB in, 50TB out

Das sind die IPs vom FFRL. Alles gut. Können die einfach wieder freischalten.

Habe ich denen auch geschrieben.

Aber: “Alles gut.” - so funktionieren diese Hoster ja nicht. Zuviel Traffic, da droht dann Abschalte.

Spannende Frage. Wenn man den Greyworm abschaltet, hält die Remue (und deren Hoster) das aus? Oder fehlt uns Redundanz?

Der Spike hat ihm wohl den Gar ausgemacht. Sieht nicht gesund aus.

(greyworm-7, ffrl-ber2)

1 „Gefällt mir“

BTW, was mich wunderte:

root@greyworm-07 ~ # traceroute 89.163.247.45
traceroute to 89.163.247.45 (89.163.247.45), 30 hops max, 60 byte packets
 1  5.104.105.97 (5.104.105.97)  1.788 ms  2.106 ms  2.107 ms
 2  89.163.247.45 (89.163.247.45)  3.669 ms  3.295 ms  3.291 ms

Im traceroute von greyworm-07 zu beispielsweise greyworm-01 taucht eine Adresse auf die ich nicht dem Blech zuweisen konnte.

Das ist eine gute Frage, müsste das nicht direkt gehen?

Klingt doch vernünftigt:

Von: „servdiscount.comXXXX@servdiscount.com
Betreff: Aw: Re: Serversperrung aufgrund eingehender DoS-Attacken 89.163.129.16 [852552-466970-95]
Datum: 6. April 2016 um 15:54:36 MESZ
An: XXXX@mac.com

Hallo Herr Otter,
ich habe die Logs geprüft.
Ich habe die Einstellungen der IDS geändert.
Sie sollten nicht mehr so schnell gesperrt werden.
Beste Grüße

2 „Gefällt mir“

Scheinbar gab es gestern wirklich ein ddos auf ff Rheinland. https://forum.freifunk.net/t/angriff-auf-unsere-ip-185-66-195-78/11628/7

Wär es theoretisch denkbar, dass in der Folge auch ein bißchen was an traffic zu uns weiter durchgepfluscht ist?

1 „Gefällt mir“

Wär es theoretisch denkbar

Denkbar, insbesondere theoretisch, ist alles.

3 „Gefällt mir“