http://www.wn.se/showpost.php?p=20444277&postcount=5

Det har i allra högsta grad med saken att göra. City Network har under en längre tid nu uppenbarligen drabbats värre än de andra större webbhotellen av DDoS-attacker och då måste man naturligtvis ställa sig frågan vad det beror på. Antingen är det interna brister, särskilda sajter som drar åt sig uppmärksamhet (t.ex. SD) eller ren otur (förefaller väl osannolikt då det rör sig om så pass många, och enligt egen utsago olika typer av, attacker).

Om EN anställd från ETT webbhotell påpekar problemet för en nätleverantör så är det naturligtvis betydligt mindre chans att de lyssnar än om samtliga webbhotell går samman och samarbetar kring detta problem vilket synes vara en nödvändighet om det ska bli någon förändring i längden. Om nätleverantörerna ändå vägrar lyssna finns det andra vägar att gå om man samarbetar, t.ex. genom media och politiker.

Din sista mening lät åtminstone lite lovande inför framtiden :)

Tycker du har fel där, har jobbat med DDoS i väldigt många år nu. Största delen av alla attacker följer mönster.

Rätt kapacitet, rätt kompetens och rätt utrustning uppsatt på rätt sätt skyddar 99% av alla attacker.

Du kan gå så långt så du filtrerar olika vilket land trafik till och med kommer ifrån.

Allt handlar endast om mönster, som exempel TCP och HTTP.

För man ska följa TCP rfc så måste det ske handskaning på rätt sätt, att blockera SYN i PPS är väldigt simpelt. Du kan till och med redirekt all trafik via en appliance för filtera det värsta.

Även om man har en attack som lyckas köra SYN/ACK riktigt och skapa en aktiv socket så kan jag garantera att dom inte skickar med en HOST Header rätt mot HTTP.

Vilket då har ud ett mönste filtrera på, om dom nu gör det så kan du blockera just efter det mönster istället.

Ser man till UDP/ICMP eller andra IP protokoll så är det 99% trafik som inte ens behöver nå en shared miljö eller används ens.

Ni har fel där, det finns väldigt lite intresse för nätleverantörerna för det. Vet ni varför? Det är billigare för dom att sätta upp en 100Gbit länk extra än sätta massa extra utrustning för filtrera ut det.

Visst att många stora leverantörer har en del avancerad övervakning som analyserar och ser DDoS, men inte i form av komplett skydd genom sitt nät på det sättet.

Ofta tar dom då betalt erbjuda lösning för det före kundens avlämning.

Sedan finns det även delvis det ni efterfrågar, största tillverkaren av DDoS skydd har funktion för skicka ut blockering av en DDoS attack som hittas i en operatörs nät till alla användare till produkten.

Men det är ju frivilligt att delta där, vet inte hur vanligt det är. Vet att Telia och Comhem använder deras produkter alla fall.

Ska visa information om det gemensamma systemet som lär sig, den har dagliga uppdateringar över 0day exploit och attacker samt vila operatörer och IP som är inblandade. Allt från scan, ddos, bonät, spam, mailware etc etc.

Här är exempel från senaste 24h från Sverige:
http://connect2ip.se/ddos1.png
http://connect2ip.se/ddos2.png

Sedan står PRQ för 97% av alla Phissing attack sidor i Sverige, med Binero på andra plats:

http://connect2ip.se/lol.png

patrikweb:
Tack för infon. Väldigt intressanta siffror.

kristian - Arbors sida här för lite live siffror om du inte har den: http://atlas.arbor.net/cc/SE

Att Alltele ligger högt kan man undra lite över.. Hur många är det som har iptelefonidosor (alt. vidöppna brandväggar för att få telefonin att "fungera") som läcker som såll?
edit: Det var visst samma ip som stod för hela den delen såg jag en bit ner.

Finns väldigt många, väldigt vanligt med hackade SIP konton/pbx. Handlar om 100 tals miljoner i kostnader i hackade samtal per år minst.

Även många osäkra SOHO routrar, är väldigt simpelt bygga ett litet mask som sprider sig genom flera miljoner routrar. Bara ladda upp ny firmware för antingen sniffa lösenord hos kunds trafik eller för botnät. Dock så är SOHO routrar CPU rätt dåligt så går inte få så många PPS smidigt.

Har sett mycket sådant under året när man utforskat och analyserat.

Lite intressant att folk i denna tråden sitter och klagar på CN, när de som klagar själva haft kunder som varit infekterade och agerat DDOS sources :P.

Ännu värre är att man vägrat stänga dessa VPS:er/co-location/proxies
även efter påpekande och gömt sig bakom "sekretess"-klausuler.

Summa summarum, DDOS går att förebygga men kostar pengar, är tidskrävande och kräver arbete i alla led från leverantör ned till slutkund.

Sedan tartar nämnde att vi skulle samarbeta så har jag tagit ett par möten om just hur alla leverantörer skulle kunna samarbeta - och det är inte helt lätt när man tänker efter. MEN - väldigt intressant att höra av det du säger ovan - för det kunde jag inte tro? Även om vi inte samarbetar officiellt så tar jag för givet att alla drar sitt strå till stacken och stänger ner eller "hanterar" servrar som man uppenbarligen ser är delar av ett botnät? Det är det minsta man kan förvänta sig och sedan allt ovanpå är bra förstås. Kliar mig i huvudet om det finns

Vi har kört City Cloud nu i fyra år - det är servrar som kan startas i hundratal och det första är att skapa system för att kunna stoppa:

1. Oseriösa personer som vill åt tjänsten - innan de ens når en server - och det är många. ;-)
2. Om en maskin körs igång - mot förmodan med störande tjänster - ha system som snabbt kan agera och stänga ner. Automatisera det så hårt man kan.

Om inte annat är ovan ett råd till alla nu "nya" aktörer som skapar liknande tjänster. Utan dessa system är det väldigt lätt att någon får mycket datorkraft som kan användas till vad som helst.

Om ovan stämmer dock - så är det folk här som sitter och pratar om detta och sedan gladeligen låter folk dosa från sina nätverk? Då är man del av hjärtat av problemet - och det vore ju väldigt olyckligt om vi inte alla tar det ansvaret?

Du har helt rätt - med mycket pengar och tid kan det stoppas. Det finns dock alltid gränser vad Arbor klarar och andra lösningar klarar - så även med bästa systemen kan en riktigt stor DDoS skada. Som alltid blir det en balansgång mot vad kunder är villiga att betala för en tjänst.

Vi webbhotell kanske skulle signa något avtal mellan varandra - code of conduct - för att hjälpa varandra - med visst regelverk som kan auditas? Om det nu verkligen är så att vi har svenska aktörer som låter saker köras trots påpekningar?

Det borde kunna gå att samarbeta kring just såna här saker, dock känns det som att mycket hänger på de stora operatörerna. För vår del så tar vi alla abuse förfrågningar på allvar och vi brukar stänga ner tjänster som smutsar ner vårt nät, dock alltid i samråd med kunderna och än så länge tycker dom flesta kunderna att de e bra att vi kopplar ur grejorna om de kan störa andra.

Arbor är en riktigt bra tjänst men prissättningen är inte hållbar för mindre verksamheter, i vårt fall handlar det om femsiffriga belopp per månad. Dock finns det andra tjänster som t.ex. snorby.org

Så var det dags igen då....
Alltså, det har vart uppe innan, men varför är just CN så utsatta för dessa attacker?

Så sjukt jobbigt!

@johan1234: Har ni något i pipelinen som med stor säkerhet kommer lösa problemen?
Vill egentligen inte byta men det kanske krävs snart.

Jag vill inte heller byta, men detta håller inte, men jag har svårt att fortsätta
försvara detta gentemot kunder jag placerar hos er...

Otroligt segt :( Tog 15 min för mig att logga in på kontrollpanelen.
Jag hoppas verkligen ni fixar det snart CN och får bukt på det hela. Lycka till..

Vi har bland annat tagit beslut om att köra Arbor framöver. Jag har dock inte datum på exakt när det kommer vara installerat och klart (inväntar leveransdatum). Dock vet jag vi kommer prioritera det som ni kan tänka er.

Vi hoppas det rätt snabbt skall göra våra kunder ett "tråkigt" mål att försöka DoSa.

Förändringar i kontrollpanelen har ni lovat länge (bara kika på pm's mellan oss sen innan). Mycket snack och inte mycket verkstad. Fast det är klart, skulle ni fixa kontrollpanelen nu så skulle man inte veta vilka felmeddelanden som man kan bortse ifrån.

Håller med, men det här problemet hänger ihop med att de använder sig av en extern leverantör och det är inte City Network ensamma om. Såväl Binero och City Network söker exempelvis ALLTID på samtliga toppdomäner när man söker efter en ledig domän, ett problem som är värre hos CN eftersom de erbjuder fler toppdomäner. Såna här irriterande skitsaker hade man kunnat lösa på en dag om man inte gjort sig beroende av uppdateringar hos Atomia. Nu har det varit så här i en mindre evighet trots att man sagt sig vilja fixa problemet som leder till att man skickar en hel del onödiga requests mot whois-servrarna.

Detta är också anledningen till att webbhotell som Surftown och Crystone inte ens erbjuder PHP 5.3.x ännu. De måste snällt sitta och vänta på uppdateringar hos sina leverantörer innan de själva kan testköra nästa version och därefter uppgradera.

Detta är så klart en fråga om resurser och ekonomi. Sverige är ett litet land och så länge den stora massan huvudsakligen styrs av priset så får man acceptera det helt enkelt. Annars gör man bättre i att satsa på en server hos exempelvis Glesys så man har full kontroll själv.

Arbor är väldigt enterprise produkt, kommer ni köra full PeakFlow med mitigation eller bara "sensor"?

Även om produkten är väldigt enterprise så krävs det ändå hög kompetens för ha den i drift, väldigt mycket att optimera för få rätt värden.

Men gissar att ni kommer ha den inline i er typ av miljö.

Så ser det inte ut i er kontrollpanel, det var den jag syftade på. Sen exakt var uppslaget sker spelar inte någon större roll, uppslaget måste fortfarande göras någonstans. Att ni inte kan köra tillfälliga kampanjer i kontrollpanelen osv. är ju andra saker som strular på grund av att man har en extern leverantör. Det var som sagt var det som var poängen, inte var ni eller City Network gör era domänuppslag :) Och i synnerhet hos City går det ofta rätt långsamt att köra igenom alla.

Touché! ;-) Massor har fixats och en hel del har lagts till - men som alltid - listan är mycket lång och prioriteringen kanske inte alltid varken rätt eller som alla vill. I hear you - och vi jobbar hårt på förbättringar även om det inte blivit de vi talat om. Skall hoppa in och söka lite...

Har faktiskt inte koll på exakt vad det är - men det har varit mycket diskussioner för att hitta vad som passar och något som vi också kan växa i. Jo enterprise är det - och speciellt i priset! ;-) Även om vi har grymt folk på nätverkssidan brukar sådana produkter kräva en del konsulttid och hjälp...

tartareandesire - fram tills nu hade vi tyvärr inte fixat saker snabbare även om det känns som "5-minuterssaker". Vi har haft möjlighet att göra massor själva - men tyvärr har vi inte kraften till allt. Som alltid blir det tunga prioriteringar.

När det gäller vårt beställningsformulär vill ja helt hålla med dig. Kan bli såååå mycket bättre. Tur nog kommer det ett helt nytt i April och jag har en känsla av att du kommer gilla det skarpt. ;-) Håll ut! Detta har vi dock tagit på oss att bygga helt själva då det är en mycket viktig del och vi vill ha bättre kontroll över framöver.

Mejlade och skrev på facebook men fick ingen svar sämsta webbhotell köp inte!

NU har det gått 3 dagar och jag har inte fått något svar min hemsida har varit nere på grund av ett fail i wp och jag måste logga in i mitt mysql för att fixa men det går inte att logga in och att göra en ny lösenord ger error??? Har haft hosting i andra länder och där får man teknik support 24/7 365 dagar. Här väntar man för att ni ska bli klara med er helg fest eller va fan håller ni på med????

Mejlat och facebook? Då ringer man... Oavsett om man tycker om det eller ej. Om din sid aär så viktig så ringer man väl?

Är det citys fel att du sabbat din WP?
Eller får du felmeddelande när du försöker skapa ett nytt lösenord till deras kundzon?

Han menar nog phpmyadmin. Det går inte längre att använda i gamla miljön om man är kvar där.

Hej - ledsen att höra att du har problem med sidan. Vi kör support varje dag i veckan och både lördagen och söndagen kan du ringa till oss mellan 10:00 och 15:00. Som någon nämner ovan så är ett snabbt telefonsamtal till oss bäst om det är tidskritiskt.

Om du har problem fortfarande föreslår jag du slår oss en signal direkt så kan vi hjälpa dig på direkten. Tack för tålamodet. På länken nedan hittar du telefonnummer:

https://www.citynetwork.se/supportsidor/

Fick svaret via mail nu funkar sidan Tack.

Härligt att höra. Tack för att du återkom.

Pågående ny attack? Har haft långa laddningstider i en timma nu.

Är dessa problem främst på deras webbhotell/cloud, eller även på deras co-lo? I så fall, någon som vet i vilken av de geografiska positionerna?

https://www.citynetwork.se/om_oss/
Vi har byggt upp vårt huvuddatacenter i Karlskrona från grunden med förståelsen av vikten av att alltid ha fungerande system. Vi har även ett datacenter i Stockholm som vi delar med andra driftföretag. Med det som bakgrund var vi bla det företag som var först ut (och enda idag) med att garantera 100% upptid för våra server och co-location kunder. För att klara detta har de flesta system inte bara redundans utan många gånger trippel redundans.

altruixm - nej. Inga andra problem heller. Kan det vara något lokalt med din server?