Kjapp og trygg hosting for Wordpress

Ddos fra microsoft?

W

wtf1337

New Member
Hei og god dag.
Jeg har en dedicated server, og i dag (kl 17-18) Så fikk jeg store mengder trafikk fra diverse ip-adresser.




Som dere ser så er det ganske kraftig angrep på serveren.
Holdt på med brannmuren tidligere så den var ikke skikkelig konfigurert.

Så ser jeg og rapporten fra Router: juniper1.ffm.hetzner.de

Kode: 
Direction IN
> Internal xxxxxxx
> Threshold PacketsDiff 70.000 packets/s, Diff: 162.776 packets/s
> Sum 48.901.000 packets/300s (163.003 packets/s), 59 flows/300s (0 flows/s), 47,780 GByte/300s (1.304 MBit/s)
> External 168.62.206.168, 20.000.000 packets/300s (66.666 packets/s), 4 flows/300s (0 flows/s), 19,595 GByte/300s (535 MBit/s)
> External 168.62.10.0, 10.573.000 packets/300s (35.243 packets/s), 4 flows/300s (0 flows/s), 10,359 GByte/300s (282 MBit/s)
> External 168.61.27.113, 9.129.000 packets/300s (30.430 packets/s), 4 flows/300s (0 flows/s), 8,944 GByte/300s (244 MBit/s)
> External 168.61.0.237, 4.919.000 packets/300s (16.396 packets/s), 4 flows/300s (0 flows/s), 4,819 GByte/300s (131 MBit/s)
> External 168.62.6.142, 4.134.000 packets/300s (13.780 packets/s), 4 flows/300s (0 flows/s), 4,050 GByte/300s (110 MBit/s)
> External 93.217.71.99, 26.000 packets/300s (86 packets/s), 4 flows/300s (0 flows/s), 0,002 GByte/300s (0 MBit/s)
> External 93.201.220.227, 23.000 packets/300s (76 packets/s), 5 flows/300s (0 flows/s), 0,002 GByte/300s (0 MBit/s)
> External 84.129.77.28, 20.000 packets/300s (66 packets/s), 5 flows/300s (0 flows/s), 0,002 GByte/300s (0 MBit/s)
> External 93.216.115.127, 19.000 packets/300s (63 packets/s), 5 flows/300s (0 flows/s), 0,002 GByte/300s (0 MBit/s)
> External 93.218.255.13, 19.000 packets/300s (63 packets/s), 5 flows/300s (0 flows/s), 0,002 GByte/300s (0 MBit/s)
> External 217.95.179.246, 16.000 packets/300s (53 packets/s), 5 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
> External 84.187.159.88, 12.000 packets/300s (40 packets/s), 4 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
> External 91.62.163.54, 7.000 packets/300s (23 packets/s), 4 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
> External 87.175.156.86, 3.000 packets/300s (10 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
> External 176.52.55.119, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)


Etter litt whois så ser det ut som det er Microsoft som eier de fleste adressene.
http://whois.net/ip-.../168.62.206.168
Noen grunn til at de skulle gjøre slikt?
 

Vedlegg

  • Capture.jpg
    Capture.jpg
    8,3 KB · Sett: 5
Sist redigert:
Steve Cash

Steve Cash

Medlem
(U)kvalifisert gjetning: Det er noen ondsinnede personer som misbruker Microsofts adresser på en eller annen måte. Jeg kan ikke tenke meg noen grunn til at Microsoft skulle sende på deg veldig mye trafikk.
 
kek91

kek91

Webutvikler
Husker at Microsoft kjøpte ganske mange IPv4 adresser for en tid tilbake da det var så mye hysteri om at vi snart er tomme for IPv4 adresser. Kan det være at de har solgt de/kvittet seg med de igjen og at "eieren" av adressen ikke er helt oppdatert?

En annen løsning er kanskje at de har klart å smyge en trojaner inn til en av de ansattes PC'er slik at denne PC'n blir med i botnettet deres. Det har skjedd på min arbeidsplass, men da sendte den ut SPAM mail og ikke DDoS. Så fort vi fant ut hvilken PC det var fra brannmurens logg fikk vi koblet den av nettet. Regner med Microsoft har gode rutiner for dette allerede da :)

Er i hvert fall ikke alle som klarer å sende 50 GB trafikk på 5 minutt (ut i fra loggen du postet), så jeg vil tro det ikke var et helt tilfeldig angrep :p

I følge http://www.ip-adress.com/whois/168.62.206.168 er iprrms@microsoft.com "technical contact", så du kan jo prøve å sende en mail til de...
 
Du må logge inn eller registrere deg for å svare her.
Topp