Zum Inhalt springen

Das schmuffligste Blog der Welt

Sinn und Unsinn der passiert

Jeder weiss es und fast keiner tut etwas dagegen: Neufahrzeuge sind heutzutage nur äußerst mangelhaft gegen Rost geschützt. Verzinkt wird bereits seit vielen Jahren nicht mehr und auch herkömmlicher Unterboden- und Hohlraumschutz ist Mangelware.
Daher sollte mein neuer Toyota Hilux mit dem bekannten „Mike Sander Korrosionsschutzfett“ eine komplette Behandelung erfahren.
Für meinen PLZ Bereich sind einige Verarbeitungsstationen aufgeführt. Nachdem ich die nächstliegenden per eMail angefragt und einige Details besprochen hatte, habe ich mich für die Durchführung durch die Firma GREYMARKETS in Neustadt a.d. Weinstraße entschieden. Der eMail Kontakt war sehr freundlich, offen und kam sehr kompetent rüber.
Flugs wurde also ein Termin ausgemacht und dank des sehr milden Wetters – für die Verarbeitung des erhitzten Fettes sind mindestens 10°C Außentemperatur erforderlich – hat es zeitnah geklappt.
Die Werkstatt/Halle der Firma liegt in Hassloch, einem Nachbarort von Neustadt. Dort angekommen stellt sie sich als sehr ordentlich, aufgeräumt und beheizt dar. Ein äußerst guter erster Eindruck. Herr Himpel, der Firmeninhaber, hat den Wagen dann auf die Hebebühne genommen und wir haben Details zur Konservierung besprochen. Im Anschluss hat Herr Himpel mich noch zum Bahnhof nach Neustadt gefahren und mich dort zum Abholtermin auch wieder abgeholt. Sehr freundlich!

Die veranschlagten Kosten wurden mit „ca. 875 EUR“ angegeben, da ggf. zu Bruch gehende Plastikclipse ersetzt und berechnet werden müssten. Das war von meiner Seite OK.
Der Zeitplan wurde von Herrn Himpel wie besprochen eingehalten und ich konnte den Wagen genau 1 Woche später Abends abholen. Da es schon dunkel war und der Wagen vor der Halle stand, hat sich eine Inspektion durch mich erübrigt und ich habe das auf nächsten Tag verschoben. Letzten Endes wurden mir dann 915 EUR berechnet, Clipse für 40 EUR sollten bei der Demontage von Verkleidungen zu Bruch gegangen sein.

Als ich am nächsten Tag in das Fahrzeug einsteigen wollte und ausnahmsweise die Fahrertür so weit wie es geht geöffnet habe, was ich sonst eigentlich nie tue, hörte ich schon ein „Knack – Knack“. Genauere Betrachtung zeigte: Im Bereich der A-Säule auf beiden Seiten wurden wesentlich zu lange Clipse verbaut, sodass die Türen auf Fahrer- und Beifahrerseite an den Clipsen klemmten und diese knackende Geräusch verursachten. Eine Anfrage bei Herrn Himpel ergab die freundliche Antwort, dass die Clipse einfach gekürzt werden könnten. Da ich jedoch nichts beschädigen wollte und den Wagen ohnehin wegen eines anderen Problems nochmal auf eine Hebebühne stellen musste, habe ich mir noch für den Abend toyotakundige Hilfe gesucht und wir konnten den Wagen auf der Hebebühne begutachten.

Das war das Ergebnis:
– Die Clipse im Türbereich waren nicht die Originalen sondern völlig falsch
– Im vorderen Unterfahrschutz aus Kunststoff fehlte ein Clips
– Im linken Radlauf war ein Clips defekt und erfüllte gar keine Funktion mehr
– Am vorderen Stoßfänger fehlten zwei Schrauben. Die Schraubenlöcher waren mit Aufklebern beschriftet („10er“), jedoch an genau derselben Stelle auf beiden Seiten fehlten die entsprechenden Schrauben
– Ein Querträger unter dem Auto war von außen unbehandelt, innen fand sich jedoch bei genauerer Kontrolle Konservierung

Herrn Himpel habe ich um Stellungnahme und einen Lösungsvorschlag gebeten, was er auch prompt getan hat.
Clipse möge ich mir bitte besorgen und mit Rechnung an einem noch zu vereinbarenden Termin bei ihm erscheinen, er würde diese Clipse dann einbauen. An fehlende Schrauben könne er sich nicht erinnern, dies wäre ihm sicher aufgefallen.
Nun ja, wenn einem bei der Endkontrolle nicht mal auffällt, dass noch die Beschriftungen auf dem Fahrzeug kleben, dann werden einem auch fehlende Schrauben und Clipse nicht auffallen, denke ich.
Ich habe Herrn Himpel dann gebeten, die Clipse bitte selbst zu besorgen, denn sonst müsste ich ihm neben der erneuten Fahrt nach Hassloch (hin und zurück >100km) auch noch die Fahrten zum Toyotahändler berechnen. Wer sich an dieser Stelle wundert, wieso ich etwas berechnen möchte: §439 (2) BGB ist hier einschlägig. Da ich nebenberuflich noch als Freiberufler tätig bin, bin ich mit diesem Thema hinreichend vertraut 😉
Diese Rückmeldung verband ich mit der Bitte, sich bis 1.12.16 mit einem Terminvorschlag bei mir zu melden.

Sobald ich eine Rückmeldung erhalte, wird dieser Beitrag aktualisiert.

Update 28.11.16: Als Termin zur Nachbesserung wurde der 10.12.16 vereinbart.

Fazit bisher:
Hatte ich bis zur Abholung einen sehr guten Eindruck, so wurde dieser durch die von mir festgestellten Mängel etwas getrübt. Je nachdem wie die Nachbesserung nun abläuft, kann hier der Karren nochmal aus dem Dreck gezogen werden. Insgesamt hätte ich mir eine sorgfältigere (bzw. überhaupt eine) Endkontrolle gewünscht und vor allem die passenden Originalclipse, denn nicht zuletzt wurden mir für einige Plastikteile 40 EUR berechnet.

Die von außen unbehandelten Stellen (nicht dramatisch viele) werde ich demnächst mal mit FluidFilm AS-R nachbehandeln und dies bei jeder Inspektion erneuern. Beide Produkte sind miteinander verträglich und man hat dann auch gleich einen schönen Vergleich.

Clipse Beifahrerseite, oben falsch, unten original

„Als er an diesem Morgen auf Deck stand, peitschte ihm die Gischt härter als sonst ins Gesicht, zerrte der Wind stärker in seinen Haaren und brannte die Sonne noch unbarmherziger auf seine Haut. Das Klima wurde rauer.“

Ein kurzes Review zu airVPN:

Und was jetzt für unseren Kapitän auf Deck gilt, kann man eigentlich auch 1:1 auf das Internet übertragen. Es wird rauer. Überall wird nur noch geschnüffelt, überwacht, ausgewertet, spioniert und abgemahnt, wobei letzteres eine rein deutsche Spezialität zu sein scheint.
Die meisten Leute werden sich daher auch sicher schon mit dem Thema VPN beschäftigt haben.
tl;dr a.k.a. kurz zusammengefasst: Ein VPN ist ein privates Netz über ein öffentliches Netz, das (im Idealfall) sämtlichen Verkehr privat durch das öffentliche Netz tunnelt und über den definierten Ausgangspunkt den Tunnel verlässt.

Was bringt uns das jetzt in Bezug auf die o.g. Probleme und die raue See?
-Der Tunnel (bzw. die Strecke Eingang<->Ausgang) ist verschlüsselt, mitlesen (zB durch den Provider) somit erschwert bzw. fast unmöglich
-Es tritt nur die IP-Adresse des Tunnelausgangs (Exit, Exitnode) in Erscheinung, die Ursprungsadresse bleibt verborgen

Besucht man unverschlüsselte Webseiten (http:// anstatt https:// ) dann kann ab dem Tunnelausgang natürlich wieder „mitgelesen“ werden. Insofern könnte man, je nachdem, welche Dienste man wie nutzt (private eMails checken, sonstwo einloggen, …) auch wieder identifziert werden.

Nun aber genug geschwafelt. VPN Dienste gibt es ja wie Sand am Meer (irgendwie komme ich immer wieder auf’s Thema Wasser zurück), was veranlasst mich jetzt, etwas zu AirVPN zu schreiben? Meistens äußern sich die Leute ja nur, wenn irgendwas nicht zu ihrer Zufriedenheit ausfällt, wenn was nicht funktioniert, dann wird auf den Putz gehauen. Ist alles OK, dann hört man eher wenig davon.
Ich habe vor ca. einem Jahr einen zuverlässigen und vor allem schnellen(!) Anbieter gesucht und bin dabei mehr oder weniger Zufällig auf airVPN gestoßen. (Da gab es mal eine kleine Übersicht bei Torrentfreak, glaube ich.)

Wieso habe ich mich letzten Endes für einen Zugang bei AirVPN entschieden?
-Breite OS Unterstützung (Linux, Windows, Android, ddWRT, Tor, pfSense, you-name-it)
-Zugang über eigenen Client oder direkt mit openVPN möglich
-Keinerlei(!) Speicherung von identifzierenden Daten (da muss man sich ja immer auf Aussagen des Betreibers verlassen, bis jetzt liest man jedoch nichts negatives)
-sehr gute Server Verfügbarkeit und Anbindung (=schnell)
-Freie Auswahl der Exitserver in Bezug auf Land/Kontinent
-Portweiterleitungen (Forwarding) möglich (20x)
-Mehrfachlogins erlaubt (3x)
-preislich attraktiv (Stand 10/2016: bei Jahresabschluss 4,50 EUR / Monat)

Wie kompliziert ist die Inbetriebnahme von airVPN?
Hat man einen Account gekauft, dann muss man sich entscheiden, ob man den Client des Betreibers verwenden will, oder ggf. openVPN auf dem Gateway/Router einsetzt. Ersteres hat den Vorteil, dass man nur den Client installieren muss und mit wenigen Klicks loslegen kann. Dafür ist dann nur dieser eine Rechner für den Tunnel „bereit“. Installiert und nutzt man openVPN auf seinem Gateway/Router, kann man sein ganzes eigenes Netz (Wlan, etc) über den VPN Tunnel laufen lassen. Der Nachteil hier ist die aufwändigere Konfiguration.

Über die „Enter“ Seite gelangt man zur Übersicht, mit welchen Betriebssystemen oder Zugangsmöglichkeiten man den Dienst nutzen kann:

auswahl_006

 

Die jeweiligen Buttons führen zum Clientdownload oder zu Anleitungen. Für die Nutzer von openVPN gibt es im Kundenbereich einen Generator, um sich die gefälligste Konfiguration für openVPN komplett mit 4 Klicks zu generieren. Diese muss dann nur noch eingespielt und openVPN aktiviert werden:

auswahl_005

Wer über einen sehr schnellen Internetzugang (>32Mbit) verfügt, der sollte allerdings noch die Buffer entsprechend anpassen. In der jeweiligen Konfiguration sind  vor den Zertifikaten diese Optionen hinzuzufügen:

txqueuelen 1000
sndbuf 524288
rcvbuf 524288

Mit meinem 100MBit Kabelanschluss habe ich durch den Tunnel einen Durchsatz von >90Mbit:

auswahl_003

Wichtige Features von airVPN?
-Ein essentielles Feature von airVPN ist die Unterstützung von Portforwarding. Jedem Kunden ist es gestattet, bis zu 20 Weiterleitungen einzutragen. Dazu gibt es im Kundenbereich eine simple Managementfunktion. Es liegt in der Natur der Sache, dass nur Ports >1024 dafür benutzt werden können. Möchte man also einen Rechner über den Tunnel per SSH erreichen können, so kann zB der Port 7022 auf dem Exitserver mit Localport 22 dafür konfiguriert werden. Sämtlicher Verkehr zum internen Rechner läuft dann über 7022 und endet auf port 22 auf dem lokalen Rechner.
-Ein weiteres, besonderes Merkmal ist es, dass bis zu 3 Mehrfachlogins mit jedem Account gestattet sind! So lassen sich zum Beispiel zwei Standorte mit demselben Account nutzen. Das spart Kosten.
-Als kleines Goodie gibt es noch die von airVPN betriebene Seite https://ipleak.net.

Wo gibt es bei airVPN Probleme?
Nichts ist so schön, dass es nicht hie und da mal irgendwo hakt. Da ich den Client nicht benutze, kann ich dazu keine Stellung nehmen. Mit der openVPN Lösung hakt es aber ab und zu an der Last auf dem jeweiligen Exitserver. Anstatt auf >90Mbit zukommen erreicht man in Spitzenzeiten manchmal nur weniger. Selten ist der Exitserver auch „verschwunden“ und ich merke das erst, wenn ich auf der airVPN Seite nach dem Status schaue.

Klappt alles?
Ob alles geklappt hat, kann man sich auf einen Blick auf https://ipleak.net anschauen. Diese Seite kommt als kleines Goodie von den Betreibern von airVPN und stellt auf einen Blick dar:
-welche IP man nach außen hat
-ob man von einer airVPN oder ggf. TOR Exitnode kommt
-ob es DNS oder WebRTC Leaks gibt
-ein ganz besonders Feature ist die Torrentfunktion. Über eine Schaltfläche kann man hier einen eindeutigen Magnetlink erzeugen, den man in seinem Torrentclient hinzufügt. Darüber kann man dann Torrentleaks identifzieren.

auswahl_007

Ich benutze diesen Dienst nun seit ca. einem Jahr und bin bisher sehr zufrieden. Fragen könnt ihr in den Kommentaren Posten.

 

Hinweis: Alle Links zu airVPN sind mit meiner Referal ID versehen. Wenn ihr über diesen Link einen Kauf tätigt, erhalte ich eine anteilige Gutschrift. Es wäre schön, wenn ihr die ID nicht herauslöscht. Danke.

Ab und zu mache ich mal ein paar Experimente in der Küche. Jüngst wollte ich mich mal an das Thema Sauerteig herantasten, aber habe schnell festgestellt, dass das gar nicht so einfach ist. Sauerteig „herzustellen“ ist kompliziert, denn der Teig bzw. die Baktierien darin, müssen für definierte Zeiten bei bestimmten Temperaturen arbeiten können.

Nun bin ich ja nicht gerade darauf aus, den Teig auf die Heizung zu stellen und immer nachzumessen, ob es zu warm/kalt ist. Was liegt also näher, als sich eine Gärkammer zu bauen? Nichts leichter als das, ein paar Sperrholzplatten, dazwischen Styropor als Dämmung und schon ist ein schönes und durchaus preiswertes Kistchen gezimmert.
Bleibt lediglich das Problem der Steuerung. Wie heizen? Wie Temperatur messen? Wie regeln?

Lange Rede kurzer Sinn:

Wie heizen?
Dazu nutze ich ein keramisches PTC Heizelement, 12V/150W (in der Bucht <10 EUR). Diese Elemente werden verdammt heiss und sind in der Regel nicht mit einer Temperaturregelung gegen Durchbrennen ausgestattet, dürfen also nicht ohne Lüfter zur Kühlung/Wärmeabfuhr betrieben werden.

Wie Temperatur messen?
Wird mittels eines LM35Z erledigt.

Wie regeln?
Das übernimmt ein ATmega 328p, Programmierung kann bequem über die einschlägigen Tools erfolgen. Hier tut es natürlich auch die Arduino IDE.

Was kam dann nach der Umsetzung dabei raus?
Eine in Sperrholz gezimmerte Kiste, die mit 1cm Styropor gedämmt (mit Holzleim auf die Sperrholzplatten geklebt) wurde. Die Stromversorgung erfolgt mit einem 12V/200W Netzteil (in der Bucht <15 EUR, je nach Modell und Typ).
Die Steuerung erfolgt über Microtaster auf der Platine (UP, DOWN, ENTER, RESET), Anzeige über ein LCD1602 mit I2C Controller (spart Leitungen ^^).
Der Gäromat heizt auf voreingestellte Temperartur und hält diese dann für einen Zeitraum X.  Nunmehr ist mein Gäromat jedoch auch in der Lage, komplizierte Programme für Teige zu fahren, zB 3 Stufen Sauerteige & Co. Dabei werden verschiedene Temperaturen und Zeiträume selektiert und automatisch geheizt und gehalten.
Das Programm ist soweit selbsterklärend hoffe ich, ich habe bisher nur einige Beispiele umgesetzt, die für mich ausreichend sind. Aktuell nutze ich ohnehin meistens das Hefeteig Programm für meinen Pizzateig 😀
Die Leistung ist ausreichend, von 20°C Anfangstemperatur ist binnen ca 15min auf 33°C für meinen Hefeteig aufgeheizt.

Was ist zu beachten?
Wer den Gäromaten nachbauen möchte muss beachten, dass die Leiterbahnen an den Leistungsklemmen (HEIZUNG und 12V_POWER) für die 150W zum Heizelement NICHT ausreichend sind! Diese müssen mit kurzen Kabelabschnitten (ich verwende 6mm² Lautsprecherkabel) verstärkt werden, sonst brennen sie direkt durch, wenn die Heizung eingeschaltet wird.
Weiterhin ist das MosFET für Heizung (Q2) mit einem passenden Kühlkörper zu versehen (das MosFET für den Lüfter Q3 kommt ohne Kühlung aus, da könnte man auch ein kleineres nehmen), ich verwende einfaches Alublech mit eingesägten Schlitzen zur Oberflächenvergrößerung. Das wird nur mäßig heiss.
Der Lüfter sollte unter das Heizelement gesetzt werden und die Luft von unten durch blasen. Dazu den Lüfter auf Abstandhalter setzen, sonst ist Essig mit Luftdurchsatz 😉

Download Eagle Schaltplan und Arduino IDE Programm:
Gaeromat.zip

Kabelwust

Man hört allen Orten, dass mit dem Umstieg von XP zu Windows 7 die meisten Capisuite Faxclients für Windows nicht mehr laufen. Zu den bedeutenden Programm muss hier wohl „Lisa Fax“ gezählt werden. Kein Support mehr, nicht lauffähig unter Win 7.
Faxgate ist auch irgendwie nur ein Gebastel, mit Cups Druckertreiber und SSH Callback usw.

Nun will sich ja nun auch nicht jeder auch gleich eine VM installieren um die alten Faxclients laufen zu lassen.
Muss man ja auch nicht. Es geht doch ganz einfach!
Ganz simpel irgendwo ein Verzeichnis angelegt, dieses per Cronjob überwachen lassen und alle PDFs die dort gespeichert werden, werden als Fax in die Faxq eingereiht. Fertig.

#!/bin/bash

#pidfile
PID=/var/lock/sendfax.pid

#faxuser aus /etc/capisuite/fax.conf
users="user1 user2 user3"

#basedir für ausgehende faxe, ohne / am ende
faxbase=/some/dir/fax

#läuft das skript schon? dann ende.
if [[ -e $PID ]]
then
        exit
fi

for user in $users
do
    #alle pdf oder PDF im user dir finden
        faxes=$(find $faxbase/$user -maxdepth 1 -iname *.pdf)

    #was gefunden?
        if [[ $faxes != "" ]]
        then

                touch $PID
                echo "Found FAX for user $user, adding to faxq..."
                #max 20 faxe pro aufruf bearbeiten
                faxnum=1
                for fax in $faxes
        do
            #zielnummer=datei basename
                        target=$(basename $fax .pdf)
            
            #sonderzeichen entfernen
                        target=${target//[!0-9]/}
            
            #fax in die faxq einreihen
                        capisuitefax -q -u $user -d $target $fax

            #eingereihte faxe mit zeitstempel versehen und nach gesendet verschieben
                        mv $fax "$faxbase/$user/gesendet/$target-$(date +%Y%m%d-%H%M).pdf"

            #zähler hochzählen
                        faxnum=$(($faxnum+1))
                        if [[ $faxnum -ge 20 ]]
            then
                                exit 1
                        fi
                done
        
        #pid löschen
                rm $PID
        fi

done
exit 0

[Update 5/6/15 16:30 Uhr:
One of the closed tickets at the Func support was re-opened and a comment added! Check it out below!]

In the light of current events I have to issue a warning to all those people, who think about buying the Func KB-460 keyboard. This keyboard seems not to be an USB HID compliant keyboard!
I bought it because of the technical specification and the retro looks and tried it on several PCs, it only seems to be working OK as soon as the windows drivers are loaded.

You can NOT enter any BIOS/pre-boot passwords (random keypresses are detected etc) and my tests with Linux where also negative. It seems as if it is good hardware with a very crappy firmware. Contacting the manufacturer support was also very negative:

Support info (quotes!):

„[…] but we designed the keyboard with N-KRO (N-KRO means the keyboard can register any number of simultaneous key presses, while regular USB keyboards have a max of 6-KRO, or 6 simultaneous keys.“

[comment: for those people with more than 10 fingers or who like to slam the head on the keyboard while trying to get it to work]

„Our KB-460 achieves this by registering many keyboards connected to the computer (you can only see one as they are registered as a “Composite Device”, or a “device with more than one function”) and the BIOS is unable to make sense of the input coming from the keyboard.“

Several cheaper n-kro keyboards offer the possibility to disable this crap. Here is what the 90 EUR / $100 Func keyboard can do:
„I am sorry but Func KB-460 does not have that kind of function. You cant disable n-kro.“

Yes. Nothing.
[Update]
And here comes the surprise. After publishing this article on 5/6/15 around 2pm, 2h later I received an info from the Func support into one of my „resolved“ tickets:
„Seems like the KB-460 has an undocumented function.
Press FN+N and it will disable/enable Nkro.
This function should not be there. But it is.“
It shows, that using FN+N to disable n-kro seems to solve this problem.My BIOS now shows only 1 connected keyboard.
Give it a try!

If somebody is looking for the alternative Firmware for the Linksys WAP54g accesspoint…

Here it is, HyperWAP 1.0c based on the original 3.04 Firmware

DOWNLOAD

Es sollte sich ja inzwischen bis zur letzten Reihe rumgesprochen haben, unter welchen Umständen und mit welchen Nebenwirkungen (Umwelt und Bevölkerung) die Produkte der Ölpalme (Palmfett, Palmöl, etc) hergestellt werden. Auch die zertifizierten Varianten sind mehr Schein als Sein. Daher meide ich dies wo es mir nur möglich ist. Leider wird einem das nicht immer leicht gemacht, denn oft steht nur nebulös etwas von „pflanzlichen Fetten“ in der Zutatenliste.

Mehr und mehr gehe ich daher dazu über, bei den Herstellern einfach mal nachzufragen. Was steckt drin? Welcher Herkunft und Art sind die pflanzlichen Fette bzw. Öle in dem Produkt? Ebenso fällt mir auf, dass oft plötzlich Palmfett etc in den Zutaten auftaucht, das vorher so nicht „drin“ oder angegeben war. Auch hier frage ich nach, wieso, seit wann und ob das sein muss.
Nach und nach werde ich diesen Beitrag dann immer mal ergänzen, wenn ich neue Informationen erhalte.

-Lidl Spaghetti mit Tomatensoße. Marke „Combino“
Auskunft der Fa. BEMPFLINGER Lebensmittel GmbH aus Altdorf:
„[…]In unserem Combino Spaghetti Gericht mit Tomatensauce, ist das enthaltene pflanzliche Fett, auf Basis von Palmfett.“

Soeben erhalte ich noch eine interessante eMail von Nestlé („Maggi“):
„[…]Ab dem 13.Dezember 2014 ist die EU-Lebensmittelinformationsverordnung (LMIV) in Kraft getreten. Sie regelt die Kennzeichnung von Lebensmitteln.
Mit dieser neuen Verordnung ist unter anderem die Kennzeichnung der botanischen Herkunft von Ölen und Fetten in der Zutatenliste vorgeschrieben. Palmöl war und ist in bestimmten MAGGI Produkten enthalten.“

Womit auch erklärt wäre, wieso plötzlich auf vielen Verpackungen Palmfett/-öl auftaucht.  Wenn dem so wäre, wieso gibt es dann noch Firmen (s.o.) die dies nicht angeben? 😉

Wer etwas stromparendes für einen Heimserver sucht, der sollte sich mal das Supermicro X10SBA anschauen.
Das Board ist passiv gekühlt und läuft mit der Intel Celeron J1900 CPU, hat also genug Leistung um ohne Probleme die beiden(!) Gbit LAN Ports oder auch die mSATA SSD zu „füttern“.

Ich habe das Board heute mit 2x 2GB DDR3L (wichtig, das Board läuft nur mit L Riegeln, also 1.35V), einer 64GB ADATA mSATA SSD und einer 3.5″ Festplatte in Betrieb genommen. Installiert ist natürlich Linux :).
Als Stromversorgung dient mir eine alte Pico-PSU80 mit ErP Netzteil.
Das Beste zum Schluss:

Im Idlemode, wenn die 3.5″ Platte schläft, hat der _gesamte_ Server einen Stromverbrauch von unter 14W. Wenn die 3.5″ Platte läuft und Daten liefert, dann liegt er bei unter 18W.

Some thoughts on DNS Amplification attacks as mentioned here for example:

http://dnsamplificationattacks.blogspot.de/2014/02/authoritative-name-server-attack.html

On several DNS servers I am responsible for, I have to deal with the exact same problem. Sadly I cannot just lock recursive clients out, as the server is used as primary DNS for customers. Limiting to an ACL does not help either, as the requests are coming from the allowed clients 🙁 Possible a lot of them are infected by malware. Using the rate limit feature of BIND is not helping here, because the queries are distributed across a lot of infected clients and this will not trigger the rate limits.

If you have a problem like this, you can see your DNS server opening a lot (hundreds, sometimes thousands) of connections to the victim DNS and flooding it with bogus A queries for random subdomains.
Using tcpdump this might look like this:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
11:26:08.502331 IP XXX.XXX.XXX.XXX.53961 > 114.114.116.135.53: 16075 A? ctefwvwherwd.gosky.chinacache.net. (51)
11:26:08.511161 IP XXX.XXX.XXX.XXX.48204 > 114.114.116.135.53: 59982 A? sfepcrmdwnczgp.gosky.chinacache.net. (53)
11:26:16.504011 IP XXX.XXX.XXX.XXX.64001 > 114.114.116.135.53: 16440 A? ctefwvwherwd.gosky.chinacache.net. (51)
11:26:16.513425 IP XXX.XXX.XXX.XXX.53530 > 114.114.116.135.53: 38553 A? sfepcrmdwnczgp.gosky.chinacache.net. (53)

How can you prevent this attack or soften it as much as possible? Good question, most people seem to manually search for the domain (in this example chinacache.net) and block it using the string-match feature in iptables.
I wrote a little script, that does the same thing, but can be run via CRON and blocks those queries automatically.

What does the script do?
1. It checks if there is an abnormally high number of open connections on port 53 to an IP adress (default: 50)
2. It then uses tcpdump to sample some (default: 10) packets of A? queries to that IP. If the number of queried domains exceeds a threshold (default: 10) of same domains+tld, it adds this domain+tld to a blacklist file (default: /etc/domain_blacklist)
3. It reads all entries of the blacklist file and converts the domain+tld to hex values and prepares and executes an iptables rule to block any queries for that domain

What you need?
iptables,  tcpdump, xxd, awk

The script was hacked quite quick and dirty, so you definetly can simplify some things or solve them much better. But this works for me at this time and I hope some of you will find use for it.
As usual, this comes without any warrany of any kind 🙂 Use at own risk!
If you have own iptables rules in usage, you might want to modify the script to not flush iptables every time it runs.
You could also remove the echo debug outputs or direct outputs to /dev/null (if using cron).

Download: dns.sh.gz
SEE UPDATED VERSION BELOW.

edit:

There are several Bugs in the script.
-threshold not correctly implemented

-what if in the 10 captured packets contain more than 1 different domain?

-maybe more 😀

edit:
The script has been running for about 20h now and so far it has blacklistet several domains from being queried:

chinacache.net
n876.com
9aq.com
bcai007.com
bddns.cn
ve60.com
google176.com
xp88888.com
sf120.com
765uc.com
sf120.com

Update 4.11.2014:
I changed the script a little.
-It is now possible to have domains whitelisted

-You can now choose to block the target(domain) or the source (IP) of the attack

So far everything works quite good for me.
Download updated version: dns.sh_1.gz

Letztens habe ich auf dem Speicher mein altes CB-Funkgerät samt (schrottiger) Mini-Magnetfussantenne gefunden. Hach, was haben wir zu Beginn der 90er noch gefunkt. Und Spaß hat das gemacht! Ich habe die Antenne mal auf’s Auto „gepappt“ und bin auf den Berg gefahren. Es ist so gut wie nichts mehr los auf dem 11m CB-Band 🙁 Dafür hatte ich eine gute Verbindung in den Odenwald! Das waren knapp 70-80km. Für CB-Funk ist das schon recht weit, vor allem mit einer Funzelantenne. Mit Amateurfunk dagegen…
Für damalige Verhältnisse kam uns der Erwerb einer Amateurfunklizenz noch völlig utopisch, ja geradezu unerreichbar vor. Musste man dazu sogar eine Morseprüfung ablegen!
Ich habe mir damals den Fragenkatalog besorgt (was mangels Internet gar nicht so einfach war) und sofort kapituliert. Als jugendlicher Faulenzer sah ich damals kein Land, in anbetracht der Schwierigkeit der Fragen.

Doch heute….muss man keine Morseprüfung mehr ablegen (seit 2004 glaube ich). Und nach Abitur und Studium sowie mittelmäßigem Interesse an Mikrocontrollern und Elektronik sollte es doch möglich sein, die Prüfung zu bestehen. Dachte ich mir 🙂
Noch dazu, wo man heute nicht mehr vor staubigen Unterlagen brüten muss, es gibt Onlinekurse samt –Prüfungen oder Offlineprogramme wie den HAM Radio Trainer. Ich lud mir also letztgenanntes herunter und habe am 27.03.14 begonnen, mir die 1547 Fragen in den „Kopf zu hauen“.
Heute, dem 11.05.14 kann ich behaupten, dass ich den Katalog zu 90-95% drauf habe und jede simulierte Prüfung Klasse A bestehe. Lernaufwand waren ca 1-3h pro Tag.

Fazit: Mit durchschnittlicher Intelligenz, Grundkenntnissen in Physik und Elektronik ist es möglich, sich das Wissen und den Fragenkatalog zur Prüfung Klasse A in 14 Tagen anzueignen. Dazu bedarf es lediglich etwas Disziplin und eines Taschenrechners 😀
Die Prüfung am 15.7.14 in Eschborn kann also kommen. Bis dahin heisst es: Niveau halten und hie und da Fragen Wiederholen.

Nachtrag: Bestanden, sogar sehr gut. <5 Fehler über alle Teile. Damit kann ich leben.
Rücklbickend wäre es für mich optimal gewesen, erst 2-3 Wochen vor der Prüfung mit dem Lernen zu beginnen.