Gema down

Geht es euch eigentlich auch so das ihr eigentlich sofort das Interesse verliert wenn irgendjemand euch was von DDos gegen die böse Gema geht? Normalerweise schalte ich bei solchen Meldungen direkt ab und warte darauf das ein paar 14-16 jährige ihren Weg in den Knast finden, diesmal kam die Meldung allerdings von Fefe und hatte eine gewisse Komik.

Laut Pressemitteilung kämpft die Gema aktuell mit 120000 Anfragen pro Sekunde aus China. Welcher Komiker hat sich da ausgerechnet in China Traffic besorgt um gegen die Zensur durch die Gema zu Demonstrieren?

Oder hat da mal ernsthaft jemand einen neuen Benchmark für Botnetze eingeführt? Garantierter DDos erfolg nur mit unserem Spezialbotnetz von 0 bis Gema down in unter 3 Skeunden 😉 Fände ich eigentlich auch extrem witzig.

Jetzt aber mal zurück zum Ernst des Lebens, die Gema ist down und ich wars nicht. Den Sinn dahinter werde ich wohl auch nie komplett nachvollziehen können. Also habe ich mir mal gedacht, ich werfe mal einen Blick darauf welcher arme Teufel von Serveranbieter/ISP das jetzt wieder abbekommt. Ich staunte nicht schlecht als ich feststellen musste das die Gema stolzer Besitzer eines eigenen AS ist.

Non-authoritative answer:
Name:   gema.de
Address: 193.108.12.60
brechthold@bt:~$ whois 193.108.12.60
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.
% Information related to '193.108.8.0 - 193.108.15.255'
inetnum:        193.108.8.0 - 193.108.15.255
netname:        GEMA-NET
descr:          GEMA Gesellschaft fuer musikalische Auffuehrungs- und
descr:          Mechanische Vervielfaeltigungsrechte
country:        DE
admin-c:        GEMA2-RIPE
tech-c:         GEMA2-RIPE
status:         ASSIGNED PI
mnt-by:         GEMA-MNT
mnt-by:         RIPE-NCC-END-MNT
mnt-lower:      RIPE-NCC-END-MNT
source:         RIPE # Filtered
role:           GEMA Network Admin Team
address:        GEMA
address:        Bayreuther Strasse 37
address:        10787 Berlin
address:        GERMANY
phone:          +49 30 212 45 0
fax-no:         +49 30 212 45 193
admin-c:        GM12432-RIPE
tech-c:         STU7-RIPE
tech-c:         GM12432-RIPE
tech-c:         ULI2-RIPE
nic-hdl:        GEMA2-RIPE
mnt-by:         GEMA-MNT
source:         RIPE # Filtered
% Information related to '193.108.12.0/22AS20980'
route:          193.108.12.0/22
descr:          GEMA-NET2
origin:         AS20980
mnt-by:         GEMA-MNT
source:         RIPE # Filtered
% This query was served by the RIPE Database Query Service version 1.51.1 (WHOIS2)

Gut jetzt frage ich mich natürlich so mal auf Anhieb was die Gema mit einem /22 Netz macht. Gut wenn ich da nochmal etwas genauer schaue fällt mir doch mal auf Anhieb noch was auf.

inetnum:        193.108.8.0 - 193.108.15.255

schnipp

route:          193.108.12.0/22
descr:          GEMA-NET2
origin:         AS20980
mnt-by:         GEMA-MNT
source:         RIPE # Filtered

Die haben nicht nur ein /22 die haben gleich zwei davon.
192.108.8.0/22  GEMA-NET1  AS20980 und

192.108.12.0/22 Gema-Net2 AS20980

Das mach nach meiner Rechnung mal eben 2044 nutzbare öffentliche IP Adressen für die Gema????? Was zur Hölle betreiben die da? Egal, wundern kann ich mich ja später. Schauen wir mal über wen da der Traffic kommt.

2 Peers kann diese AS aktuell aufweisen Telia und Lambdanet, ist doch mal ganz Interessant wo die ganzen Gema Gebühren so hingehen. Gut, weder Telia noch Lambdanet dürften die 120000 Anfragen, die sie da durchschaufeln, wirklich Interessieren. So ganz nebenbei hält das ja jetzt schon ne Weile an, von daher kann das durchaus teuer für die Gema werden wenn da ordentlich was durch die Leitung rauscht.

Jetzt bleibt also nur noch die Frage zu klären was die Gema mit so vielen IP Adressen will. Wenn da mal jemand eine ordentliche Erklärung für hat was da alles hinter den IPs steht möge er mir das Mitteilen. Ich werde da jetzt einmal vom genaueren Nachforschen absehen, zum einen bin ich gerade deutlich zu faul ein /21 zu scannen und zum anderen könnte mir das die Gema vieleicht etwa krumm nehmen wenn ich zu den 120000 Anfragen pro Sekunde auch noch meinen Portscan drüber jage. So nebenbei haben wir ja soweit ich Informiert bin immernoch nicht Höchstrichterlich geklärt ob so ein Portscan aus Neugier jetzt böse ist und damit unter den Hackerparagraphen fällt oder ob man sowas darf, daher lasse ich das im Zweifelsfall mal lieber bleiben 😉

Tagged , , , , . Bookmark the permalink.

About Brechthold

Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.