RedStation.com est le paradis des attaquants ddos, comment déposer une plainte? [fermé]


8

Désolé, je ne sais pas où ouvrir ce sujet.

Ce n'est pas la première fois que nous sommes confrontés à une attaque DDOS massive de l'un des serveurs de RedStation.com et même après avoir contacté leur service d'abus avec son journal, il n'y a aucune coopération et ils n'aiment même pas se soucier il. et nous ne savons pas comment arrêter une telle activité.

Savez-vous comment déposer une plainte contre ce centre de données? nous ne pourrions plus être patients et voir qu'ils ne se soucient pas de telles choses sur leur réseau? il semble qu'ils soient le paradis des attaquants maintenant, car ils ferment les yeux pour gagner plus d'argent.

Je suppose qu'une organisation mondiale manque dans cette affaire pour enquêter sur une telle activité et s'assurer que les prestataires sont responsables de leurs services.

Voici une partie de son journal:

2686M 75G DROP all -- * * 31.3-RedStation 0.0.0.0/0
rt: 16167
0.002007 31.3-RedStation -> my-server-ip UDP Source port: 36391 Destination port: 16167
0.002011 31.3-RedStation -> my-server-ip UDP Source port: 38367 Destination port: 16312
0.002014 31.3-RedStation -> my-server-ip UDP Source port: 39585 Destination port: 12081
0.002018 31.3-RedStation -> my-server-ip UDP Source port: 39585 Destination port: 12081
0.002021 31.3-RedStation -> my-server-ip UDP Source port: 38367 Destination port: 16312
0.002025 31.3-RedStation -> my-server-ip UDP Source port: 39585 Destination port: 12081
0.002033 31.3-RedStation -> my-server-ip UDP Source port: 36391 Destination port: 16167
0.002037 31.3-RedStation -> my-server-ip UDP Source port: 38367 Destination port: 16312
0.002040 31.3-RedStation -> my-server-ip UDP Source port: 38367 Destination port: 16312
0.002044 31.3-RedStation -> my-server-ip UDP Source port: 38367 Destination port: 16312
0.002047 31.3-RedStation -> my-server-ip UDP Source port: 39585 Destination

Toute réponse serait appréciée


8
S'ils ne répondent absolument pas, votre meilleure option est d'appeler votre fournisseur de services Internet ou DC et de bloquer leur plage IP en amont afin de ne pas vous retrouver avec tout ce trafic.
Chris S

1
J'ai demandé à mon FAI de les bloquer, mais ils ont dit qu'ils ne bloqueraient pas la plage IP avant que l'attaque ne prenne quelques jours.
Ehsan

13
Si votre FAI ne résout pas votre problème, vous voudrez peut-être commencer à penser à trouver un nouveau FAI.
David Schwartz

2
Essayez le centre du crime Internet du FBI?
Tom O'Connor

2
@Gaia Certes, cela aide, mais vous gaspillez toujours le processeur et la bande passante pour faire face au trafic malveillant de votre côté [potentiellement mesuré].
jscott

Réponses:


16

Généralement, vos options sont (dans l'ordre, vous devez les essayer):

  1. Votre FAI
    Votre FAI doit être disposé à bloquer (et à gérer) les attaques DoS en votre nom. Au minimum, ils devraient être disposés à bloquer le trafic vers votre port / système avec un pare-feu (bien qu'ils puissent vous facturer ce privilège).
    Vos commentaires ont indiqué que l'attitude de votre fournisseur d' accès Internet est « Si ce n'est pas maintenue pendant plusieurs jours , nous ne ferons rien », donc comme David dit , il est temps de chercher un fournisseur de services Internet qui ne sont pas des lésions cérébrales, et peut - être laisser votre représentant de compte savoir POURQUOI vous partez.

    Les très bons FAI (de niveau entreprise) auront des politiques d'atténuation du DoS. Ils contractent souvent avec quelqu'un comme Arbor Networks pour aider à faire face à de telles choses.

  2. Le FAI distant
    Vous pouvez vraiment essayer cela en même temps que le n ° 1 - parler à leur contact abusif (obtenu auprès de whois, et / ou essayer les voies de contact répertoriées sur leur site Web (car certaines entreprises ne se tiennent whoispas à jour comme elles ''). êtes censé).
    Vous avez déjà essayé, et le fournisseur d' accès à distance est inutile.

  3. Impliquez les avocats
    Demandez à votre avocat de rédiger une lettre au FAI incriminé identifiant la source des attaques, détaillant vos tentatives de les contacter (et leur inaction), et leur demandant de résoudre le problème sous la menace d'une action en justice.
    Cela n'est vraiment efficace que si (a) le FAI est dans la même juridiction générale que vous, et (b) Il se soucie des menaces juridiques.

  4. Impliquer les flics
    Tom a mentionné le Centre du crime Internet du FBI . Ces gars-là sont très utiles, si votre cas est suffisamment important pour justifier leur action.
    Attaque DoS sur les infrastructures critiques, les banques, etc.? -- Une action rapide.
    Attaque DoS sur votre serveur CounterStrike? - On vous dira de faire chier, probablement pas poliment.

5. Vigilante Justice
Je ne recommande absolument PAS cette approche. Fondamentalement, vous obtenez un groupe de vos amis pour battre le diable du système (s) qui vous attaque.
Cela VOUS ouvre le même type de représailles (et la possibilité que les étapes 1 à 4 ci-dessus vous soient appliquées, ce qui peut vous faire frapper à la porte des forces de l'ordre).


6

Pourrait essayer les directeurs - http://companycheck.co.uk/company/03590745#people

Pourrait également essayer leurs fournisseurs en amont - http://bgp.he.net/AS35662#_graph4

AS1299 - TeliaNet Global Network - abuse@telia.com

AS3549 - Niveau 3 - abuse@level3.com

AS2914 - NTT - abuse@ntt.net

AS3257 - Tinet - abuse@tinet.net


D'après mon expérience, les fournisseurs en amont ne veulent vraiment entendre que les plaintes des autres FAI (votre kilométrage peut bien sûr varier, mais ils ne sont pas très incités à harceler leur client en votre nom, sauf si vous regardez également ou achetez du transport en commun) - En fin de compte, ce que vous espérez dans ce cas est une liste noire de masse, mais ces événements sont suffisamment rares pour faire le NY Times lorsqu'ils se produisent
voretaq7

5

Essayez (Internet Storm Center) http://isc.sans.edu ou http://darkreading.com .

Ok, en fonction de vos demandes:

ISC possède une API REST: https://isc.sans.edu/api/

ip Renvoie un résumé des informations que notre base de données contient pour une adresse IP particulière (similaire à /ipinfo.html).
Paramètres: adresse IP
http://isc.sans.edu/api/ip/70.91.145.10


2
Bien que cela puisse théoriquement répondre à la question, il serait préférable d'inclure ici les parties essentielles de la réponse et de fournir le lien de référence.
Mark Henderson
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.