Geht es euch eigentlich auch so das ihr eigentlich sofort das Interesse verliert wenn irgendjemand euch was von DDos gegen die böse Gema geht? Normalerweise schalte ich bei solchen Meldungen direkt ab und warte darauf das ein paar 14-16 jährige ihren Weg in den Knast finden, diesmal kam die Meldung allerdings von Fefe und hatte eine gewisse Komik.
Laut Pressemitteilung kämpft die Gema aktuell mit 120000 Anfragen pro Sekunde aus China. Welcher Komiker hat sich da ausgerechnet in China Traffic besorgt um gegen die Zensur durch die Gema zu Demonstrieren?
Oder hat da mal ernsthaft jemand einen neuen Benchmark für Botnetze eingeführt? Garantierter DDos erfolg nur mit unserem Spezialbotnetz von 0 bis Gema down in unter 3 Skeunden 😉 Fände ich eigentlich auch extrem witzig.
Jetzt aber mal zurück zum Ernst des Lebens, die Gema ist down und ich wars nicht. Den Sinn dahinter werde ich wohl auch nie komplett nachvollziehen können. Also habe ich mir mal gedacht, ich werfe mal einen Blick darauf welcher arme Teufel von Serveranbieter/ISP das jetzt wieder abbekommt. Ich staunte nicht schlecht als ich feststellen musste das die Gema stolzer Besitzer eines eigenen AS ist.
Non-authoritative answer: Name: gema.de Address: 193.108.12.60 brechthold@bt:~$ whois 193.108.12.60 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '193.108.8.0 - 193.108.15.255' inetnum: 193.108.8.0 - 193.108.15.255 netname: GEMA-NET descr: GEMA Gesellschaft fuer musikalische Auffuehrungs- und descr: Mechanische Vervielfaeltigungsrechte country: DE admin-c: GEMA2-RIPE tech-c: GEMA2-RIPE status: ASSIGNED PI mnt-by: GEMA-MNT mnt-by: RIPE-NCC-END-MNT mnt-lower: RIPE-NCC-END-MNT source: RIPE # Filtered role: GEMA Network Admin Team address: GEMA address: Bayreuther Strasse 37 address: 10787 Berlin address: GERMANY phone: +49 30 212 45 0 fax-no: +49 30 212 45 193 admin-c: GM12432-RIPE tech-c: STU7-RIPE tech-c: GM12432-RIPE tech-c: ULI2-RIPE nic-hdl: GEMA2-RIPE mnt-by: GEMA-MNT source: RIPE # Filtered % Information related to '193.108.12.0/22AS20980' route: 193.108.12.0/22 descr: GEMA-NET2 origin: AS20980 mnt-by: GEMA-MNT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.51.1 (WHOIS2)
Gut jetzt frage ich mich natürlich so mal auf Anhieb was die Gema mit einem /22 Netz macht. Gut wenn ich da nochmal etwas genauer schaue fällt mir doch mal auf Anhieb noch was auf.
inetnum: 193.108.8.0 - 193.108.15.255
schnipp
route: 193.108.12.0/22 descr: GEMA-NET2 origin: AS20980 mnt-by: GEMA-MNT source: RIPE # Filtered
Die haben nicht nur ein /22 die haben gleich zwei davon.
192.108.8.0/22 GEMA-NET1 AS20980 und
192.108.12.0/22 Gema-Net2 AS20980
Das mach nach meiner Rechnung mal eben 2044 nutzbare öffentliche IP Adressen für die Gema????? Was zur Hölle betreiben die da? Egal, wundern kann ich mich ja später. Schauen wir mal über wen da der Traffic kommt.
2 Peers kann diese AS aktuell aufweisen Telia und Lambdanet, ist doch mal ganz Interessant wo die ganzen Gema Gebühren so hingehen. Gut, weder Telia noch Lambdanet dürften die 120000 Anfragen, die sie da durchschaufeln, wirklich Interessieren. So ganz nebenbei hält das ja jetzt schon ne Weile an, von daher kann das durchaus teuer für die Gema werden wenn da ordentlich was durch die Leitung rauscht.
Jetzt bleibt also nur noch die Frage zu klären was die Gema mit so vielen IP Adressen will. Wenn da mal jemand eine ordentliche Erklärung für hat was da alles hinter den IPs steht möge er mir das Mitteilen. Ich werde da jetzt einmal vom genaueren Nachforschen absehen, zum einen bin ich gerade deutlich zu faul ein /21 zu scannen und zum anderen könnte mir das die Gema vieleicht etwa krumm nehmen wenn ich zu den 120000 Anfragen pro Sekunde auch noch meinen Portscan drüber jage. So nebenbei haben wir ja soweit ich Informiert bin immernoch nicht Höchstrichterlich geklärt ob so ein Portscan aus Neugier jetzt böse ist und damit unter den Hackerparagraphen fällt oder ob man sowas darf, daher lasse ich das im Zweifelsfall mal lieber bleiben 😉
