DoS-attacker mot servrarna

Tråden skapades och har fått 30 svar. Det senaste inlägget skrevs .

Enligt webhotellet som nu har loggat all trafik in/ut efter senaste veckornas problem pågår en stor mängd DoS-attacker (Denial of Service) mot 99mac (och resterande domäner) vilket påverkar stabiliteten.

Ett speciellt angrepp används för att få DNS:erna att neka alla inkommande anrop tydligen, jag vet mer om en liten stund. Någon som känner igen liknande grejer?

Låter som en dålig bortförklaring. Jag frågar ju inte era dnser varje gång jag ansluter till 99mac.com, efter första frågan ligger ju ipet cachat i min dns.

Och varför skulle denna DoS-attack börja samtidigt som ni bytte webhotell?

Ungefär så går mina tankar också.

Vad det än är så är problemen stora fortfarande. Från att den tråd skrev fram till nyss har jag inte kunna kontakta 99mac alls.

Var det inte så att hotellet kunde garantera högre uptime än det gamla? I så fall bör du väl få avdrag på avgiften nu Martin.

  • Oregistrerad
  • 2003-09-09 12:08

Vad är problemet, byt webbhotell... Finns hur många som helst.

Utan att veta om det är bortförklaringar eller inte.

Det *kan* vara så att DNS-attacken bara "fungerar" på vissa versioner av DNS-servrar. Så, då skulle attackerna ha pågått under ett tag men ni/vi blev sårbara först när vi flyttade.

Vissa routrar kanske kan känna igen och filtrera bort korrupta DNS-request, vilket också skulle kunna göra att ni var skyddade på det förra stället, utan att ni visste om det.

Helt orimligt är det inte. Men, jag skull begära att dom namngav vilken typ av angrepp det var. Jobba tillsammans med hotellets tekniker och gräv fram mera fakta.

  • Medlem
  • Österåker
  • 2003-09-09 12:31

Låter som en lite märklig förklaring, kanske du och teknikern inte förstod varandra? Eller så förstår inte teknikern det här...

Som patriik skriver så sker ju bara en uppslagning första gången man försöker ansluta, sedan ligger ju resultatet cachat en viss tid. Dum fråga, har ni kollat så att cachningsvärdet inte är felsatt?

Vilken DNS-server (namn och version) använde ni förut och vilken använder ni nu? Vilken ISP hade ni förut (Inmitt?) och vilken har ni nu?

Är det väldigt många IP-nummer som DoSar eller är det under ett hundratal eller tom dussintal? Vore intressant med en lista, sammanfaller den med 99mac-användare så blir det nästan bli lite komiskt (om än fortfarande jobbigt).

I helgen fick jag intrycket av att felet var hittat (och skulle vara/bli åtgärdat) men så verkar inte vara fallet. Imorgon bitti byter vi webhotell om det inte är fixat, bör gå hyggligt snabbt och smidigt.

/Martin

Citat:

Skrevs ursprungligen av Khedron
Vilken ISP hade ni förut (Inmitt?) och vilken har ni nu?

Förra: http://www.immitt.com/

Drivs av bland annat mig.

Nya heter Internet5 tror jag.

/Ola

  • Medlem
  • Österåker
  • 2003-09-09 12:59
; <<>> DiG 8.3 <<>> @(null) dns.speedmania.se soa 
; Bad server: (null) -- using default server and timer opts
; (2 servers found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUERY SECTION:
;;	dns.speedmania.se, type = SOA, class = IN

;; AUTHORITY SECTION:
speedmania.se.		57m10s IN SOA	dns.speedmania.se. domain.speedmania.se. (
					36		; serial
					15M		; refresh
					10M		; retry
					1D		; expiry
					1H )		; minimum


;; Total query time: 29 msec
;; FROM: unus.local. to SERVER: default -- 10.0.0.1
;; WHEN: Tue Sep  9 12:46:28 2003
;; MSG SIZE  sent: 35  rcvd: 78

Hmm, kanske något aggresiva värden i SOAn men det är ju en smaksak (och jag är en fullständig amatör) och beroende på hur många domäner och servrar man har. Borde hur som helst inte generera DoS-liknande mönster och om så är fallet borde en tekniker snabbt kunna identifiera problemet.

En fånig fråga, har den nuvande ISP någon annan Mac i stallet överhuvudtaget? Det har ju snackat om konfigurationen av brandväggen tidigare (inte för jag förstår hur man skall lyckas filtrera ut enbart Mac-trafik men ändå...).

  • Medlem
  • Österåker
  • 2003-09-09 13:00

Oj, skrik till om det breda formatet sabbar forumet på något sätt. Var inte meningen...

  • Medlem
  • Österåker
  • 2003-09-09 13:07

Hmm, hugger Internet5 all inkommande ICMP-trafik?

Martin, Firebox 700:an kan konfigureras med en DNS-proxy som filterar bort suspekta DNS-paket mot DNS:en....

  • Medlem
  • Svedala
  • 2003-09-09 17:14
Citat:

Skrevs ursprungligen av Khedron
En fånig fråga, har den nuvande ISP någon annan Mac i stallet överhuvudtaget? Det har ju snackat om konfigurationen av brandväggen tidigare (inte för jag förstår hur man skall lyckas filtrera ut enbart Mac-trafik men ändå...).

99mac.com rullar på en Windows 2000-server, så det kan inte ha något med det att göra.

En annan Heads-up är vilken VPN-lösning man använder.

Jag var hos en kund för ett par år sedan där vi hade stora problem (efter ett byte) med att våra servrar fick massa connection refused. Det visade sig att det var VPN-lösningen som gjorde att routern inte hängde med. Dvs, vår 10mbit-lina hade massa kapacitet kvar. Användarna ropade på en fetare lina, men det var hårdvaru-VPN-lösningen som var underdimensionerad, inte linan.

Citat:

Skrevs ursprungligen av nillon
99mac.com rullar på en Windows 2000-server, så det kan inte ha något med det att göra.

Faktum är att jag stött på problem med MacOS 9-klienter som surfar. Detta pga att Apple skickar data redan i trejde TCP-paketet (Ack), dvs innan handskakningen är helt färdig.
Detta hade en av våra leverantörer noterat att det var tillåtet enligt RFC:n, så det fick jag tala om för dem.
MacOS X däremot skickar datat först i fjärde paketet.

Som sagt körs 99mac på Windows. Dessutom har jag haft problem från Windows också.
Dessutom är problemet med DNS-uppslag, vilket gör att det inte är klienten som kontaktar 99macs server, eller går genom brandväggen. Utan klientens DNS-server (på företaget eller hos operatören). Denna är inte så ofta en Mac....

Det är sjukt skumt hursomhelst. Nu har jag hemnumret på deras tekniker. Om det inte är fixat imorgon bitti så flyttar vi tio meter till "levonline:s" webhotell istället (den står i racket brevid) där det inte används samma typ av brandvägg.

100MBit där också.

Nån skillnad i pris? Inte intressant att sätta in egen brandvägg?
Kan man inte få ner priset på det sättet?

Jag anlitar egentligen inte själva Internet5 utan ett företag som heter DMZ. http://www.dmz.se/
Dom vill köra alla servrar på samma brandvägg vilket uppenbarligen inte är en utmärkt idé.

Tidigare körde vi helt utan brandvägg men då hade vi ju andra problem som att linan eller strömmen gick ner titt som tätt.

Både Levonline och DMZ hyr 42U rack i Internet5:s webhall som för övrigt är väldigt trevlig med fet lina, kyla, UPS:er osv osv.

Levonline har givit oss en deal där jag får flytta över blixtsnabbt och dom kommer kosta ca 3.200kr/mån för all servrar med 100mbit access och 24/7 support.

Jag har möjligheten att hyra ett eget rack men det kostar ca 7500,- i månaden vilket är för mycket för att jag ska kunna betala räkningen...men om det fanns några snubbar här på 99mac som behöver rackplats och/eller framtida kunder i ett webbshop-projekt jag driver så skulle det kunna vara ett alternativ.

/Martin

Grymt bra priser måste jag säga. Hur många "U" ockuperar du?

Tomtarna med ISA-servern kanske du kan be kontakta mig så får de köpa en riktig brandvägg....

Vad finns det för bandbreddsgarantier? (Knappast 100Mb....)
Hur mycket data räknar de med att du överför?
Och hur mycket överför 99mac (och dina andra "projekt") normalt på en månad? (när allt fungerar vill säga )

Citat:

Skrevs ursprungligen av Jonas Mellander
Detta pga att Apple skickar data redan i trejde TCP-paketet (Ack), dvs innan handskakningen är helt färdig.

Det där låter högst osannolikt. Kommunikationen borde inte fungera alls i så fall.

Ciryon

Det ÄR bra priser

Jag drar ungefär 80-100GB per månad totalt just nu (när allting fungerar) exklusive galleriet men jag tror på sikt att man kan se en fördubbling redan innan jul.

Jag ockuperar just nu 4U:

Dell Poweredge 2450 P3/866 2U WIN2k
IBM eServer e345 2xXeon 2.4GHZ 2U WIN2k

Snart kommer det två burkar till:

Dell Poweredge 2650 Xeon 2.2GHz 2U RedHat9
Apple Xserve G4/G5 1-2U (?) OSX

Totalt hyr jag 10U.

  • Medlem
  • Österåker
  • 2003-09-09 18:37
Citat:

Skrevs ursprungligen av nillon
99mac.com rullar på en Windows 2000-server, så det kan inte ha något med det att göra.

*slår sig för pannan* Stön, det förträngde jag visst...

Jag hoppas på att jag kan fixa det. Vår G4/933 kraschade ju nyligen - IDE-disken låter "krrr....eeeeek" nu tyvärr.

Hur vore det om Apple släppte en Xserve G5 med Ultra320 SCSI diskar för under 20.000kr?

Citat:

Skrevs ursprungligen av Ciryon
Det där låter högst osannolikt. Kommunikationen borde inte fungera alls i så fall.

Ciryon

Jodå, men RFC:n säger också att TCP-stacken inte får föra vidare datat till applikationen förrän handskakningen är genomförd...
Lite "agressiv" approach från Apple, men som vanligt helt enligt RFC:n. Och prestandamässigt borde det vara bättre. Om än svårt för en enskild användare att notera kanske....

För de riktiga nördarna: Se sista stycket på sidan 30 i RFC 793

EDIT: Tillägg av länk

Senast redigerat 2003-09-09 22:40
Citat:

Skrevs ursprungligen av Björnström
Hur vore det om Apple släppte en Xserve G5 med Ultra320 SCSI diskar för under 20.000kr?

Bra för 99mac-användarna.
Och dräpande för konkurrenterna. (Apples)
Och bra för Moore's lag som får lite kött på benen, om det nu saknats.

Jag hoppas att det dyker upp några Xserve i någon konkurs snart, jag har ju formligen drunknat i rackservrar sedan Defcom-konkursen i somras.

Citat:

Skrevs ursprungligen av Björnström
Tidigare körde vi helt utan brandvägg men då hade vi ju andra problem som att linan eller strömmen gick ner titt som tätt.

Det där vär väl inte så snällt, eller korrekt?

/Ola

  • Medlem
  • Österåker
  • 2003-09-09 19:05

Ursäkta denna utvikning från ämnet:

Citat:

Skrevs ursprungligen av Ciryon
Det där låter högst osannolikt. Kommunikationen borde inte fungera alls i så fall.

Ciryon

Säg inte det. Vill minnas att MS Win NT system förr i tiden var ena baddare på att fula sig vid tex HTTP-kommunikation.
Istället för att skicka en SYN och vänta på SYN/ACK innan snackdags så drogs data iväg i första paketet. Detta gjorde naturligtvis att de flesta programvaror inte ville ta i paketet med tång ens. Utom, just det, MS Win NT, tex IIS.
Så surfade man med IE mot en IIS-kärra gick allting lite snabbare. Alla andra kombinationer med NT i någon ända gick lite långsammare eftersom synkning kom igång en snäpp senare.
Har för mig att NT inte heller alltid kopplade ner TCP/IP-länken utan lät den hänga omkring i alla evighet (har själv råkat ut för "intressanta" problem pga detta).

Bevaka tråden