Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties, 28.554 views •

Een tien- of twintigtal klanten van Ziggo ligt onder vuur van ddos'ers, waardoor een groter aantal klanten last ondervindt van problemen bij het internetten en bellen. De ddos'ers zijn al enkele dagen bezig, maar de aanvallen zijn sinds vrijdagmorgen heviger.

Diverse klanten klagen op Twitter over problemen met zakelijke internetverbindingen van Ziggo. Volgens Ziggo-woordvoerder Gradus Vos is dat het gevolg van een ddos-aanval op een klein aantal klanten, die ook gevolgen heeft voor andere klanten. "Als gevolg van de aanval loopt op bepaalde systemen het geheugen vol", aldus Vos. "Daardoor worden verbindingen vertraagd en daar hebben ook andere klanten last van."

De aanval vindt volgens Vos plaats op tien tot twintig Ziggo-klanten. "De aanval is heel specifiek op die klanten gericht", zegt Vos. Om wat voor bedrijven het gaat die nu het doelwit zijn geworden, wil hij niet aangeven. Wel wil Vos kwijt dat de aanval wordt uitgevoerd vanaf ip-adressen van over de hele wereld, wat het afvangen van de aanval moeilijker maakt. "En je kunt niet oneindig capaciteit bijschakelen", zegt Vos.

Hoeveel klanten precies last hebben van de aanval, is niet geheel duidelijk, maar Vos schat dat het om circa vijftienhonderd klanten gaat. Die klanten ondervinden al enkele dagen af en toe problemen, maar sinds vrijdagmorgen is de aanval heviger en zijn de problemen dus ook verergerd. "Ze hebben wel internet, maar de verbindingen zijn langzaam", aldus de woordvoerder. Ook telefonie werkt daardoor slechter: telefoongesprekken gaan over het ip-netwerk.

Reacties (78)

Reactiefilter:-178070+147+24+30
Moderatie-faq Wijzig weergave
Mijn bedrijf heeft hier ook last van. De berichtgeving is echt onzin, de halve week liggen we er al om de haverklap uit, dat is niet alleen vandaag zo. Verder gaf men na heel veel bellen aan dat er een probleem zit in het vmware cluster wat voor encryptie naar die junipers zorgt en dat ze vmware consultants op locatie hebben omdat ze het probleem zelf niet kunnen oplossen.

- Is het dan een ddos attack? Lekker makkelijk om te roepen, niemand kan het onderzoeken of aantonen. Zoals veel andere posters al aangeven: als een van de grootste ISP's van Nederland met specialistische apparatuur zou je dit direct in de gaten moeten hebben.

- Waarom is er helemaal geen communicatie naar klanten? Dit zijn lijnen specifiek voor bedrijven, misschien handig om juist dat soort klanten goed te informeren. Ik lees nu op tweakers dat er een DDOS attack gaande is, terwijl ik als klant helemaal niets heb gehoord.

[Reactie gewijzigd door hub0 op 25 januari 2013 17:48]

Begrijpelijk uiteraard. Mocht dit nieuws op waarheid berusten zou ik als bedrijf een klacht indienen. Je hoort juist als zakelijke klant op de hoogte gehouden worden.
Bij mij werd vertelt dat het om een zogenaamde Concentrator zou gaan, die het niet goed deed:

Bij Ziggo is de Concentrator defect. De afgelopen dagen hebben ze geprobeerd met printplaatwisselingen en software aanpassingen het probleem op te lossen. Dat is mislukt. Nu kiest men ervoor een ouder typer Concentrator aan te voeren en klant voor klant aan te gaan sluiten. Dat betekent dat de problematiek van de internet verbindingen waarschijnlijk vandaag en het weekend zal voortduren. De CPU schiet steeds naar 100% bij hen en dat betekent dat de dataverwerking het niet meer aan kan. De reden is voor hen onbekend.

Als ik al deze commentaren lezen, dan hebben ze van alles geprobeerd of iedere helpdesk medewerker vertelt gewoon een 'geloofwaardig' verhaal. Zo ook diegene die het persbericht over de DDOS aanval verspreid.

Wat is nu waar?
Ik begin het inmiddels goed beu te worden. Ben na jaren bij XS4all een paar maanden geleden naar Ziggo overgestapt omdat xs4all alleen maar een 6mbit lijntje kon leveren (ik woon vlakbij Leiden nota bene, in hartje randstad). Ondanks een slome lijn nooit problemen gehad, dus dit is wel een koude douche! (wel snel, als het werkt, moet ik toegeven)

Overigens zet ik mijn vraagtekens bij dat hele DDOS verhaal, mij iets te gemakkelijk... En dan later als de 99,7% van de SLA niet gehaald wordt lag het zeker 'niet aan ons'. Hier heb ik geen zakelijk abonnement voor genomen! Mijn websites liggen nu al drie dagen af en aan op hun gat! Mijn Voip lijnen liggen plat! Zo kan ik geen business draaien...!

Waarom geloven we allemaal zo snel dat wat via de media verkocht word als de oorzaak (want geheel buiten Ziggo's schuld) terwijl we hier duidelijk een boel andere verhalen horen?

Ik heb uitgerekend dat die 99,7% als het goed is vertaald kan worden naar zo'n 25 uur downtime per jaar. Moet ik nu alle seconden optellen dat ik geen connectivity heb, of mag ik de afgelopen 3 dagen tellen dat mijn websites geen bezoekers meer hebben omdat iedereen afhaakt? Hoe bewijs je dat eigenlijk? (heb inmiddels maar een monitor trace gestart op de eerste hop 'outside')

En geen woord te vinden hierover op de zakelijke website van ZIggo, wat een WAARDELOZE communicatie! Dat er problemen zijn, OK; maar communiceer daar in ieder geval -zelf- -duidelijk- over. Leermomentje...

Nu maar snel posten, voordat mijn lijn er weer een uitklapt (want nix 'traag', de hele zaak ligt er gewoon UIT, ik kan op zo'n moment zelfs de eerste hop buiten mijn eigen Juniper niet meer pingen)

@d.drenth

Leuk advies, wel een beetje makkelijk: natuurlijk weet ik ook wel hoe ik een website hogelijk beschikbaar moet maken, en dat ik load balancers neer kan zetten, clusters bouwen, aggregaten en UPS-sen kan gebruiken; kortom in een datacenter kan hosten.

Zodra je wat services op je website wil draaien (en zeker met MS software) heb je al snel meer dan één server nodig, en dat loop echt behoorlijk in de papieren. Daar staan dus kosten tegenover, en als ZZP-er ben ik (nog) niet bereid die op te hoesten. Is je argument dat ik dan maar niets mag zeggen? Ik ben wel bereid dat risico te dragen om wat minder te betalen, als mijn bedrijfje ooit een multinational is (yeah right ;-) dan zorg ik wel dat mijn websites bij Akamai draaien.

Tot dat moment hoop ik te kunnen vertrouwen op mijn Ziggo zakelijke lijn, mijn eigen UPS en Hyper-V cluster, en zo nu en dan een korte outage. Maar niet drie dagen...

[Reactie gewijzigd door Frost_Azimov op 26 januari 2013 11:17]

Als je websites plat liggen heb je het gewoon slecht voor elkaar. Sowieso is een kantoor / huis locatie niet geschikt voor het hosten van websites. Dit op basis van alle vlakken verbindingen / electriciteit / etc.

Zeg niet dat je dit goed voor elkaar hebt, want als dit het geval was had je nu geen probleem.

Advies: zet je servers voor websites altijd in datacenter neer.

Dat de Ziggo verbinding niet werkt is natuurlijk ook erg slecht en moet niet kunnen, maar het blijft altijd een risico als je op 1 paard moet wedden.
Schijnbaar heb je pas de afgelopen drie dagen hier last van. Dit kun je zeker aankaarten bij Ziggo.
Ik ben al jaren klant bij Ziggo en dit is de eerste keer dat ik wat vertraging merk.

Dus ik vermoed dat de ddos aanvallen kloppen. Ik heb namelijk nooit problemen en dat wil ik zo houden.
De bewuste klanten een nieuw IP-adres in een nieuw subnet geven, oude IP-adressen nullrouten en opgelost. Hoe moeilijk kan het zijn?
Dan heeft de DDoS-er dus precies bereikt wat hij wil. Dus wat je zegt is prima, werkt als een trein, maar heeft wel een nadeel. Het zijn zakelijke verbindingen. DNS entries moeten gewijzigd worden etc. Ik zou er niet blij van worden als mijn provider dat zou doen voor me. En als het ong 1500 klanten zijn, waarbij de verbinding traag wordt.... Moet je even voorstellen hoe je dat zou moeten filteren met een firewall? ik denk dat je dan een aardig vuurmuurtje nodig hebt. (Zeker 1 met meerdere 10G interfaces, om genoeg bandbreedte over te houden)
@ Hieronder: null routen doe je op je destination, niet op de source. Dan doe je iets wat niet lukt En niet hoort. Je moet dan immers die ip reeks adverteren in je routing table dat is een zgn BGP hijack. Tegenwoordig zou dat niet meer moeten kunnen, omdat er steeds meer gebruikt wordt gemaakt van bepaalde filters AS filters. Dat zorgt ervoor dat het (gelukkig) steeds lastiger is om te spoofen (ip reeks van iemand anders aankondigen)
Als je de nexthop dan niet meer kan pingen, ben je waarsch naar 0 gerouteerd.

[Reactie gewijzigd door Kabouterplop01 op 26 januari 2013 10:55]

Antwoord @ISPI: heel moeilijk.

Het gaat om Ziggo Zakeleijk "Internet Plus" lijnen.

Dit zijn zakelijke lijnen met elk een eigen Juniper router (bij de klant) die wordt aangestuurd door een Juniper concentrator (bij Ziggo). Elke lijn heeft een eigen IP blok, waarop diverse diensten (naar binnen) gedraaid kunnen worden. Denk aan eigen mailservers, webservers, VPNs, etc etc.

Eventjes omnummeren is dus niet te doen. Dat zou nog meer stuk maken en zeer boze klanten opleveren die toch liever een brakke verbinding hebben dan geen verbinding.

Zelf hebben wij op twee lokaties deze lijnen. Knap waardeloos dat we al drie dagen enorme last van deze problemen ondervinden. Het is zo erg dat we momenteel via een ADSL backuplijn het internet op gaan om nog een beetje te kunnen werken. VPNs etc... forget it...

Maar goed, Ze zijn er bij Ziggo nu pas achter dat de oorzaak een DDOS aanval is. Het bevreemdt mij dat het zo lang heeft geduurd om dit te ontdekken.

@cheapElectronic

We zijn een klein gespecialiceerd bureau, geen multinational. Helaas is er hier, net als in het grootste gedeelte van het land, geen betaalbare fiber. Ziggo zakelijk is tot nu toe altijd een zeer betrouwbare partner gebleken, die voor een eerlijke prijs een stabiele verbinding levert met alle extra's die ik boven beschreef.

[Reactie gewijzigd door Luke Roberts op 25 januari 2013 21:05]

Kerel, wat zeg jij nu allemaal? Dit zijn geen consumentenlijntjes maar vooral dedicated lijnen.

Ziggo Zakelijk is geen slechte partner maar daar betaal je dan ook voor. Elke garantie heeft zijn prijs. Het is heel jammer dat ze nu problemen hebben maar hou jij maar eens een grote DDOS op je netwerk tegen zonder te nullrouten.
bot gezegt bandbreedte als er geen fiber verbindingen mogelijk zijn ... dan is docsis by far de optie met de hoogste cap.. dat er niet meer dan 1 cable provider is ligt niet aan hun bedrijf, en fiber aan laten leggen is veelal heel erg duur...

je zult er maar last van hebben, ik ben blij dat hier fiber ligt... ik zou nooit zonder willen en kunnen
Zorgen ze ook dan dat hun mail, ftp en andere servers ook gereroute worden? Zakelijke klanten krijgen doorgaans een vast IP.
Daar komen de DDOSers snel achter natuurlijk, de DNS records moeten weer naar dat nieuwe subnet verwijzen. Je kan altijd gewoon de stekker eruit trekken, maar dan hebben de DDOSers hun doel bereikt.

[Reactie gewijzigd door Dreamvoid op 25 januari 2013 16:04]

Die bedrijven hebben vaak een aantal services draaien, en daarom een bepaald ip-adres. Dit zal dus niet zo snel te wijzigen zijn. Maar bij een aanhoudende aanval zou dat inderdaad wel overwegen moeten worden. imho.

Zit nu ook over een ziggozakelijk verbinding. Gaat prima hier.
Niet vergeten DNS om te zetten naar je nieuwe IP voor eventuele diensten (http/smtp/whatever).
Zakelijk ligt dit wel wat anders natuurlijk.. Wat nou als je in-house critical servers hebt draaien die ook publiek beschikbaar moeten zijn. Site-to-Site VPN verbindingen? Etc. Etc.. het verbaast mij meer dat Ziggo deze DDOS aanvallen niet kan blokkeren via hun firewalls.. Packet flood protections?
Nullrouten wordt lastig als het veel verschillende adressen over de hele wereld zijn. Ook is het moeilijk om zakelijke klanten een nieuwe ipranges te geven omdat apparatuur bij deze klanten vaak is afgesteld op een bepaalde range. Vandaar dat Ziggo ook al een aantal dagen kampt met deze problemen...
Zakelijke klanten nemen vaak een vast IP af. Zo makkelijk gaat dit dus niet lijkt me. In ieder geval niet zonder dit met de klanten te overleggen, welke dan ook maatregelen moeten nemen om DNS en andere services aan te passen. (En als de aanval op DNS wordt uitgevoerd voor die specifieke klant los je er nog niets mee op).
Vaak doen de aanvallers al een aanval naar een specifiek domeinnaam die verwijst naar het juiste ip-adres. Veranderd het ip-adres welke gekoppeld is aan een domeinnaam, dan gaat de aanval dus probleemloos verder naar het nieuwe ip-adres.

Jou aangehaalde oplossing gebruikte ze jaren geleden al toen veel IRC Servers onder vuur lagen, de DDos'ers gingen vervolgens niet veel later gewoon aanvallen op irc.domein.ext. Dat is ook de reden waarom de meeste server boeren geen IRC's meer in hun netwerk accepteren.
Waarom denk je dat er aangevallen wordt op IP adres en niet op bijv de MX of A record van het bedrijf? Die uiteraard mee moet veranderen als het IP wijzigt?

Nog afgezien van hoe makkelijk het is voor het botnet om mid-stream een ander IP in te geven.
Eén van de voorwaarden van Ziggo zakelijk zijn juist vast toegekende IP-adressen.
Je kunt niet zomaar eventjes een nieuw IP-adres naar een bestaande verbinding pushen. Dan moet de boel eerst disconnecten, en dat is iets dat de klant alleen zelf kan doen. En dan werkt dat alleen nog met een niet-vast IP-adres.
Het *hoeft* niet moeilijk te zijn, ook niet als je degene bent die de DDoS voor de kiezen krijgt. Vaak is een MAC address aanpassing op je netwerkkaart / router al voldoende.

In elk geval ben ik 1 van de weinigen die gister aaf 'last' ondervond van een DDoS op mijn IP adres. 100 Mbit kreeg ik voor de kiezen (van de 120 beschikbaar op de lijn), gedurende 1.5 tot 2 uur lang. Ik kwam er eigenlijk achter doordat de router geen verbinding meer gaf en een interne ping > 20 ms gaf. Na de verbinding op mijn computer aangesloten te hebben (en het MAC adres te hebben gekopiëerd van de router, ik behoud graag mijn IP adres), kwam er inderdaad op poort 21 een waterval van data naar binnen.

Aangezien de data geen bestemming had (geen poort 21 open in elk geval) werd het gewoon discarded en kon ik verder zonder problemen op het internet. Na een tijd hield het wel op, maar wel na de nodige aantal GB's die het apparaatje te verduren kreeg :)
De beste stuurlui staan aan wal. Ik denk dat een provider als Ziggo weet wat ze in een dergelijk geval moeten doen. Als het echt zo eenvoudig was, dan was het wel al opgelost.
De beste stuurlui staan aan wal. Ik denk dat een provider als Ziggo weet wat ze in een dergelijk geval moeten doen.
Ik vrees met grote vrezen dat ze niet goed met deze situatie omgaan, want eerder deze week beweerde Ziggo dat het om een defecte kaart zou gaan, gisteren heb ik ze gemaild over problemen en kreeg ik geen reactie, vandaag gemaild over problemen en weer geen reactie en op de storingspagina staat niets vermeld over dit probleem.
Het is dat ik even op nu.nl kijk en lees dat het om een DDos gaat.
Waarom communiceert Ziggo dat niet naar hun klanten?
Ik zit niet voor een dubbeltje op de eerste rang, want je betaalt flink bij Ziggozakelijk, mag ik dan iets meer verwachten?

Toevoeging, antwoord van Ziggo:
Er zijn op dit moment inderdaad problemen in uw regio met de junipers.
De storing loopt in principe al vanaf afgelopen dinsdag.
Ik begrijp dat u hinder ondervindt en wij doen er ook alles aan om de problemen op te lossen.
Het kan zijn dat wij uw mail direct doorgezet hebben naar onze klachtenafdeling, zij streven er ook na om alle mail zo snel mogelijk te beantwoorden.
Mijn vraag is dan ook of ik een mobiel nummer van u mag noteren, zodat wij die op onze sms lijst kunnen zetten en u zo kunnen informeren over de storing.

1. Ik ben klant en heb altijd mijn adres in de signature staan, dus ze kunnen me opzoeken, dus kunnen ze aan mijn nummer komen.
2. Op de contactpagina moet je je nummer achterlaten.

Waarom vragen ze dan nu opeens om mijn nummer?

[Reactie gewijzigd door ASS-Ware op 25 januari 2013 17:54]

Da's niet helemaal waar. Ik ben elke dag :D keurig per sms op de hoogte gehouden door Ziggo. Vanmiddag meldden ze overigens pas voor het eerst dat het om een ddos aanval ging. Al op de eerste dag kon ik mijn 06 nummer achterlaten omdat ik op de hoogte gehouden wilde worden.
Da's niet helemaal waar. Ik ben elke dag :D keurig per sms op de hoogte gehouden door Ziggo.
Dus omdat jij op de hoogte bent gehouden is wat ik zeg niet waar?
Dus het is niet waar dat ze mij van de week vertelden dat het om een defecte kaart ging en is het niet waar dat de storing niet op hun eigen storingspagina te vinden is?
Mijn vraag is dan ook of ik een mobiel nummer van u mag noteren, zodat wij die op onze sms lijst kunnen zetten en u zo kunnen informeren over de storing.

1. Ik ben klant en heb altijd mijn adres in de signature staan, dus ze kunnen me opzoeken, dus kunnen ze aan mijn nummer komen.
2. Op de contactpagina moet je je nummer achterlaten.

Waarom vragen ze dan nu opeens om mijn nummer?
Ze vragen of ze je/een nummer mogen gebruiken om je op de hoogte te houden. Mogelijk is dit een nummer van je netwerkbeheerder, of een storingstelefoon; een ander nummer dan wat je ingevuld hebt. Misschien voor jou hetzelfde nummer, maar voor een ander niet.

Als ze klakkeloos smsjes naar nummers gaan sturen klagen er weer een hoop anderen. Sorry, maar ik vind het netjes dat ze het vragen voordat ze gaan 'spammen'.
Nee ze weten er al van staat er, maar het is nu heviger geworden.

In de tekst staat:
De ddos'ers zijn al enkele dagen bezig, maar de aanvallen zijn sinds vrijdagmorgen heviger.

Beter lezen dus.
misschien moet je dit even naar ze twitter of erover bellen als ze het serieus nemen word het probleem mischien sneller verholpen
Maar eh, het duurt al een paar dagen, maar ondertussen doet Ziggo niets? 1500 klanten die niets kunnen/hinder hebben vanwege 20 klanten? Zouden jij en ik eens bij onze baas moeten vertellen dat we 99% van de klanten in de steek laten omdat 1% voor een probleem zorgt.
Ziggo doet wel iets, maar ze geven aan dat de aanvallen van over de hele wereld komen en dat ze dit moeilijk kunnen opvangen.
Vertel jij Ziggo dan even hoe je het oplost.
misschien lichtelijk offtopic maar weet iemand welke bedrijven het doelwit zijn ?
Ik ben eigenlijk er nieuwgierig om welk type bedrijven het nu gaat! (EDIT: helios vroeg dit dus ook al...)
Wat is daar zo geheimzinnig aan?

Wij hebben overigens hier ook erg veel(meer) last van sinds vanmorgen, maar als Ziggo ineens de boel om zou gooien dan wordt het inderdaad een groter probleem...

[Reactie gewijzigd door BAMMER op 25 januari 2013 16:11]

Het vervelende van ziggo Zakelijk is dat ze problemen eerst ontkennen, vervolgens oplossen en hierover vooral niet communiceren. Zodat je pas uren later als zakelijke klant er achter komt dat je zelf je Juniper router moet resetten; kunnen ze dat niet zelf op afstand na een storing?
Wij (oud hoorn.nl) hebben sinds een paar maanden Ziggo en het heeft er al vaak uit gelegen ook de upload is regelmatig niet conform specificatie.
Nu moet we de afwijkingen gaan loggen om Ziggo te overtuigen van eigen falen. Terwijl we ondertussen door gemis van internet als organisatie verlies lijden door demotivatie van vrijwilligers (weer geen ... online).
probleem bij zo,n aanval is dat je eerst moet onderzoeken wat er gebeurd. Dus de oozaak nog niet vertellen betekend niet ontkennen. maar kenelijk heb jij er meer verstand van.
Vanmiddag hadden wij uitval van de internetlijn, en de hele week al trage systemen. Alles gaat van ons kantoor naar 't data center over een Site2site verbinding. Dit verklaart perfect waarom het zo ruk is, en vanmiddag eruit lag.
Hopelijk is het snel over.

Edit:
@Fixio:
Omdat een paar klanten worden aangevallen, heeft de rest last van het overbelaste netwerk. De core routers van Ziggo moet al het verkeer verwerken. Als je in dezelfde plaats gehuisvest bent als een die aangevallen wordt, heb je er last van. Je hoeft geen doelwit te zijn hiervoor.

[Reactie gewijzigd door Hero of Time op 25 januari 2013 16:21]

ook niet-zakelijke klanten hebben er last van. gisteren en eergisteren downloadspeeds van 14mbit ipv 80. Vandaag liep speedtest.net zelfs vast in een errormelding vanwege communicatieproblemen...
Zojuist me eigen ip even vanaf werk proberen te pingen met maximale time-out van cmd en nogsteeds request time out, dus ja ook niet zakelijke gebruikers hebben er zeker last.

ik blijf denk ik maar op werk als 32 bytes al langer dan 5 seconden duren :s
Vreemd dat zo'n grote provider geen Arbor apparatuur heeft staan om DDOS mitigation uit te voeren.

Die dingen kunnen een DDOS vrij eenvoudig onschadelijk maken, normaal gesproken.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True