[Wien] DDoS Angriff auf das Funknetz (yumv1.yumyum)

Harald Geyer (spam-protected)
Do Aug 7 14:52:28 CEST 2008


Hi!

> anscheinend geht die Attacke großteils nur gegen 193.238.156.58.
> Wenn du das Device mal off nimmst oder die IP wechselst versickern die
> Pakete am viviroof,

Stimmt, die anderen hits in deiner Statistik sind wohl legitim.

Leider ist yumv1.yumyum kein device von mir, sonst hätt' ich eh längst
was gemacht - der eingetragene Nodeowner ist jetzt aber auf Cc:

Stand 14:15 ist, dass die Attacke nach wie vor gegen die selbe IP
läuft, allerdings deutlich schwächer, sodass es keine wesentliche
Beeinträchtigung gibt - kann sogar das device selber jetzt erreichen,
was notwendig war, um den Nodeowner herauszufinden ...
(Oder gibt's eine andere Möglichkeit an die Daten aus redeemer zu
kommen, außer der map?)

Ist da jetzt irgendeine Art von shaping am roofnode aktiv, oder warum
ist der Angriff jetzt schwächer?

> generell sollte man dabei aber überlegen, was gegen soetwas gemacht werden
> kann.
> (Ich schlag das mal gleich fürs nächste backbone treffen vor, es
> sei denn
> es ergibt sich bis dahin was)

Ich denke, das sollte schon auch mit den Nodeownern diskutiert werden,
schließlich wird es kaum gehen, ohne irgendwas zu filtern oder zu
shapen (was bisher ja eher als no go bei Funkfeuer galt).

Sollte einmal eine IP von mir von sowas betroffen sein, würde ich es
sehr begrüßen, wenn externer traffic auf die IP geblockt wird, weil ich
a) nicht immer in Wien bin, und es u.U. nicht gleich merke
b) es einfacher ist, meine devices zu erreichen um Gegenmaßnahmen zu
   setzen, wenn sie nicht mit externem traffic überschwemmt werden.

Gleichzeitig wär's natürlich angenehm, wenn trotzdem noch das Housing
erreichbar wäre - zwecks registrieren einer neuen IP, für DNS etc. und
wenn es eine netzinterne Infrastruktur gäbe, um zu erfahren, dass die
IP geblockt ist und es nicht bloß ein Ausfall des Uplinks ist...

Liebe Grüße,
Harald





Mehr Informationen über die Mailingliste Wien