Sites Rijksoverheid en Telfort lagen dinsdag plat door ddos-aanval

De grote storing dinsdag bij diverse sites, waaronder die van de Rijksoverheid, bij provider Telfort en bij weblog GeenStijl, trad op als gevolg van een ddos-aanval. Dat heeft de overheid bekendgemaakt. Alle sites die plat lagen, namen diensten af bij hoster Prolocation.

In het korte statement zegt de Rijksoverheid niets over wie er achter de ddos-aanval gezeten zou hebben of waar de aanval vandaan kwam. Het Ministerie van Algemene Zaken zal de aanval samen met Prolocation en het NCSC onderzoeken.

Het statement verklaart niet waarom sommige klanten van Prolocation wel plat lagen en andere niet. Prolocation doet zowel hosting als netwerkconnectiviteit en omdat GeenStijl, dat plat lag, alleen connectiviteit afneemt, ligt het voor de hand dat de ddos-aanval zich op die tak van Prolocation heeft gericht.

De ddos-aanval begon dinsdagochtend om tien uur en was 's avonds opgelost. Het is onbekend of Prolocation maatregelen neemt om een nieuwe storing te voorkomen als er weer een ddos-aanval komt.

Lees meer

IT-banen

Reacties (106)

hulseman 11 februari 2015 11:33

De lijnen (RTT) van gistermiddag naar Prolocation laten een verhoging + packetloss zien op verschillende tijdstippen, zie diagram: http://imgur.com/d9DARd4 Dit bevestigd in mijn ogen een DDOS aanval, of in iedergeval een HIGH CPU van routers/switches/devices binnen het traject.

Ik vermoed dat het een gerichte aanval is geweest op de routers (Core/border/edge) waardoor de CPU van de routers op 100% stonden te koken. Nu kan ik zowel argumenten bedenken om dit te ontkrachten: verkeer wordt niet verwerkt door de management module, maar door de CPU's op de blades zelf, echter de hoge RTT tijden + packetloss doen vermoeden dat dit wel het geval is.

Hoge RTT + packetloss kunnen onstaan door:

1. 100% belasting van fysieke verbindingen, ze worden volgestopt door een DDOS aanval.

Ik zie geen reden om aan optie 1 te denken, omdat een volle lijn snel kan worden opgelost. Het is een kwestie van de betroffen IP adressen blackholen bij de upstreams, of zelfs kiezen om enkel Nederlands verkeer door te laten. Transit is fijn, maar nog fijner is het als 99% van de doelgroep de dienst weer kan gebruiken.

2. Packet forwarding op de blade loopt op tot het maximum (hoge CPU load blade).

Dit kan verklaren waarom er een hoge RTT was + packetloss, de 100% packetloss tijdens de storing komen vaak voort het reloaden, of tijdelijk uitschakelen van verbindingen om de brand te lokaliseren.

3. Hoge CPU belasting management door directe aanval op de router/switch zelf.

Lastig te detecteren, helemaal op het moment dat flowdata niet meer kan worden verstuurd, of dat een device letterlijk onbereikbaar is geworden (zelfs via de console/serial). Debuggen binnen de router zelf is dan ook vaak onmogelijk zonder alle verbindingen te shutten.

Uitgesloten:

4. Fibercut (geeft 9/10 geen hoge RTT, maar direct een loss of link, 100% packetloss).
5. Defect router (ook dit is vaak direct 100% packetloss).

Shit happens en het overkomt de beste providers onder ons. Het enige wat je Prolocation kwalijk kan nemen is dat ze twitter niet eerder hadden geupdate. Dat de telefooncentrale overbelast is begrijp ik en neem ik ze ook zeker niet kwalijk.

Geen communicatie is ververlender dan een uur geen e-mail/website of online werkplek.

Verwijderd @hulseman • 11 februari 2015 11:42

Het puntje telefonie stoor ik me nog wel wat aan, er zijn dingen mogelijk met mobiele telefoons enzo. Ook de melding van prolocation dat ze meer capaciteit hebben dan de nawas vind ik wat dubieus, misschien op bandbreedte vlak maar qua hardware heb ik daar toch twijfels over.

Even daargelaten dat het niet zwart/wit is en er misschien een combi oplossing was om de aangevallen IP's door de nawas te sturen (routeren) wat mogelijk resultaat had en misschien de overige sites weer beschikbaar maakte of andersom.

hulseman @Verwijderd • 11 februari 2015 11:57

De NaWas is geen heilig platform, het is een hulpmiddel om relatief kleine partijen te helpen bij het direct filteren van verkeer. De NaWas doet dit (correct me if im wrong) met Huawei apparatuur.

Prolocation zal ongetwijfeld zelf anti DDOS apparatuur hebben draaien, helemaal met het klantenbestand die zij hebben: overheid, geenstijl, dumpert etc. Dit zijn partijen die flink wat geld in het kistje brengen en dagelijks last hebben van scriptkids met ddosaanvallen van 5-10 Gbps.

Het verhaal van het Nationaal Cyber Security Centrum: Het is algemeen bekend dat dit puur een prestige project is van de overheid zelf. Enkel bij aanvallen op de overheid zelf komen ze in actie (en hoe?! niet meer dan een rapport schrijven en opsturen), hardewerkende IT bedrijven welke last hebben van grootschalige aanvallen en hierdoor enorme schade lijden kunnen niet aankloppen bij het NCSC.

Dit wordt een gevalletje aangifte doen bij het lokale politie bureau en hopen dat de aanvallers/daders kruimelsporen hebben achtergelaten (fouten). De digitale recherche gaat dan bekijken of ze er iets mee kunnen, meer valt er helaas niet te doen.

Verwijderd @hulseman • 11 februari 2015 12:04

De NaWas doet iets meer, maar dat wordt niet aan de grote klok gehangen natuurlijk. Maar ik weet ook dat het niet zaligmakend is, zoals ik al aangaf was misschien een combinatie van zaken een ontlasting (laat ik het geen oplossing noemen) van de verstoring.

Of geenstijl zoveel geld ter tafel brengt, ik weet het niet, weet wel dat ze hun site achter cloudflare hebben gestopt waar dit vroeger niet was. Even daargelaten wat de reden is.

Vanuit de laatste nieuwsberichten begreep ik ook dat dit niet om een volume attack gaat maar meer een DoS.

Aetje @hulseman • 11 februari 2015 14:55

Variatie op nummertje 2: Packet forwarding op de blade loopt op tot het maximum (hoge CPU load blade).
Moedwillig dan wel perongeluk gekluns met de routing waardoor verkeer in de backbone van Prolocation zelf in een cirkel gaat kan de belasting ook vrij simpel en snel tot het maximum krijgen. Beetje verkeer dat van router A naar B naar C dan terug naar A gestuurd wordt... met een TTL van 64 gaat dat toch zo'n 15 a 20 keer in het rond voordat de packets expiren.

Maar goed, da's ook maar speculatie.

Verwijderd 11 februari 2015 10:00

Er zijn talloze dingen foutgegaan die niet fout hadden mogen gaan, een aantal hoofdpunten:

1. Reactietijd, eerste melding die ik zag over issues was om 10:00 en na het aanmaken van een twitter account om 16:17 dus dik 6 uur later werd er gemeld "De oorzaak van de problemen is tot op heden nog niet bekend."

2. Een ISP anno 2015 moet plannen hebben voor DDos detectie en reactie, dit lijkt meer op trial en error.

3. Zelf geen uitwijk opties voor communicatie over wat er speelt en wat men doet /verwacht.

Buitendat geloof ik zelf niet zo op dit moment in de DDos aanval verklaring, DDos attackmaps laten geen ondersteunende informatie zien, zie geen afwijkende informatie op Ams-IX en hier/hoor ook niets over andere partijen die nevenschade hebben.

Daarbij alle stilte en de melding dat NCSC betrokken is doet eerder denken aan een groot veiligheidslek waarbij ze de controle over hun netwerk zijn kwijtgeraakt.

/EDIT

11:36
Update: http://computerworld.nl/b...k-legt-rijksoverheid-plat

Even daargelaten hoeverre de informatie correct is, als dit gisteren eind van de middag bekend was gemaakt was er een hoop meer begrip en minder speculatie geweest.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:00]

Haruhi @Verwijderd • 11 februari 2015 10:23

Ze liegen gewoon om schadeclaims en gezichtsverlies te voorkomen.
En toevallig was GeenStijl net bezig tegen het zere been van de overheid te schoppen.

Vreemd verhaal.

[Reactie gewijzigd door Haruhi op 22 juli 2024 16:00]

PuzzleSolver @Haruhi • 11 februari 2015 10:36

En toevallig was GeenStijl net bezig tegen het zere been van de overheid te schoppen.

Whahahahahahaha,

Ja toevallig, ze schoppen anders nooit tegen de overheid aan.

[Reactie gewijzigd door PuzzleSolver op 22 juli 2024 16:00]

loekf2

@PuzzleSolver • 11 februari 2015 10:58

Beetje vaag verhaal. Geenstijl heeft vaker last van DDos en je ziet dan een CloudFare site eerst opkomen voordat je re-direct naar Geenstijl.nl

PuzzleSolver @loekf2 • 11 februari 2015 11:08

Vorige week waren er ook meerdere cloudfare sites een tijdje uit de lucht. (Spamhaus en Wimdu waren voor delen van het internet onbereikbaar).

De laatste tijd zien we bij ons op het werk ook steeds vaker multiplication attacks en andere vormen van DDOS attacks voorbij komen. In het illegale circuit schijn je ze gewoon te kunnen kopen, voor een paar tientjes kun je al een aanval uit laten voeren.

Ik vraag me ook af wat hier nu echt gebeurd is. Alle DDOS aanvallen en Anti-DDOS providers maken het ook niet echt makkelijk om een probleem te achterhalen vanuit een provider. Meestal hebben wij ook informatie vanuit de backbone providers nodig om erachter te komen.

GrooV @PuzzleSolver • 11 februari 2015 14:08

Je kan wel CloudFlare gebruiken maar als je niet je upstream IP's of zelfs je upstream provider wijzigt weten de DDoS'ers nog steeds je (oude) IP. en kunnen ze je site plat brengen.

CloudFlare kan alleen verkeer tegenhouden wat via CloudFlare gaat. Uiteindelijk kan je de site natuurlijk ook nogsteeds buiten CF om benaderen. Als je een duurder abonnement neemt valt het eea wel beter te regelen.

PuzzleSolver @GrooV • 11 februari 2015 15:47

Volgens mij begrijp je het niet helemaal.

Cloudflare zit dieper in de netwerk laag en past routering van IP's aan zodat deze in verschillende datacenters uitkomen. Cloudflare kan ook tijdelijk aanpassingen in de BGP tabel maken zodat verkeer voor een IP-Range door hun datacenters loopt. Aangezien ze veel bandbreedte hebben en de aanval distribueren over meerdere datacenters kunnen zij de attack vaak wel filteren voordat ze het verkeer afleveren bij jouw servers Wij gebruiken trouwens een soortgelijke dienst van akamai.

Verwijderd @PuzzleSolver • 11 februari 2015 22:00

GrooV snapt het juist heel goed. Misschien dat het aan de hand van een voorbeeld duidelijker is:

Oude situatie:

* Jouw website heeft als IP adres 1.1.1.1. Een DDOS op dit IP adres en je website ligt plat.

Nieuwe situatie:

* Je maakt gebruik van Cloudflare. Het IP adres voor je website is nu een Cloudflare IP adres: 2.2.2.2.
* DDOS valt 2.2.2.2 aan, Cloudflare ketst dit netjes af en je website blijft overeind.
* DDOS-er graaft in z'n geheugen/google/etc. en ziet dat je IP adres vroeger 1.1.1.1 was. Die dus ook maar even aanvallen. En warempel je website plat.

De les:

* Na het inschakelen van Cloudflare moet je het IP adres van de daadwerkelijke webserver veranderen.
* Dit nieuwe IP adres moet je goed geheim houden.

PuzzleSolver @Verwijderd • 12 februari 2015 10:58

We hebben het hier over verschillende dingen.

Ik dacht dat we het over de oplossing voor ISP's hadden. Dan heb je het niet over 1 IP. Maar over een heel blok IP's. De dienst die wij bij Akamai hebben werkt ook niet zoals jij het hier beschrijft, dat klinkt meer als iet wat je doet om 1 server met 1 IP achter cloudflare te zetten. Overigens bied cloudflare ook BGP origin protection.

https://www.cloudflare.co...e-enterprise-overview.pdf

CloudFlare offers BGP origin protection by routing traffic to an origin. This ensures that your origin cannot be attacked directly.Enterprise customers receive dedicated IP space, and can customize their name servers.

Dus de opmerking:

Je kan wel CloudFlare gebruiken maar als je niet je upstream IP's of zelfs je upstream provider wijzigt weten de DDoS'ers nog steeds je (oude) IP. en kunnen ze je site plat brengen.

Klopt niet voor een enterprise abbonement.

Haruhi @PuzzleSolver • 11 februari 2015 11:04

Mee eens. Maar dit keer bleef het niet bij het pesten van een minister.
Maar leugens van het kabinet keihard debunken omtrent MH17.

Er zit een groot verschil tussen "Vogelaartje pesten" en het keihard "over 300 lijken de boel belazeren".

Verwijderd @Haruhi • 11 februari 2015 12:05

Het heeft geen zin een DDOS uit te voeren naar aanleiding van een filmpje. Dat filmpje komt uiteindelijk toch via kanalen zoals Youtube, televisie of een dag later op geenstijl. Wat eerder aangehaald is is dat een DDOS verklaring zo geen gezichtsverlies en / of enige schadevergoeding als gevolg heeft. Het ligt dan immers op 'overmacht' en daar kan een hostingpartij niet verantwoordelijk voor zijn.

De beloofde uptime garantie wordt namelijk niet behaald als de fout te wijten is aan een interne storing.

pietje63 @Verwijderd • 11 februari 2015 10:31

Als het pareren van een DDos zo makkelijk is, dan hadden ook grotere partijen - ik noem een Sony en Microsoft - hier geen last van. Wellicht zijn ze van 10uur tot 16 uur druk alles wezen proberen, en lag de prioriteit niet bij het informeren van de cliënten. Dat had naar mijn mening wel moeten gebeuren, maar het zegt weinig over de reactietijd.

PolarBear @pietje63 • 11 februari 2015 10:47

Als Prolocation een eenpitter is dan kan ik mij voorstellen dat je niet met communicatie en oplossen van het probleem bezig kan houden. In het geval van een beetje bedrijf kan je prima problemen oplossen en je klanten informeren zonder dat dat elkaar in de weg zit.

Douweegbertje @Verwijderd • 11 februari 2015 12:54

1: boeiend, het was bekend dat er problemen waren, en je kan nog niets zeggen want je weet nog niets.
2: Jij weet dat niet, dus probeer dan ook niet te denken dat je het weet puur vanwege het feit dat het lang heeft geduurd. Welke variabelen er spelen zijn onbekend, noch welke kennis aanwezig was. Een goede DDoS -kan- heel lastig zijn, en zelfs niet voorkombaar noch snel op te lossen.
3: zie 1. Nogmaals erg irrelevant om nieuws te posten en sterker nog niet eens relevant voor jou. Wat wil je dan; "we zijn down, we werken er zsm aan".. lekker veel heb je daar dan aan. Op sommige moment kun je domweg niet goed informeren noch altijd iets met zekerheid zeggen.

- Attackmaps, beter zoeken want er was namelijk -wel- iets zichtbaar.

- AMS-IX Tja, er gaat al zoveel data overheen, tenzij het de MOAB of DDoS is ga je dat moeilijk zien.

- DDoS staat niet gelijk aan enorm dataverkeer. Je zou met een paar bits al een DDoS kunnen uitvoeren.

Verwijderd @Douweegbertje • 11 februari 2015 13:03

1. Zeg dat maar tegen je klanten, of laat het je klanten aan hun klanten maar uitleggen.

2. Ik claim het niet te weten, ik geef aan waar ik het op vind lijken.

3. Een bericht plaatsen dat er iets aan de hand is zegt altijd nog veel meer dan een website die niet laad.

- Ik heb het gisteren niet kunnen vinden, maar als je informatie hebt zie ik graag verwijzigen ter lering en bestudering van dit voorval

- Een aantal DDoS aanvallen gebaseerd op volume vorig jaar waren wel degelijk te zien als het verkeer met 30Gb/sec afwijkt.

- Heb ik ook nooit beweerd, zou haast eerder willen opteren dat het dan geen DDoS is maar een DoS.

PolarBear @Verwijderd • 11 februari 2015 10:44

NCSC lijkt mij betrokken omdat de site van de Rijksoverheid ook getroffen is.

Verwijderd 11 februari 2015 11:31

Update: http://computerworld.nl/b...k-legt-rijksoverheid-plat

Even daargelaten hoeverre de informatie correct is, als dit gisteren eind van de middag bekend was gemaakt was er een hoop meer begrip en minder speculatie geweest.

michielg 11 februari 2015 10:50

Vraag:
Kan iemand met meer verstand van zaken mij misschien wat achtergrond informatie hierover verstrekken, want ik heb hier eerlijk gezegd nog niet eerder van gehoord.

Quote van de prolocation site: "echter bleek het om een aanval van buitenaf te gaan. De aanval had het karakter van een DDOS, zonder dat het heel veel verkeer genereerde."
http://www.prolocation.net/

Hoe kan je een DDOS aanval zonder veel verkeer uitvoeren? is dat niet juist het hele doel van een DDOS, dat je danwel de lijnen, netwerk apparatuur (routers, firewalls, etc), applicaties en/of OS overbelast doormiddel van een hoeveelheid verkeer die de systemen niet aankunnen?

Misschien heb ik het helemaal mis hoor, maar dan hoor ik het graag!

MMaI @michielg • 11 februari 2015 10:57

Niet iedere DDoS attack heeft een grote hoeveelheid verkeer nodig om de sites plat te leggen. Een veelgebruikte term is Slow&Low, waarbij de robuustheid van het TCP protocol en diverse handlers binnen software worden misbruikt om met weinig verkeer een site plat te helpen.

Enkele jaren geleden was er bijvoorbeeld Slowloris, welke wel connecties opende, maar nooit de handshake voltooide, waardoor je met een enkele pc eenvoudig een apache cluster om zeep kon helpen.

Dit zijn de (iets) meer geavanceerde aanvallen, waarbij bekende kwetsbaarheden of functies uit specifieke software worden misbruikt om de service te kunnen verstoren.

Voor iets meer info zie: http://blog.radware.com/s...re-difficult-to-mitigate/

[Reactie gewijzigd door MMaI op 22 juli 2024 16:00]

michielg @MMaI • 11 februari 2015 11:06

Super! dank je voor de info, weer wat geleerd vandaag

koelpasta @michielg • 11 februari 2015 12:09

Kijk vooral ook naar wat DOS betekent: Denial of Service. Hoe de service (bijvoorbeeld een webserver) wordt ge-denied doet er in eerste instantie niet toe. Het is alleen zo dat een DOS makkelijk voor elkaar te krijgen is door de pijp vol te prakken met onzin. Maar theoretisch is het doorknippen van de kabel naar de buitenwereld ook een vorm van DOS.

GrooV @koelpasta • 11 februari 2015 14:12

Er wordt ook over DDOS gesproken wat weer Distributed Denial of Service betekent. Dus tenzij ze meerdere kabels op meerdere plekken hebben doorgeknipt gaat je theorie niet op

koelpasta @GrooV • 11 februari 2015 20:20

Dus tenzij ze meerdere kabels op meerdere plekken hebben doorgeknipt gaat je theorie niet op

Ik wou vooral aangeven dat een DOS (distributed of niet) best wel een breed begrip is en op zich zelfs niks met netwerken te maken hoeft te hebben. Maar zelfs in theorie kan je dus van kabels doorknippen een distributed project maken. Mob-knippen?

HaikoW

@MMaI • 11 februari 2015 11:54

Klopt, applicatie layer attacks putten de resources van de servers uit met gebruik van een minimale hoeveelheid bandbreedte.

Paar jaar geleden vond ik onderstaand document erg goed voor een beter begrip van de Applicatie Layer DDoS. http://www.imperva.com/do...ques_and_Technologies.pdf

PolarBear @michielg • 11 februari 2015 10:55

Hoe kan je een DDOS aanval zonder veel verkeer uitvoeren? is dat niet juist het hele doel van een DDOS, dat je danwel de lijnen, netwerk apparatuur (routers, firewalls, etc), applicaties en/of OS overbelast doormiddel van een hoeveelheid verkeer die de systemen niet aankunnen?

Distributed Denial of Service, nu wordt dat vaak bereikt door het overbelasten van de netwerkcapaciteit, maar het kan ook anders. Een bug in een router/switch OS die misbruikt kan worden met relatief weinig verkeer maar waardoor de router wel ophoudt met werken of naar 100% mem/cpu usage gaat.

michielg @PolarBear • 11 februari 2015 11:04

Dank je polarbear, had ik nog niet aan gedacht! Is het dan mogelijk dat in dit geval de schuld alsnog bij prolocation ligt (bijvoorbeeld door een foute setup/config) en dat ze dat door het op een DDOS attack te gooien proberen te maskeren?

Blokker_1999

Internet

@michielg • 11 februari 2015 11:53

In theorie? Ja. Maar ik verwacht dat het in de praktijk niet snel zal gebeuren. Indien je een config aanpast en het loopt mis, dan mag het niet moeilijk zijn of niet lang duren om die fout terug recht te zetten. Daar de aanval zo lang heeft geduurd acht ik de kans groter dat het effectief aan een externe factor heeft gelegen.

koelpasta @Blokker_1999 • 11 februari 2015 12:13

Het kan natuurlijk ook een combi zijn, dus dat een configuratiefout het netwerk op een lullige manier kwetsbaar heeft gemaakt. Dan is het wel even zoeken om te vinden dat het aan de configuratie ligt.

Johan9711 11 februari 2015 10:04

Toch vreemd, er was op minimaal één site DDoS protectie van Cloudflare aanwezig. Kan natuurlijk altijd zijn dat ze om de protectie heen werken.

[Reactie gewijzigd door Johan9711 op 22 juli 2024 16:00]

Umbrah @Johan9711 • 11 februari 2015 10:08

Cloudflare dien je ook niet te overschatten; het bied een statische website aan die gedeeltelijk toch je informatie weergeeft zodra je eigenlijke site plat ligt, en het KAN verkeer filteren, maar je hebt dan weer het kat/muis systeem (pas anti-virus maken nadat het virus bestaat) tussen hackers en hackée. Ik kan me voorstellen (kijk er nooit niet mijn ding...) dat geenstijl statisch veel beter werkt dan een compleet platform met o.a. dienstverlening en dynamische content zoals de overheids portal...

Blokker_1999

Internet

@Johan9711 • 11 februari 2015 10:35

Maar ook cloudflare moet zijn data ergens vandaan halen. Als het IP waarvan zij hun data ophalen aangevallen word, dan helpt de DDoS bescherming van Cloudflare gewoonweg niet meer. Iets wat trouwens perfect mogelijk is indien deze site niet uitdrukkelijk het doel was, maar gewoon een hele IP range werd aangevallen.

Auredium 11 februari 2015 09:57

Dit verbaasde mij niet als nieuws. Toen Geenstijl plotseling wel up was via een noodsite en de overheid had ik al het vermoeden dat er 'meer' aan de hand was. DDoS kwam daaar wel in voor. De redenen ervoor kan vanalles zijn; CyberJihad of het uitbreiden van AIVD bevoegdheden bijvoorbeeld.

Wat mij stoort is dat de overheid schijnbaar geen back-up site beschikbaar heeft elders geparkeerd. (Geenstijl had dit wel) en de melding van Tweakers over een gebroken glasvezelkabel. Alhoewel dat laatste wellicht gewoon een kruising van feiten is.

DDoS is tegenwoordig veel gemakkelijker aangezien er steeds meer unpatched apparaten zijn. internet of things apparaten zonder updates. Zero-Day exploits zoals Flash nog geen week geleden een grote update voor heeft gereleased. Samen met mercenaries zoals Lizard Squad is het snel geregeld.

Verwijderd @Auredium • 11 februari 2015 10:13

Wat mij stoort is dat de overheid schijnbaar geen back-up site beschikbaar heeft elders geparkeerd

De rijksoverheid site is niet zo belangrijk. De overheidssite van de belastingdienst, en de sites van zelfstandige bestuursorganen zoals het SVB, DUO en het UWV zijn eigenlijk veel belangrijker voor het goed functioneren van de landelijke overheid.

styno @Verwijderd • 11 februari 2015 11:19

Was niet een paar weken geleden in het nieuws dat de overheid toewerkt naar één internet toegangspunt voor alle overheid sites i.v.m. beheersbaarheid en betrouwbaarheid?

curumir @Auredium • 11 februari 2015 10:23

Geenstijl is in de kern een simpele blog. Die is net iets makkelijker te verplaatsen naar een andere server. Alle (of een groot deel van de) sites van de rijksoverheid standaard mirroren naar een andere provider lijkt me onwenselijk en veel te duur. Alleen al de koppeling aan backends en de security die waarschijnlijk net iets groter is dan bij geenstijl lijken me duidelijke redenen daarvoor.

Wel kan men een beter noodplan klaar hebben liggen waarbij een simpele site of dienst (twitter) bepaalde taken over kan nemen of op z'n minst voor informatie kan zorgen.

De bottom line is dat DOS aanvallen die goed uitgevoerd worden niet tegen te houden zijn. Je kan een boel doen, maar als het puntje bij paaltje komt is het niet tegen te houden.

Aetje @curumir • 11 februari 2015 15:04

Geenstijl werd niet in zn geheel verplaatst - er werd een uitwijk gedaan naar een compleet andere server met andere content. Waarschijnlijk een handigheidje van Cloudflare ertussen - dat je binnen een vrij korte tijd zonder gesteggel met je A host entries in DNS, je content ergens anders neer kan zetten.

Wel interessant om te zien dat kwa continuiteit Geenstijl een beter DR plan heeft (en ter uitvoering bracht) dan onze rijksoverheid... Wellicht dat SSC n's bij Joris van Loghousen op stage moet gaan

418O2 @Auredium • 11 februari 2015 10:08

Die geenstijl page was gewoon een Tumblr hoor, geen noodsite oid.

418O2 @Verwijderd • 11 februari 2015 10:48

Dus ze hadden geen backupsite, ze hebben gewoon een tubmlrpage als backup voor wat nieuws. Dat is voor de rijksoverheid natuurlijk niet echt een optie.

Frankster @418O2 • 11 februari 2015 12:36

Waarom niet? Kunnen ze tenminste de burger informeren over problemen...

totaalgeenhard 11 februari 2015 11:10

Vorige keer hadden ze toch het probleem toch opgelost......

Wel raar dat overheid bij een partij blijft die telkens maar van diens incompetentie blijk geeft...

Voordat iemand gaat beginnen dat je weinig tegen DDoS kunt doen, als je eigen netwerk in eigen beheer hebt en je hebt goede contacten met je peering partners, kun je binnen een uur zorgen dat bepaalde verkeer (en zeker verkeer van buiten Nederland) niet bij je border routers komen.

Met andere woorden je sites blijven bereikbaar vanaf Nederlandse IP's.
Maar als je het verschil tussen een storing en DDoS niet kunt zien, dan moet je je als overheid afvragen waarom je bij dergelijke partij wenst te blijven..

Zal wel grappig worden als straks AMS-IX getapt word en er vele terabytes aan ddos aanval ergens opgeslagen moet worden.

Blokker_1999

Internet

@totaalgeenhard • 11 februari 2015 11:56

Want elke DDoS aanval is direct duidelijk op te merken? Ze geven hier zelf al aan dat het een aanval was die op zich weinig traffiek genereerde. Begin dan maar eens te zoeken.

totaalgeenhard @Blokker_1999 • 11 februari 2015 12:08

Ligt aan de competentie van je personeel en de inrichting van je monitoring.....

Zodra je temperatuur schommelingen op je routers en switches ziet zou je al aanleiding moeten hebben om in actie te komen.

Drharlin @totaalgeenhard • 11 februari 2015 22:45

Yeah right en dan er achter komen dat het een laat backupje is wat loopt. En dan nog wat ga je op dat moment doen? Zaak op z´n poten krijgen of bewijsmateriaal vergaren. je was er niet bij dus je kan er niet over oordelen.

Wellicht zet het bedrijven ook weer eens aan het denken om niet zo afhankelijk te zijn van saas, paas, iaas en nog wat van die termen. Het is leuk in de cloud maar je bent zo verrekte afhankelijk van `anderen`.

totaalgeenhard @Drharlin • 11 februari 2015 22:49

Toevallig is het mijn vakgebied.

En als je backup laat loopt dan zou je dat ook van te voren moeten weten, tenzij notificaties in je monitoring niet gecheckt worden.

Inrichting van infrastructuur is niet meer wat het is geweest.

Maar als je een halve dag plat licht maak je wederom (het is niet de eerste keer) duidelijk dat je je infrastructuur niet onder controle hebt.

En ja beste stuurlui staan aan wal..... maar bij competente partijen hebben ze vaak niet meer dan een paar uur nodig om aanval af te slaan.... dat wil zeggen dermate controleren dat leeuwendeel van klanten en diens bezoekers er geen last van hebben.

Drharlin @totaalgeenhard • 13 februari 2015 12:01

Mijn mening is dat je alleen incompetenties van anderen moet belichten om de om de aandacht van jezelf af te leiden.
Ik zit enkele decenia in de business nog praat nooit over con-collegas.

[Reactie gewijzigd door Drharlin op 22 juli 2024 16:00]

totaalgeenhard @Drharlin • 14 februari 2015 22:26

Als je een paar decianna in de infosec rondloopt zul je weten wie ik ben en derhalve ook door hebben dat ik recht van spreken hen.

Maar dat er mensen met een checkpoint certificaat zichzelf als werkzaam in infosec beschouwen vind ik ook al overdreven...

Drharlin @totaalgeenhard • 17 februari 2015 20:12

Geen idee je hebt in iedergeval nog geen indruk gemaakt

Maar goed als je in dezelfde markt beweegt zul ongetwijfeld weten hoe incompetent de bewuste partij is.

totaalgeenhard @Drharlin • 18 februari 2015 08:08

Het is niet de eerste keer, bovendien zag ik ergens een interview met directeur die klaagt dat met aangifte niets zal worden gedaan.... duh..

Ps: indruk maken is niet belangrijk zolang klant maar blij is met je.

Sergelwd 11 februari 2015 12:40

Misschien een mooie eye-opener voor de tweede kamer...

EquiNox @Sergelwd • 11 februari 2015 21:14

Hoe wil je dit dan voorkomen? Totale politiestaat invoeren? Nee dank je.

bluegoaindian 11 februari 2015 12:44

URL naar artiekel computerworld http://computerworld.nl/b...k-legt-rijksoverheid-plat

corset 11 februari 2015 09:54

Ik krijg meer en meer het idee dat het volgende aan de hand is:

"Mensen! Kom met een oplossing we hebben een probleem gehad op de server, we kunnen niet aangeven dat wij het waren. Wat is de oplossing?"
"DDos? Dat is zo beetje het meest hippe om de schuld te geven"
"JA! Doen we, volgens mij is dat toch niet te weerleggen. We zijn weer klaar."

Het wordt nu iets te vaak op een DDOS gegooid. Dus er zijn of veel meer DDOS aanvallen bij gekomen, of het is gewoon het smoesje geworden. Ik durf niet te zeggen welke klopt.

WokeBroke @corset • 11 februari 2015 09:59

ik heb juist het idee dat het tegenovergestelde waar is, ea games, jagex, sony, blizard. gooien het altijd liever op server problemen, omdat de ddosers dan minder aandacht krijgen. En er minder tieners een handje willen helpen met ddosen.

Verwijderd @corset • 11 februari 2015 10:06

Er zijn veel meer DDOS aanvallen bijgekomen, juist omdat deze relatief simpel zijn uit te voeren en behoorlijk effectief zijn.

Er worden daadwerkelijk wel serieuze onderzoeken gedaan naar downtime, al was het maar uit eigenbelang voor de hostingpartij. Die moeten zoiets zien te voorkomen, en zolang je niet weet wat de exacte oorzaak was kun je het ook niet aanpakken.

_JGC_ @corset • 11 februari 2015 10:05

DDoS kan je scharen onder overmacht, is vrij weinig aan te doen. Een gebroken kabel zonder werkende failover is gewoon contractbreuk omdat je niet voldoet aan je uptime garantie.

Verwijderd @_JGC_ • 11 februari 2015 10:10

Er zijn vele dingen die je kunt doen tegen DDos, anders zou ook cloudflare geen bestaansrecht hebben. Niet dat ik fan ben van cloudflare.

Tegenwoordig zijn er combi-attacks waarbij verschillende DDos technieken worden gebruikt en afgewisseld. Maar dingen zoals droppen van traffic gericht tegen specifieke IP adressen / reeksen. Heb blokken van source IP ranges van betrokken landen en het filteren met hardware oplossingen (prijzig).

Verder kun je je erop voorbereiden dus een twitter account aanmaken voordat het gebeurd en op een alternatieve locatie (andere leverancier / concurent) een uitwijk voor je website hebben. Dit is bv wat geenstijl deed.

Wekenlijks worden diverse DDos aanvallen voorkomen bij NL providers.

_JGC_ @Verwijderd • 11 februari 2015 10:19

Er is veel te doen tegen DDoS aanvallen, ik kom ze zelf regelmatig tegen uit China omdat men in China de firewall een beetje heeft getweaked waardoor je zo nu en dan half china op je site krijgt denkende dat ze Youtube, Piratebay of Facebook bezoeken... Oplossing is dan gewoon alle netblocks van dat land in de firewall gooien en dan ben je er vanaf.

Waar je weinig tegen doet zijn DDoS aanvallen die niet gericht zijn op een services maar op je complete verbinding. Die moet je laten droppen voordat ze je netwerk op komen en dat vereist medewerking en kennis van je lijnprovider.

koelpasta @_JGC_ • 11 februari 2015 12:19

ik kom ze zelf regelmatig tegen uit China omdat men in China de firewall een beetje heeft getweaked waardoor je zo nu en dan half china op je site krijgt

Oplossing is dan gewoon alle netblocks van dat land in de firewall gooien en dan ben je er vanaf.

Mijn vermoeden is dat je firewall ongeveer niks gaat kunnen doen als half china aan de poort staat te kloppen.

_JGC_ @koelpasta • 11 februari 2015 12:45

Die firewall is wel degelijk effectief. Packets droppen op de interface kost bijna niks aan processorkracht, zolang je pijp niet volgepropt wordt heb je daar geen last van. Waar je wel last van hebt is dat je webserver software alle requests moet gaan verwerken en daar maar een beperkt aantal threads voor heeft.
Het wordt helemaal feest als je een 404-handler op je website hebt die bezoekers naar een "misschien bedoelde u dit?" pagina doorverwijst. Ik had op een dergelijke website 300Mbit aan uitgaand verkeer met 404 responses dankzij dat grapje.

Blokker_1999

Internet

@Verwijderd • 11 februari 2015 10:39

Zolang je een DDoS aanval moet aanpakken aan de ontvangende kant blijf je met een probleem zitten. Dit soort aanvallen moet zover mogelijk upstream worden aangepakt, liefst lang voordat het verkeer het doelnetwerk bereikt, omdat het anders mogelijk blijft om dat doelnetwerk plat te leggen.

Bijkomend is het blokkeren van hele regios ook geen goed idee wanneer je je diensten wereldwijd aanbied (en dat soort klanten zullen er zeker ook wel zijn). Heb ooit iemand gekend die een heel continent blokkeerde, maar dat zijn tactieken die gewoonweg slecht zijn en je bezoekers/gebruikers gaan kosten.

Niemand gaat zomaar meerdere servers huren bij meerdere aanbieders voor het geval dat de ISP waar zij gebruik van maken word aangevallen. De kans dat je gericht het doel word van DDoS is namelijk groter, en dan maakt je distributed opzet ook geen bal meer uit want dan worden ook weer al je locaties aangevallen.

En geenstijl had gewoon doorverwezen naar tumblr, kan je moeilijk een uitwijk website noemen de ze zelf hebben opgezet.

Verwijderd @Blokker_1999 • 11 februari 2015 10:43

Uitwijk / geen uitwijk, ze konden communiceren. De mate van operationele dienstverlening ligt maar net aan wat voor business je doet.

Een heel continent niet kunnen blokkeren, waarom niet? Moet de NS.nl voor China of Taiwan bereikbaar zijn tijdens een DDos of vind ben je meer van de instelling "iedereen toegang of niemand" ?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:00]

Blokker_1999

Internet

@Verwijderd • 11 februari 2015 11:55

Voor een geenstijl of een overheid zou je dat kunnen doen. Maar durf jij dat beweren voor alle getroffen klanten?

Drharlin @Verwijderd • 11 februari 2015 22:47

Vervelend als ik de NS reisplanner op Sanghai airport wil raadplegen net voordat ik het vliegtuig in stap...

kritischelezer @Verwijderd • 11 februari 2015 11:32

Als het een DDos aanval was geweest tegen geenstijl, dan was de nieuwe server (de uitwijk) ook aangevallen lijkt me, dus mogelijk toch een technische fout?

AW_Bos

@kritischelezer • 11 februari 2015 12:01

Die kwam volgens een traceroute uit bij Tumblr

kritischelezer @AW_Bos • 11 februari 2015 13:04

Ja las het later ook...

Adze @Verwijderd • 11 februari 2015 10:17

Het droppen van DDoS verkeer is het probleem niet. Je pijp is echter dan nog steeds vol en helpt je dus geen meter verder. Er zijn wel DDoS oplossingen, maar vaak helpen deze niets als je ze in je eigen netwerk plaatst en je uplinks vol zitten.

Rataplan_ @Adze • 11 februari 2015 10:20

Daarom doe je dat bij de bron op de transits. Je maakt een 0-route voor de IP range aan de kant van de transit, bijvoorbeeld met BGP of betere methoden. Je pijp blijft dan ook leeg (van ddos verkeer althans). Blokkeren aan de kant van het datacenter heeft inderdaad weinig zin; je fibers naar de exchange zitten dan nog steeds helemaal vol.

[Reactie gewijzigd door Rataplan_ op 22 juli 2024 16:00]

Verwijderd @Adze • 11 februari 2015 10:19

Subnetten herrouteren naar andere routers, of denk je dat ieder blok/ip appart wordt aangevallen? Je kan zelfs wat hulp inroepen en je verkeer laten filteren door een 100Gb ams-ix pijp met "wat" hardware erachter, gewoon je BGP aanpassen.

Op dit item kan niet meer gereageerd worden.

Sites Rijksoverheid en Telfort lagen dinsdag plat door ddos-aanval

Lees meer

IT-banen

Reacties (106)

Sorteer op:

Weergave: