7
14. September 2011
Kategoriebild allgemein.png
10.000 Tage sollten reichen

Ein ManagedServer-Kunde hatte wiederholt Probleme mit Überlastungen , die stets einer bestimmten IP-Adresse zugeordnet werden konnten. Natürlich haben wir dem Wunsch entsprochen und den Verursacher mehrfach für 24 Stunden gesperrt. Da dieser sich davon wenig beeindruckt gezeigt und immer nach Aufhebung der Sperren für weitere Lastprobleme gesorgt hat, ist es unserem Kunden und seinem festen “PremiumVIP Individual” Ansprechpartner zu bunt geworden. Entnervt wurde die Technik darum gebeten, die störenden Zugriffe mindestens so lange zu sperren, “bis Weihnachten und Ostern auf einen Freitag den 13. fallen”.

Da das schwierig werden dürfte, hat die Technik stattdessen eine – natürlich rein für diesen einen Kundenserver wirksame – Sperrung mit Enddatum “28.01.2039” vorgenommen. Das sind exakt 10.000 Tage und wir werden selbstverständlich am 29.01.2039 berichten, ob nach der Aufhebung noch Zugriffe von der IP-Adresse kommen. Was nicht nur angesichts der Umstellung von IPv4 auf IPv6 ein kleines Wunder wäre ;-).

9
9. September 2010
Kategoriebild interna.png
DDOS-Attacke

Ein Kunde vertreibt u.a. “Bots” für das bekannte Spiels “World of Warcraft”. Ob die Nutzungsbedingungen des Onlinespieleanbieters dies überhaupt erlauben, ist uns nicht bekannt. Zumindest scheint er sich jedoch bei anderen Spielern oder Anbietern solcher Softwareprogramme unbeliebt gemacht zu haben,  da der Kunde (und damit auch: wir und andere Kunden von uns) nun zum wiederholten Male Opfer einer massiven DDOS-Attacke geworden sind. Solche “Distributed Denial Of Service”-Angriffe, denen mehrere tausende oder zehntausende angreifende und weltweit verteilte Rechnersysteme zu Grunde liegen können, zählen zu den unschönsten Erscheinungen im Internet, mit denen man sich als Hoster und Netzanbieter herumschlagen muss. Um den Angriff in den Griff zu bekommen, müssen diese vielen (zehn-)tausend angreifenden, häufig “gekaperten” Computersysteme erst einmal ermittelt und herausgefiltert werden.

Der heutige, mit einem Angriffsvolumen von mehreren Gbit/s verbundene Fall hat daher leider für einen kurzen Zeitraum nicht nur unseren Kunden in Mitleidenschaft gezogen, sondern darüber hinaus Auswirkungen auf einige andere Internetpräsenzen gehabt.

Die Situation ist sowohl für den Kunden als auch für uns sehr unschön. Denn durch die wiederholten Angriffe entsteht bei uns ein ganz erhebliches Datenvolumen, auf dessen Kosten wir sitzen bleiben. Dies gilt auch für den gesamten entstehenden Arbeits- und Zeitaufwand bei uns.  Noch schlimmer sind jedoch die möglichen Beeinträchtigungen anderer Nutzer, die sich trotz eines aktiven Netzmanagements und erheblicher “Reserve-Ressourcen” nicht vollständig ausschließen lasen.

Nach langem hin und her haben wir nun mit dem Kunden schweren Herzens besprochen, die Zusammenarbeit fristgerecht zu beenden. Dem gingen bereits frühere und intensive Gespräche im Rahmen der Kundenbetreuung voraus. Die Situation ist aber so, wie sie derzeit ist, unter Berücksichtigung aller Aspekte nicht mehr tragbar.

Die Chance, den Tätern habhaft zu werden, ist übrigens enorm gering.

Übrigens: Auch um die Folgen solcher Attacken möglichst gering zu halten, nehmen wir eine laufende und proaktive Netzwerkaufrüstung vor. Ein weiterer Schritt ist – unabhängig von dem aktuellen Angriff – bereits fest eingeplant und steht vor seiner zeitnahen Umsetzung.