Dass mein Server-Anbieter OVH für ihre SoYouStart-Server auch DDOS Schutz anbietet, war mir klar. Dass der Schutz mich einmal protecten muss, ist dann schon etwas außergewöhnlich. Per eMail informiert OVH über den Angriff:

Guten Tag,
wir haben soeben einen Angriff auf die IP-Adresse 37.187.71.154 festgestellt.
Um Ihre Infrastruktur zu schützen haben wir Ihren Traffic auf unsere Schutz-Infrastruktur umgeleitet.
Dadurch wird der Angriff von unserer Infrastruktur bereinigt, und nur der legitime Traffic wird zu Ihren Servern weitergeleitet.
Nach dem Ende des Angriffs wird Ihre Infrastruktur sofort wieder aus unserer Schutz-Infrastruktur entfernt.
Mehr Informationen zur Schutz-Infrastruktur von OVH: http://www.ovh.de/anti-ddos/
Bei Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Hilfreiche Informationen zu OVH und unseren Produkten finden Sie außerdem auch unter: http://www.ovh.de/support/.
Mit freundlichen Grüßen, Ihr OVH Kundendienst

Neugierig durchforste ich mein Syslog und sehe die Unmengen an UDP: bad checksum Zeilen:

Jun 13 14:38:53 schroeffu kernel:[…] net_ratelimit: 287 callbacks suppressed
Jun 13 14:38:53 schroeffu kernel:[…] UDP: bad checksum. From 125.199.235.107:19 to 37.187.71.154:25001 ulen 4472
Jun 13 14:38:53 schroeffu kernel:[…] UDP: bad checksum. From 119.239.147.53:19 to 37.187.71.154:25001 ulen 5621
Jun 13 14:38:53 schroeffu kernel:[…] UDP: bad checksum. From 114.179.71.58:19 to 37.187.71.154:25001 ulen 3942
[…]

Und vnstat informiert mich zeitgleich, dass die Angriffstärke höher als 100Mbit/s sei, das ist mal praktisch 😀

Jun 13 14:39:19 schroeffu vnstatd[2469]: Traffic rate for „eth0“ higher than set maximum 100 Mbit (30->413, r2195 t21), syncing.

Ich hätte auf dem Server 200 Mbit/s und mein Traffic-Messgerät hat bloß eine falsche Defaultkonfiguration. Einen Ausfall gab es nicht, alle meine externen Monitorings von UptimeRobot auf diverse URLs und Ports verzeichneten keine Downtime. Jedenfalls hat OVH nach nur 25 Minuten das Ende der Attacke diagnostiziert und den DDoS Schutz wieder deaktiviert.

Guten Tag,
wir stellen derzeit keine weiteren Angriffe mehr auf Ihre IP-Adresse 37.187.71.154 fest.
Ihre Infrastruktur wurde soeben wieder aus unserer Schutz-Infrastruktur entfernt.
[…]
Mit freundlichen Grüßen, Ihr OVH Kundendienst


Schroeffu

Der Autor ist Schweizer, verheiratet, seit November 2015 zu seiner liebevollen Frau nach Braunschweig, Deutschland, ausgewandert. Als Vater von inzwischen zwei Kindern kommt das Bloggen hoffentlich nicht zu kurz.

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.