Кто пользуется hetzner.de? - часть 4

Pavel.Odintsov, с чего вдруг блокировать начали сразу? раньше хоть какое-то время на решение проблемы давали

В экстреннных случаях, когда атака правда опасна для инфрастурктуры ДЦ либо для удаленных систем (когда атака исходящая) блокировка осуществляется мгновенно. Это весьма редкое событие, но бывает.

Pavel.Odintsov, мне прислали вот такое

12:51:30.977408 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 
(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.157.22: S 
21200460:21200460(0) win 65535 <mss 1460,nop,nop,sackOK>
12:51:30.977446 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 
(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.158.22: S 
867404028:867404028(0) win 65535 <mss 1460,nop,nop,sackOK>
12:51:30.977483 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 
(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.159.22: S 
1707724447:1707724447(0) win 65535 <mss 1460,nop,nop,sackOK>
12:51:30.977588 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 
(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.160.22: S 
603575079:603575079(0) win 65535 <mss 1460,nop,nop,sackOK>

и заблокировали. кому эти пакеты вообще могли быть опасны?

да, мотивировали блокировку "использованием адресов, которые не выданы на сервер"

Может мы уникальные клиенты, но у нас все обращения в техподдержку сводятся к двум кейсам - дайте Лару и замените винт. Хотя кто на shared или у кого нет постоянного админа реселлер наверное ощутимо помогает.

Вероятность, конечно, есть - но все 30 графиков munin показывали тишину и гладь. На текущий момент мы так и нашли что у нас могло генерировать исходящий DDOS - повторюсь, на сервере даже почтовика нет, только httpd и снова все логи и счетчики показывают тишь да гладь. Очевидно таки внутренний IP приняли за внешний.

Основная претензия не в том что заблокировали, а то что спустя только почти сутки невразумительных ответов мы получили возможность что-то промониторить и исправить.

Большая загрузка и в ближайшие 5-6 часов ничего не светит - так и скажи, все перенесем на резервный и не будем дергаться. По сути же получилось что заявка висела 6 часов, потом пришел ответ "please excuse you for the late response. Do you want that we connect the remote console now?" и потом мы ждали еще 12 часов прежде чем получили LARA. Более дебильного способа удерживать очередь негодующих клиентов не придумаешь.

Hetzner последнее время "рулит". Работа техперсонала все медленнее и медленнее. Заявки на ручной ребут висят сутками иногда (причем в рабочие дни).

12:51:30.977408 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 

(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.157.22: S 

21200460:21200460(0) win 65535 <mss 1460,nop,nop,sackOK>

12:51:30.977446 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 

(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.158.22: S 

867404028:867404028(0) win 65535 <mss 1460,nop,nop,sackOK>

12:51:30.977483 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 

(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.159.22: S 

1707724447:1707724447(0) win 65535 <mss 1460,nop,nop,sackOK>

12:51:30.977588 ea:28:77:6a:32:25 > 28:c0:da:46:26:26, ethertype IPv4 

(0x0800), length 62: 10.10.10.1.13403 > 253.171.12.160.22: S 

603575079:603575079(0) win 65535 <mss 1460,nop,nop,sackOK>

Судя по логу и IP - это ethernet, диапазон 10.0.0.0/8 - это private network (http://en.wikipedia.org/wiki/Private_network#Private_IPv4_address_spaces), эти диапазоны используются в Hetzner (впрочем, как и у всех остальных) для служебных целей - роутеры и прочее сетевое оборудование. Так что Ваша машинка каким-то образом домогалась до их оборудования, а такого никто не любит, как следствие и отключение.

Pavel.Odintsov, судя по логу, это рак мозга. при чем тут оборудование? оно в каком-нибудь отдельном влане и недоступно с клиентских серверов

Запросите уточнение тикетом и они точно объяснят, что это и почему. Мне для точного ответа нужен Вашей машины мак/IP и то, что Вы именно делали. Но я еще раз повторяю - просто так никого никогда Hetzner не блокировал.

Pavel.Odintsov, да неужели?

http://www.webhostingtalk.com/showthread.php?t=1100235

или "если я этого не видел своими глазами, этого не существует"?

---------- Добавлено 04.07.2012 в 21:27 ----------

на тикеты не отвечают вот уже почти 6 часов, телефон не берут

Ссылка на WHT за 2007й (!!!) год - это, бесспорно, убедительный факт. У нас как минимум несколько сотен машин в каждом ДЦ Hetzner Online AG, жалобы на которые идут нескончаемым потоком, но блокировки сразу - это из ряда вон и это от силы 3-4% от всех жалоб и в каждом случае - блокировки оправданы и я отвечаю за свои слова.