hutsefruts valt satforums aan met DOS attacks.

[Ron]

22 augustus is Sat4all gedurende hele korte tijd aangevallen d.m.v. een DOS attack afkomstig van "collega" forum hutsefruts.

Door de uitstekende firewall en server configuratie door onze server administrator werd er via sms meteen gewaarschuwd en werd de attack tevens automatisch binnen een seconde volledig geblokeerd waardoor onze leden geen enkele overlast ondervonden.

Omdat de attack duidelijk en met onomstotelijk bewijs afkomstig was van onderstaande IP adressen, vinden wij dat we dit niet onopgemerkt kunnen laten gaan.

 

De IP adressen die voor de attack gebruikt werden zijn:

 

82.93.74.204 (23:56)

84.9.201.95 (00:00)

 

nslookup 82.93.74.204

Server: 127.0.0.1

Address: 127.0.0.1#53

 

Non-authoritative answer:

204.74.93.82.in-addr.arpa name = hutsefruts.xs4all.nl

 

nslookup 84.9.201.95

Server: 127.0.0.1

Address: 127.0.0.1#53

 

Non-authoritative answer:

95.201.9.84.in-addr.arpa name = host-84-9-201-95.bulldogdsl.com

 

Aug 22 23:56:34 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16615 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=32768 RES=0x00 ACK URGP=0

Aug 22 23:56:34 www last message repeated 40 times

 

Aug 22 23:56:34 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16615 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=32768 RES=0x00 ACK URGP=0

Aug 22 23:56:34 www last message repeated 2 times

 

Aug 22 23:56:34 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16616 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=29210 RES=0x00 ACK URGP=0

Aug 22 23:56:35 www last message repeated 91 times

 

Aug 22 23:56:35 www fwlogwatch: ALERT: 40 attempts from 82.93.74.204

 

Aug 22 23:56:35 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16616 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=29210 RES=0x00 ACK URGP=0

Aug 22 23:56:35 www last message repeated 22 times

 

(1 + 40) + (1 + 2) + (1 + 91) + (1 + 22) = 159 connecties door de firewall in 1 sec verwijderd.

 

Er is inmiddels contact geweest met XS4all, die gepaste stappen beloofden.

Let wel dat je als mogelijk lid van hutsefruts daar je IP adres achterlaat en als men tot DOS attacks in staat is, wat doet met dan met jouw (privé) IP adres?

 

Tox.

[Gast]

Is het mogelijk om met twee verbindingen een DDos te starten naar een website? Daar heb je (normaal gesproken) toch nooit genoeg bandbreedte voor?

[Greatone]

Wat heeft dat nou eigenlijk voor zin <img src="/forums/images/graemlins/confused.gif" alt="" />

 

IS het jaloezie ofzo, of zit er wat anders achter <img src="/forums/images/graemlins/biggthumpdown.gif" alt="" />

[EL PIÑO]

Citaat:

Is het mogelijk om met twee verbindingen een DDos te starten naar een website? Daar heb je (normaal gesproken) toch nooit genoeg bandbreedte voor?

Nou, het is wel mogelijk om een DDos te starten, dat is niets meer dan een "Distributed Denial Of Serivice" en dat is altijd met meer dan 1 pc, dus het kan theoretisch met 2. Alleen zul je idd met 2 computers (zelfs al zitten ze op een 100Mbit aansluiting) een server die op een beetje goed netwerk zit nooit down krijgen. Misschien wat langzamer.

[Delano]

Heel vreemd lijkt me dat de 2 sites meer complementair zijn dan dat ze in elkaars vaarwater zitten.

 

Citaat:

hutsefruts valt satforum[color:"red"]s[/color] aan met DOS

Die s .... moet eens wat surfen wellicht

 

aanvulling: complementair => kwam (voor verlopen account) daar voor sleutels en hier voor het forum

[Gast]

gewoon laag <img src="/forums/images/graemlins/biggthumpdown.gif" alt="" />

[Maxzz]

Het kan ook nog zijn dat het systeem van hutsefruts gehacked is. het is namenlijk erg ongebruikelijk, om vanaf je eigen ipadres een dos of ddos te doen. Mogelijk heeft iemand op afstand een opdracht gegeven en was het systeem van hutsefruts gewoon het medium <img src="/forums/images/graemlins/lezen.gif" alt="" />

[Ron]

Zeer onwaarschijnlijk en als ze "onschuldig" zouden zijn, zouden ze al lang verontwaardigd gereageerd hebben.

Bovendien was het andere IP adres een "aanhanger" van hutsefruts en dat is net even 2 kilometer te veel toeval.

Hier was echt wel opzet in het spel.

 

Tox.

[Gast]

Ja, lijkt me ook niet echt logisch om dat vanaf je eigen adres te doen! Maar ja, blijkbaar zijn die gasten ook niet al te intelligent, want 'n DOS-attack vanaf 2 machines is nou niet bepaald effektief, tenzij je achter 'n GBit backbone hangt.

[adam76]

Citaat:

Ja, lijkt me ook niet echt logisch om dat vanaf je eigen adres te doen! Maar ja, blijkbaar zijn die gasten ook niet al te intelligent, want 'n DOS-attack vanaf 2 machines is nou niet bepaald effektief, tenzij je achter 'n GBit backbone hangt.

punt 1.. ddos is LAME ik heb er zo vaak een paar te verduren gehad.
punt 2.. je kan vanaf 1 machine met een kleine upload al redelijk wat schade uithalen. ga gewoon maar eens vanaf die ene bak met 1 source poort naar alle 65536 poorten een verbinding aanvragen. dan krijgt die bak het al zwaarder. met enige goede firewall software is dit redelijk te voorkomen, als je een ddos attack vanaf 10, 10 mb servers uitvoert dan zal de core router van de provider op zijn knieen gaan als hij een te hoge aging table hanteerd op zijn routers.
punt 3.. een melding naar ddossers. Ga hacken <img src="/forums/images/graemlins/smile.gif" alt="" /> als je dat voor elkaar krijgt dan ben je echt de man. elke n00b kan botnets opzetten door middel van gebruikte exploits en bots. maar als je de servers gehackt krijg doe dan een defacement en dan kan je zeggen dat je wat heb gedaan, maar ddos is zoo laag


er is tegen ddos momenteel weinig te doen. omdat het internet routing protocol daar gewoonweg geen beveiligings mogelijkheden voor heeft

[Gast]

Euh, ik geloof dat er bij hutsefruts op het forum meer zo'n stemming heerst van "wat een onzin, daar gaan we niet eens op reageren"?

Ik kan me vergissen hoor, maar misschien is dat wel de reden dat er geen reactie komt, en impliceert het uitblijven er van niet direkt en schuldvaststelling?

 

Overigens, Tox, wat mij intrigeert, waarom gooi jij dit op het board, heb je zelf eigenlijk al kontakt met die jongens gezocht?

Lijkt me toch het eerste wat je doet?

[adam76]

Citaat:

Aug 22 23:56:34 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16615 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=32768 RES=0x00 ACK URGP=0

Aug 22 23:56:34 www last message repeated 40 times

 

Aug 22 23:56:34 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16615 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=32768 RES=0x00 ACK URGP=0

Aug 22 23:56:34 www last message repeated 2 times

 

Aug 22 23:56:34 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16616 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=29210 RES=0x00 ACK URGP=0

Aug 22 23:56:35 www last message repeated 91 times

 

Aug 22 23:56:35 www fwlogwatch: ALERT: 40 attempts from 82.93.74.204

 

Aug 22 23:56:35 www kernel: IN=eth0 OUT= MAC=00:30:48:70:03:a0:00:90:69:60:c0:3e:08:00 SRC=82.93.74.204 DST=212.204.250.252 LEN=40 TOS=0x00 PREC=0x00 TTL=122 ID=16616 DF PROTO=TCP SPT=32652 DPT=80 WINDOW=29210 RES=0x00 ACK URGP=0

Aug 22 23:56:35 www last message repeated 22 times

 

deze ddos is niet zo schadelijk.. alleen maar tcp/80 meer gericht om je wwwd plat te krijgen niet de hele bak.. ik zal er op je dataverkeer na niet te veel over in zitten. ze kunnen hoogstens voor een hoge rekening zorgen. ip adressen loggen, aangifte doen bij de politie met deze gegevens. zorg dat je timed goed staat. dan is het rechtsgeldig.

 

Citaat:

werd de attack tevens automatisch binnen een seconde volledig geblokeerd waardoor onze leden geen enkele overlast ondervonden.

je kan dat wel zeggen. maar je hebt nog steeds inkomend dataverkeer en als je een drop op je firewall zet dan word je hoeveelheid data gehalveerd maar niet geblokt. dat moeten ze verderop bij de ixs ( interet exchanges ) doen. dus ik zou daar wel degelijk aangifte van doen want dat is geleden schade. en data is bij widexs nogal duur. ik kan het weten huis er 5 servers momenteel.

 

toch blijf ik er bij. ddos zoo laag.

[Gast]

Er is wel degelijk reaktie gekomen maar niet hier.

 

Bovendien vindt ik deze post niet zo netjes, al zou het al waar zijn.

Probeer eerst eens onderling te communiceren voor de boel gepost wordt.

 

Misschien "vergeten" dat het IP van Huts ook "gehackt" kan zijn?

 

 

OK kritiek op een MOD moet via PM, misschien had deze posting ook anders gemoeten?.

 

Ga nou eens na; Wat wordt Huts er beter van als Sat4all plat ligt......... helemaal niets in mijn ogen.

 

Dit is mijn mening, probeer in de toekomst dit soort dingen "ofline" te regelen/uitpraten en maak elkaar nou niet publiekelijk zwart.

Weet wel aktie is reaktie.

[Ronaldd]

Citaat:

deze ddos is niet zo schadelijk.. alleen maar tcp/80 meer gericht om je wwwd plat te krijgen niet de hele bak..

www plat is gelijk aan de hele bak plat, op www na doet de sat4all server niet veel spannends.

Citaat:

je kan dat wel zeggen. maar je hebt nog steeds inkomend dataverkeer en als je een drop op je firewall zet dan word je hoeveelheid data gehalveerd maar niet geblokt. dat moeten ze verderop bij de ixs ( interet exchanges ) doen. dus ik zou daar wel degelijk aangifte van doen want dat is geleden schade. en data is bij widexs nogal duur. ik kan het weten huis er 5 servers momenteel.

Klopt dataverkeer komt dan nog steeds binnen op sat4all, maar kan voor normaal gebruik (www) geen kwaad, de linux kernel kan ze net zo snel droppen als 1 ip ze kan aanleveren.

Ronald

[Codx]

Kan de verleiding niet weerstaan om er op te reageren...

 

Toxic, je zou je moeten schamen om dit soort onzin in de wereld te brengen!! Dit noem ik geen dos attack. Je trekt er nog geen modemlijn mee dicht. En terecht al door andere opgemerkt, Niemand gaat opzettelijk een attack plegen vanaf zijn eigen machines.

 

Dan de manier waarop je dit afgehandeld is op z'n minst schandelijk te noemen. Als jij meent dat je aangevallen bent ga je niet publiekelijk beschuldigen maar neem je eerst contact op met de andere partij. Werkt dat niet kun je altijd nog dit soort berichten plaatsen.

 

Ook de sat4all gebruikers staan hier eigenlijk volledig buiten dus wat je hiermee probeert te bereiken (??) Je hebt hier nu zoveel regeltjes op het board maar zelf kun je niet eens de normale fatsoens regels handhaven.

 

Je zegt tevens dat "de tegenpartij niet verontwaardigd reageert, daarom schuldig is." Ik denk niet dat zij jouw daar helemaal als vol beschouwen. Kun je het ze kwalijk nemen? (alleen al dit soort uitspraken)

 

Kortom een pittige reactie.. (en zal wel weer kritiek opleveren) Maar je wijze van handelen keur ik dan ook af!