DOS Protection ASN nummer

Hallo,

 

zur Zeit wird gegen meinen kleinen Mailserver und meine HP massive DDOS Angriffe gefahren.

Ich hatte Kontakt mit dem Netzbetreiber der vermeintlichen SRC IP aufgenommen. Dessen Antwort mal hier als Kopie :

Hello. It looks like us but it is not. Your network is used as reflection to DDoS our network because your IP is accepting/relying IP packets witch hold a /32 source IPs from other networks (in this case an IP from our ASN). Some attacker is sending TCP SYN to your IP subnets with our IP subnets in the packet. Probably to normal ports like 443, 80 etc. Therefore your IP application replies with a ACK to our network. If you look closer to the carrier who sent the request to you, you probably can see in your firewall which ASN number is sending the request to you. If you know, please let us know the ASN and IP, because it could help us finding the network which sending the DDoS.

 

Kann mir jemand hier weiter helfen ? Danke.

  • Schau mal hier

    Oder hier

    Wäre Country Blocking eine Option für Dich?

    Meines Erachtens könntest Du versuchen einen Cloudanbieter dazwischen schalten um solch Traffic vorher abzufangen.

    Beste Grüße

    Alex

  • In reply to Alexander Busch:

    Hallo,

    danke für deine Antwort, was ASN ist bekannt. Ich suche die ASN im Firewall log, oder IPS log.

    So das ich entsprechend den richtigen Country blocken kann.

     

  • Hallo Wolfgang,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    I've never had a client with this problem, so I'm offering an educated guess...

    I think that this information will not be in any of the UTM's logs and that you will need to do a packet capture.  Even then, I think you might need your ISP's assistance to see where the TCP SYN requests originate.

    MfG - Bob (Bitte auf Deutsch weiterhin.)