Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 78, views: 28.284 •

Een tien- of twintigtal klanten van Ziggo ligt onder vuur van ddos'ers, waardoor een groter aantal klanten last ondervindt van problemen bij het internetten en bellen. De ddos'ers zijn al enkele dagen bezig, maar de aanvallen zijn sinds vrijdagmorgen heviger.

Diverse klanten klagen op Twitter over problemen met zakelijke internetverbindingen van Ziggo. Volgens Ziggo-woordvoerder Gradus Vos is dat het gevolg van een ddos-aanval op een klein aantal klanten, die ook gevolgen heeft voor andere klanten. "Als gevolg van de aanval loopt op bepaalde systemen het geheugen vol", aldus Vos. "Daardoor worden verbindingen vertraagd en daar hebben ook andere klanten last van."

De aanval vindt volgens Vos plaats op tien tot twintig Ziggo-klanten. "De aanval is heel specifiek op die klanten gericht", zegt Vos. Om wat voor bedrijven het gaat die nu het doelwit zijn geworden, wil hij niet aangeven. Wel wil Vos kwijt dat de aanval wordt uitgevoerd vanaf ip-adressen van over de hele wereld, wat het afvangen van de aanval moeilijker maakt. "En je kunt niet oneindig capaciteit bijschakelen", zegt Vos.

Hoeveel klanten precies last hebben van de aanval, is niet geheel duidelijk, maar Vos schat dat het om circa vijftienhonderd klanten gaat. Die klanten ondervinden al enkele dagen af en toe problemen, maar sinds vrijdagmorgen is de aanval heviger en zijn de problemen dus ook verergerd. "Ze hebben wel internet, maar de verbindingen zijn langzaam", aldus de woordvoerder. Ook telefonie werkt daardoor slechter: telefoongesprekken gaan over het ip-netwerk.

Reacties (78)

De bewuste klanten een nieuw IP-adres in een nieuw subnet geven, oude IP-adressen nullrouten en opgelost. Hoe moeilijk kan het zijn?
Zorgen ze ook dan dat hun mail, ftp en andere servers ook gereroute worden? Zakelijke klanten krijgen doorgaans een vast IP.
Daar komen de DDOSers snel achter natuurlijk, de DNS records moeten weer naar dat nieuwe subnet verwijzen. Je kan altijd gewoon de stekker eruit trekken, maar dan hebben de DDOSers hun doel bereikt.

[Reactie gewijzigd door Dreamvoid op 25 januari 2013 16:04]

Die bedrijven hebben vaak een aantal services draaien, en daarom een bepaald ip-adres. Dit zal dus niet zo snel te wijzigen zijn. Maar bij een aanhoudende aanval zou dat inderdaad wel overwegen moeten worden. imho.

Zit nu ook over een ziggozakelijk verbinding. Gaat prima hier.
Niet vergeten DNS om te zetten naar je nieuwe IP voor eventuele diensten (http/smtp/whatever).
misschien moet je dit even naar ze twitter of erover bellen als ze het serieus nemen word het probleem mischien sneller verholpen
De beste stuurlui staan aan wal. Ik denk dat een provider als Ziggo weet wat ze in een dergelijk geval moeten doen. Als het echt zo eenvoudig was, dan was het wel al opgelost.
Nee ze weten er al van staat er, maar het is nu heviger geworden.

In de tekst staat:
De ddos'ers zijn al enkele dagen bezig, maar de aanvallen zijn sinds vrijdagmorgen heviger.

Beter lezen dus.
De beste stuurlui staan aan wal. Ik denk dat een provider als Ziggo weet wat ze in een dergelijk geval moeten doen.
Ik vrees met grote vrezen dat ze niet goed met deze situatie omgaan, want eerder deze week beweerde Ziggo dat het om een defecte kaart zou gaan, gisteren heb ik ze gemaild over problemen en kreeg ik geen reactie, vandaag gemaild over problemen en weer geen reactie en op de storingspagina staat niets vermeld over dit probleem.
Het is dat ik even op nu.nl kijk en lees dat het om een DDos gaat.
Waarom communiceert Ziggo dat niet naar hun klanten?
Ik zit niet voor een dubbeltje op de eerste rang, want je betaalt flink bij Ziggozakelijk, mag ik dan iets meer verwachten?

Toevoeging, antwoord van Ziggo:
Er zijn op dit moment inderdaad problemen in uw regio met de junipers.
De storing loopt in principe al vanaf afgelopen dinsdag.
Ik begrijp dat u hinder ondervindt en wij doen er ook alles aan om de problemen op te lossen.
Het kan zijn dat wij uw mail direct doorgezet hebben naar onze klachtenafdeling, zij streven er ook na om alle mail zo snel mogelijk te beantwoorden.
Mijn vraag is dan ook of ik een mobiel nummer van u mag noteren, zodat wij die op onze sms lijst kunnen zetten en u zo kunnen informeren over de storing.

1. Ik ben klant en heb altijd mijn adres in de signature staan, dus ze kunnen me opzoeken, dus kunnen ze aan mijn nummer komen.
2. Op de contactpagina moet je je nummer achterlaten.

Waarom vragen ze dan nu opeens om mijn nummer?

[Reactie gewijzigd door ASS-Ware op 25 januari 2013 17:54]

Da's niet helemaal waar. Ik ben elke dag :D keurig per sms op de hoogte gehouden door Ziggo. Vanmiddag meldden ze overigens pas voor het eerst dat het om een ddos aanval ging. Al op de eerste dag kon ik mijn 06 nummer achterlaten omdat ik op de hoogte gehouden wilde worden.
Da's niet helemaal waar. Ik ben elke dag :D keurig per sms op de hoogte gehouden door Ziggo.
Dus omdat jij op de hoogte bent gehouden is wat ik zeg niet waar?
Dus het is niet waar dat ze mij van de week vertelden dat het om een defecte kaart ging en is het niet waar dat de storing niet op hun eigen storingspagina te vinden is?
Mijn vraag is dan ook of ik een mobiel nummer van u mag noteren, zodat wij die op onze sms lijst kunnen zetten en u zo kunnen informeren over de storing.

1. Ik ben klant en heb altijd mijn adres in de signature staan, dus ze kunnen me opzoeken, dus kunnen ze aan mijn nummer komen.
2. Op de contactpagina moet je je nummer achterlaten.

Waarom vragen ze dan nu opeens om mijn nummer?
Ze vragen of ze je/een nummer mogen gebruiken om je op de hoogte te houden. Mogelijk is dit een nummer van je netwerkbeheerder, of een storingstelefoon; een ander nummer dan wat je ingevuld hebt. Misschien voor jou hetzelfde nummer, maar voor een ander niet.

Als ze klakkeloos smsjes naar nummers gaan sturen klagen er weer een hoop anderen. Sorry, maar ik vind het netjes dat ze het vragen voordat ze gaan 'spammen'.
Zakelijk ligt dit wel wat anders natuurlijk.. Wat nou als je in-house critical servers hebt draaien die ook publiek beschikbaar moeten zijn. Site-to-Site VPN verbindingen? Etc. Etc.. het verbaast mij meer dat Ziggo deze DDOS aanvallen niet kan blokkeren via hun firewalls.. Packet flood protections?
Nullrouten wordt lastig als het veel verschillende adressen over de hele wereld zijn. Ook is het moeilijk om zakelijke klanten een nieuwe ipranges te geven omdat apparatuur bij deze klanten vaak is afgesteld op een bepaalde range. Vandaar dat Ziggo ook al een aantal dagen kampt met deze problemen...
Zakelijke klanten nemen vaak een vast IP af. Zo makkelijk gaat dit dus niet lijkt me. In ieder geval niet zonder dit met de klanten te overleggen, welke dan ook maatregelen moeten nemen om DNS en andere services aan te passen. (En als de aanval op DNS wordt uitgevoerd voor die specifieke klant los je er nog niets mee op).
Antwoord @ISPI: heel moeilijk.

Het gaat om Ziggo Zakeleijk "Internet Plus" lijnen.

Dit zijn zakelijke lijnen met elk een eigen Juniper router (bij de klant) die wordt aangestuurd door een Juniper concentrator (bij Ziggo). Elke lijn heeft een eigen IP blok, waarop diverse diensten (naar binnen) gedraaid kunnen worden. Denk aan eigen mailservers, webservers, VPNs, etc etc.

Eventjes omnummeren is dus niet te doen. Dat zou nog meer stuk maken en zeer boze klanten opleveren die toch liever een brakke verbinding hebben dan geen verbinding.

Zelf hebben wij op twee lokaties deze lijnen. Knap waardeloos dat we al drie dagen enorme last van deze problemen ondervinden. Het is zo erg dat we momenteel via een ADSL backuplijn het internet op gaan om nog een beetje te kunnen werken. VPNs etc... forget it...

Maar goed, Ze zijn er bij Ziggo nu pas achter dat de oorzaak een DDOS aanval is. Het bevreemdt mij dat het zo lang heeft geduurd om dit te ontdekken.

@cheapElectronic

We zijn een klein gespecialiceerd bureau, geen multinational. Helaas is er hier, net als in het grootste gedeelte van het land, geen betaalbare fiber. Ziggo zakelijk is tot nu toe altijd een zeer betrouwbare partner gebleken, die voor een eerlijke prijs een stabiele verbinding levert met alle extra's die ik boven beschreef.

[Reactie gewijzigd door Luke Roberts op 25 januari 2013 21:05]

bot gezegt bandbreedte als er geen fiber verbindingen mogelijk zijn ... dan is docsis by far de optie met de hoogste cap.. dat er niet meer dan 1 cable provider is ligt niet aan hun bedrijf, en fiber aan laten leggen is veelal heel erg duur...

je zult er maar last van hebben, ik ben blij dat hier fiber ligt... ik zou nooit zonder willen en kunnen
Kerel, wat zeg jij nu allemaal? Dit zijn geen consumentenlijntjes maar vooral dedicated lijnen.

Ziggo Zakelijk is geen slechte partner maar daar betaal je dan ook voor. Elke garantie heeft zijn prijs. Het is heel jammer dat ze nu problemen hebben maar hou jij maar eens een grote DDOS op je netwerk tegen zonder te nullrouten.
Vaak doen de aanvallers al een aanval naar een specifiek domeinnaam die verwijst naar het juiste ip-adres. Veranderd het ip-adres welke gekoppeld is aan een domeinnaam, dan gaat de aanval dus probleemloos verder naar het nieuwe ip-adres.

Jou aangehaalde oplossing gebruikte ze jaren geleden al toen veel IRC Servers onder vuur lagen, de DDos'ers gingen vervolgens niet veel later gewoon aanvallen op irc.domein.ext. Dat is ook de reden waarom de meeste server boeren geen IRC's meer in hun netwerk accepteren.
Waarom denk je dat er aangevallen wordt op IP adres en niet op bijv de MX of A record van het bedrijf? Die uiteraard mee moet veranderen als het IP wijzigt?

Nog afgezien van hoe makkelijk het is voor het botnet om mid-stream een ander IP in te geven.
Eťn van de voorwaarden van Ziggo zakelijk zijn juist vast toegekende IP-adressen.
Je kunt niet zomaar eventjes een nieuw IP-adres naar een bestaande verbinding pushen. Dan moet de boel eerst disconnecten, en dat is iets dat de klant alleen zelf kan doen. En dan werkt dat alleen nog met een niet-vast IP-adres.
Dan heeft de DDoS-er dus precies bereikt wat hij wil. Dus wat je zegt is prima, werkt als een trein, maar heeft wel een nadeel. Het zijn zakelijke verbindingen. DNS entries moeten gewijzigd worden etc. Ik zou er niet blij van worden als mijn provider dat zou doen voor me. En als het ong 1500 klanten zijn, waarbij de verbinding traag wordt.... Moet je even voorstellen hoe je dat zou moeten filteren met een firewall? ik denk dat je dan een aardig vuurmuurtje nodig hebt. (Zeker 1 met meerdere 10G interfaces, om genoeg bandbreedte over te houden)
@ Hieronder: null routen doe je op je destination, niet op de source. Dan doe je iets wat niet lukt En niet hoort. Je moet dan immers die ip reeks adverteren in je routing table dat is een zgn BGP hijack. Tegenwoordig zou dat niet meer moeten kunnen, omdat er steeds meer gebruikt wordt gemaakt van bepaalde filters AS filters. Dat zorgt ervoor dat het (gelukkig) steeds lastiger is om te spoofen (ip reeks van iemand anders aankondigen)
Als je de nexthop dan niet meer kan pingen, ben je waarsch naar 0 gerouteerd.

[Reactie gewijzigd door Kabouterplop01 op 26 januari 2013 10:55]

Het *hoeft* niet moeilijk te zijn, ook niet als je degene bent die de DDoS voor de kiezen krijgt. Vaak is een MAC address aanpassing op je netwerkkaart / router al voldoende.

In elk geval ben ik 1 van de weinigen die gister aaf 'last' ondervond van een DDoS op mijn IP adres. 100 Mbit kreeg ik voor de kiezen (van de 120 beschikbaar op de lijn), gedurende 1.5 tot 2 uur lang. Ik kwam er eigenlijk achter doordat de router geen verbinding meer gaf en een interne ping > 20 ms gaf. Na de verbinding op mijn computer aangesloten te hebben (en het MAC adres te hebben gekopiŽerd van de router, ik behoud graag mijn IP adres), kwam er inderdaad op poort 21 een waterval van data naar binnen.

Aangezien de data geen bestemming had (geen poort 21 open in elk geval) werd het gewoon discarded en kon ik verder zonder problemen op het internet. Na een tijd hield het wel op, maar wel na de nodige aantal GB's die het apparaatje te verduren kreeg :)
Zolang er nog enige verbinding is, is het nog geen groot probleem. Pas als er totaal geen verbinding meer mogelijk is, wordt het vervelend.
Ik voel een aandeel dat zal zakken na dit soort nieuws. :+
"Tien tot twintig" aandelen :)
misschien lichtelijk offtopic maar weet iemand welke bedrijven het doelwit zijn ?
Uhm, iig waar ik werk, matcht precies met problemen en tijdsduur van dit fenomeen.
Ja, en is het bedrijf waar jij werkt het bedrijf dat onder vuur ligt of gewoon het bedrijf dat slachtoffer is ?

Lijkt mij niet dat iedere willekeurige werknemer even het modem in kan/mag om dat even na te kijken dus is het giswerk. Kan maar goed zijn dat jullie hooguit de dupe zijn en zelf niet onder vuur liggen.
Ik ben eigenlijk er nieuwgierig om welk type bedrijven het nu gaat! (EDIT: helios vroeg dit dus ook al...)
Wat is daar zo geheimzinnig aan?

Wij hebben overigens hier ook erg veel(meer) last van sinds vanmorgen, maar als Ziggo ineens de boel om zou gooien dan wordt het inderdaad een groter probleem...

[Reactie gewijzigd door BAMMER op 25 januari 2013 16:11]

Het vervelende van ziggo Zakelijk is dat ze problemen eerst ontkennen, vervolgens oplossen en hierover vooral niet communiceren. Zodat je pas uren later als zakelijke klant er achter komt dat je zelf je Juniper router moet resetten; kunnen ze dat niet zelf op afstand na een storing?
Wij (oud hoorn.nl) hebben sinds een paar maanden Ziggo en het heeft er al vaak uit gelegen ook de upload is regelmatig niet conform specificatie.
Nu moet we de afwijkingen gaan loggen om Ziggo te overtuigen van eigen falen. Terwijl we ondertussen door gemis van internet als organisatie verlies lijden door demotivatie van vrijwilligers (weer geen ... online).
probleem bij zo,n aanval is dat je eerst moet onderzoeken wat er gebeurd. Dus de oozaak nog niet vertellen betekend niet ontkennen. maar kenelijk heb jij er meer verstand van.
Ik vraag me af wat ze bedoelen dat dit ook gevolgen voor andere klanten heeft. Bedoelen ze daarmee de zakelijke kant of ook gewoon de consument thuis?
Zakelijk natuurlijk want die gebruiken IP blokken, routers en hubs die specifiek voor de zakelijke markt gereserveerd zijn.
Tenslotte hoef je voor een woonwijk geen gecombineerde glasvezellijnen aan te leggen want je sluit er in je huis geen tig servers met een paar honderd IP's op aan.
In veel gevallen gaat het dan ook om dedicated 100 mbit en hoger zakelijke verbindingen.
Een industrieel park zal dan ook een 100 Gb glasvezel backbone hebben voor zakelijk verkeer.
Plus dat er maar weinig bedrijven zijn die in een woonwijk of residentieel gebied zitten en een zakelijke verbinding hebben.
Vaak zijn deze niet eens verkrijgbaar of je moet een berg extra betalen om er een aan te leggen.
Toch is er ergens een stuk gedeelde infrastructuur. Zelf heb ik namelijk het idee dat al het verkeer naar buiten Ziggo problemen heeft, ook particulier. Ik merk het met name onder steam.
Vanmiddag hadden wij uitval van de internetlijn, en de hele week al trage systemen. Alles gaat van ons kantoor naar 't data center over een Site2site verbinding. Dit verklaart perfect waarom het zo ruk is, en vanmiddag eruit lag.
Hopelijk is het snel over.

Edit:
@Fixio:
Omdat een paar klanten worden aangevallen, heeft de rest last van het overbelaste netwerk. De core routers van Ziggo moet al het verkeer verwerken. Als je in dezelfde plaats gehuisvest bent als een die aangevallen wordt, heb je er last van. Je hoeft geen doelwit te zijn hiervoor.

[Reactie gewijzigd door Hero of Time op 25 januari 2013 16:21]

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013