(vermeintlicher) DoS auf Greyworm(-07)


#1

Gerde Mitteilung erhalten das greyworm aufgrund “eingehender Denial of Service Attacken” gesperrt wurde.
(Null Route). Source ist FFRL.

185.66.195.1 -> 89.163.129.16
185.66.194.0 -> 89.163.129.16

FYI, Traffic März
30TB in, 50TB out


Admintagebuch - Dokumentation der Admintätigkeiten
#2

Das sind die IPs vom FFRL. Alles gut. Können die einfach wieder freischalten.


#3

Habe ich denen auch geschrieben.

Aber: “Alles gut.” - so funktionieren diese Hoster ja nicht. Zuviel Traffic, da droht dann Abschalte.

Spannende Frage. Wenn man den Greyworm abschaltet, hält die Remue (und deren Hoster) das aus? Oder fehlt uns Redundanz?


#4

Der Spike hat ihm wohl den Gar ausgemacht. Sieht nicht gesund aus.

(greyworm-7, ffrl-ber2)


Durchsatz Freifunk
#5

BTW, was mich wunderte:

root@greyworm-07 ~ # traceroute 89.163.247.45
traceroute to 89.163.247.45 (89.163.247.45), 30 hops max, 60 byte packets
 1  5.104.105.97 (5.104.105.97)  1.788 ms  2.106 ms  2.107 ms
 2  89.163.247.45 (89.163.247.45)  3.669 ms  3.295 ms  3.291 ms

Im traceroute von greyworm-07 zu beispielsweise greyworm-01 taucht eine Adresse auf die ich nicht dem Blech zuweisen konnte.


Durchsatz Freifunk
#6

Das ist eine gute Frage, müsste das nicht direkt gehen?


#7

Klingt doch vernünftigt:

Von: “servdiscount.comXXXX@servdiscount.com
Betreff: Aw: Re: Serversperrung aufgrund eingehender DoS-Attacken 89.163.129.16 [852552-466970-95]
Datum: 6. April 2016 um 15:54:36 MESZ
An: XXXX@mac.com

Hallo Herr Otter,
ich habe die Logs geprüft.
Ich habe die Einstellungen der IDS geändert.
Sie sollten nicht mehr so schnell gesperrt werden.
Beste Grüße


#8

Scheinbar gab es gestern wirklich ein ddos auf ff Rheinland. https://forum.freifunk.net/t/angriff-auf-unsere-ip-185-66-195-78/11628/7

Wär es theoretisch denkbar, dass in der Folge auch ein bißchen was an traffic zu uns weiter durchgepfluscht ist?


#9

Wär es theoretisch denkbar

Denkbar, insbesondere theoretisch, ist alles.