Angriff auf unsere IP 185.66.195.78

Hallo,

möglicherweise habt ihr mitbekommen, dass gestern das Gateway Neander-1 für mehrere Stunden keine Verbindung zum IPv4-Internet mehr hatte. Grund war, dass es zunächst einen DDoS-Angriff (Denial of Service – Wikipedia) auf die Neanderfunk-IP-Adresse 185.66.195.78 gab, woraufhin diese abgeschaltet wurde.

Viele Grüße,
Benedikt

War das ein realer Angriff oder ein False-Positive, weil die „behavioristisch veranlagte“ OVH-Migitation-Detection glaubte, hinter den fastd-clients einen Angriff sehen zu müssen?

1 Like

Moin,
wie hat sich das bei euch gezeigt?
Wir hatten heute ähnliche Probleme, glauben derzeit aber nicht an einen (absichtlichen) DoS:

Das ist die NAT-IP beim FFRL, da sollte garkein fastd ankommen. Abschaltung war durch FFRL, die wissen ja, wie Freifunk aussieht …

Da müsste ich beim FFRL nachfragen. Was für Indizien, habt Ihr denn, die dagegen sprechen?

@lars, @takt, wisst ihr mehr?

Servus,

es gab in der Tat vorgestern eine DDoS Attacke gegen genannte IP Adresse.
Es handelte sich um eine Traffic Flood.
Dies machte sich durch teilweise saturierte Interfaces inkl. Packetloss bemerkbar.
Einer unserer Upstreams berichtete von ueber 24Gbit/s eingehenden Traffic.
Der NLix Port in Berlin war in beide Richtungen voll.

Wir haben daraufhin den Traffic zu genannter IP null geroutet (also verworfen) und einer unserer Upstreams hat den Traffic bereits in seinem Netz bzw. bei seinen Upstreams verworfen.

VG
takt

3 Likes

Mag jetzt eine törichte Frage sein, aber „warum“?
Oder ist das einfach Zufall/Pech?

wenn dich jemand „f*cken“ will kannste da kaum was machen … und es kann ja wirklich ein FF user verursachen … wenn du den richtigen in die weichteile kloppst kommt so was bei rum.

1 Like

Wuessten wir auch gerne.

2 Likes

Den Aluhut sollte man aber noch stecken lassen. DDoS gehören zum modernen Internet auch (leider) irgendwie dazu.

Ist ja auch einer der Gründe wieso sich viele HTTP-Seiten heutzutage einfach hinter Cloudflare etc. klemmen, der nächste Angriff kommt bestimmt…

1 Like

Das was takt sagt. +1 ^^
Falls Du mal bei einem DDoS-Service-Provider etwas buchen möchstest die werden auch von Cloudflare ect. geschützt.

3 Likes

da reichen heutzutage ein paar unschöne Worte im Chat bereits aus, wenn Du den Falschen erwischt :wink:

3 posts were merged into an existing topic: Erinnerungen an Früher

Beim Lesen von http://www.spiegel.de/netzwelt/web/ddos-attacken-cloudflare-schuetzt-seiten-von-erpressern-a-1085024.html kam mir der Gedanke, dass das möglicherweise garnicht gegen Neanderfunk im Speziellen ging, sondern eher gegen den FFRL.

Insbesondere auf den Vorsitzenden des FFRL …
Was jetzt kein Vorwurf sondern eher eine Anerkennung sein soll.

Hallo Zusammen,

an der Stelle lassen die Tatsachen eher keinen Raum für Vermutungen. Alle eingehenden Pakete hatten als Ziel die IP-Adresse 185.66.195.78 welche Neanderfunk zugeordnet ist. Die Daten dazu sind in der RIPE-Datenbank öffentlich einsehbar.

Ein Angriff auf einzelne Personen oder den gesamten Verein schließe ich auf Basis der technischen Parameter eher aus.

viele Grüße
Thomas

1 Like

Hallo @Benedikt_Wi!

Was verleitet dich zu so einer Spekulation?
Weißt Du da mehr oder steckst Du tiefer im Thema?

Gruß
Philip

Hallo Philip,

Du hilfst Leuten, die Opfer von DDoS-Attacken sind und bist im Vorstand vom FFRL, dem die IP per Whois und anderen Quellen zugeordnet werden kann. Daher halte ich eine Racheaktion gegen Dich für ein mögliches Szenario. Aber es ist genau das, was Du schreibst, eine Spekulation. Und da Lars gefragt hatte, ob wir irgendwelche Ideen hätten, wer uns schaden wollen könnte, habe ich auf diesen Verdacht hingewiesen. Sollte der Angriff auf spez. Neanderfunk abgezielt haben, würde dies auch nicht erklären, warum nur eine der IPs angegriffen wurde.

Wahrscheinlicher halte ich daher dennoch einen Angriff auf irgendjemanden, der zufällig hinter dieser IP im Netz unterwegs war.

Viele Grüße,
Benedikt

2 Likes

Das sehe ich auch so. Und bei DDoS ist das immer schwer mit Quellen, Ziel und den Gründen :smiley: