Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties, 45.512 views •

De woordvoerder van de Nederlandse provider Cyberbunker ontkent dat de provider betrokken is bij een aanval op spambestrijder Spamhaus. Aanvankelijk zei de woordvoerder nog dat de provider wel degelijk achter de aanval zat. De aanval was een van de grootste ddos-aanvallen ooit.

Op zijn Facebook-pagina schrijft woordvoerder Sven Olaf Kamphuis van de hostingprovider Cyberbunker dat de ddos-aanvallen niet zijn opgezet door Cyberbunker en dat de woordvoerder zelf er niets mee te maken heeft. Wel beschuldigt Cyberbunker Spamhaus ervan netneutraliteit 'aan te vallen'. Spamhaus stelt lijsten op van servers die spam zouden verzenden; die lijsten worden gebruikt door mailproviders om spam te kunnen weren.

Eerder op woensdag meldde The New York Times dat Cyberbunker achter de aanvallen zou zitten. Bovendien zou Kamphuis dat tegenover de gerenommeerde krant hebben bevestigd; hij zei volgens The New York Times dat de provider met de aanval wraak wilde plegen voor het feit dat Cyberbunker op de blacklist van Spamhaus was geplaatst. Of Kamphuis door The New York Times verkeerd is begrepen, is onduidelijk.

De aanval op Spamhaus was een van de grootste ooit, met een geschatte omvang van 300 gigabit per seconde. Het was een zogenoemde dns amplification attack, waarbij onwetende dns-servers worden ingezet om de capaciteit van de aanvallers te vergroten. Het Openbaar Ministerie is een onderzoek naar de ddos-aanval begonnen, maakte het eerder vandaag bekend.

Reacties (67)

Reactiefilter:-167062+141+22+30
Moderatie-faq Wijzig weergave
Toen ik de lijst van cbravo2 eens wat ging onderzoeken kwam ik er achter dat ze niet alleen in de Spamblock SBL staan (dat is de Spamhaus Block List, lijst met IP adressen van spambronnen) maar ook in de DROP list:

Uit mijn eigen log:
spamhaus:Denying 84.22.96.0/19 (SpamHaus DROP block)
spamhaus:Denying 205.189.71.0/24 (SpamHaus DROP block)
spamhaus:Denying 205.189.72.0/23 (SpamHaus DROP block)
De DROP lijst is vanochtend om 4 uur opgehaald en is dus recent.

Dus het is wel iets erger dan dat (volgens Spamhaus dan). De DROP list (Don't Route Or Peer) is een separate lijst waar IP adressen op staan die gestolen zijn. Volgens Spamhaus zijn de adressen die genoemd worden in die lijst dus niet het eigendom van CB3ROB. De DROP en SBL lijsten zijn (volgens Spamhaus) onafhankelijk van elkaar. Spamhaus adviseert om IP adressen in de DROP lijst niet te behandelen of te routeren (m.a.w. het hele adres blacklisten), voor SBL is het advies om alleen geen e-mail van die adressen te accepteren.

Ik heb ook nog even gecheckt op een aantal van die IP adressen:
no-sense@polaris:~/src$ whois 205.189.72.99
#
# The following results may also be obtained via:
# http://whois.arin.net/res...RIN=false&ext=netref2
#

NetRange: 205.189.71.0 - 205.189.73.255
CIDR: 205.189.71.0/24, 205.189.72.0/23
OriginAS:
NetName: NET-EARTH5
NetHandle: NET-205-189-71-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Assignment
RegDate: 1995-03-22
Updated: 2005-01-31
Ref: http://whois.arin.net/rest/net/NET-205-189-71-0-1

OrgName: Planet Communications & Computing Facility
OrgId: PCCF
Address: 5921 Agean Drive
City: Mississauga
StateProv: ON
PostalCode: L5M-6Y3
Country: CA
RegDate: 1994-08-30
Updated: 2007-11-26
Ref: http://whois.arin.net/rest/org/PCCF

OrgTechHandle: LGA9-ARIN
OrgTechName: Gallegos, Leah
OrgTechPhone: +1-757-631-9838
OrgTechEmail: jandl@wecn.net
OrgTechRef: http://whois.arin.net/rest/poc/LGA9-ARIN

OrgAbuseHandle: ABUSE540-ARIN
OrgAbuseName: Abuse Desk
OrgAbusePhone: +1-888-401-4357
OrgAbuseEmail: info@publicroot.org
OrgAbuseRef: http://whois.arin.net/rest/poc/ABUSE540-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
-------------
De hele 205.71 t/m 205.73 lijst is dus geen eigendom van CB3ROB. 84.22.108.0/24 is dat wel:

no-sense@polaris:~/src$ whois 84.22.108.239
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '84.22.108.0 - 84.22.108.255'

inetnum: 84.22.108.0 - 84.22.108.255
netname: A84-22-108-0
descr: Republic CyberBunker National Network 108
admin-c: CBMT1-RIPE
tech-c: CBMT1-RIPE
country: AQ
status: ASSIGNED PA
mnt-by: MNT-CB3ROB
mnt-lower: MNT-CB3ROB
mnt-routes: MNT-CB3ROB
source: RIPE # Filtered

role: Ministery of Telecommunications
address: One CyberBunker Avenue
address: CB-31337
address: CyberBunker-1
address: Republic CyberBunker
mnt-by: MNT-CB3ROB
admin-c: CBMT1-RIPE
tech-c: CBMT1-RIPE
nic-hdl: CBMT1-RIPE
source: RIPE # Filtered

% Information related to '84.22.108.0/24AS51787'

route: 84.22.108.0/24
descr: R84-22-108-0-24
origin: AS51787
mnt-by: MNT-CB3ROB
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.58.1 (WHOIS4)
-------------

Overigens blijkt uit de WHOIS dat Cyberbunker en CB3ROB op zijn minst veel met elkaar te maken hebben zo niet 1 en dezelfde persoon/entiteit zijn. Ik denk dat dit zaakje stinkt en ben dan ook blij dat ze in de lijst staan en (omdat ik die lijsten gebruik) er ook geen last van heb.

Als laatste vind ik wel dat 84.22.108.0/24 niet op de DROP lijst hoort te staan. Het lijkt er met mijn beperkte onderzoek op dat die IP adressen legaal zijn. Dat ze ook op de SBL staan is een heel andere zaak :)
Als laatste vind ik wel dat 84.22.108.0/24 niet op de DROP lijst hoort te staan. Het lijkt er met mijn beperkte onderzoek op dat die IP adressen legaal zijn. Dat ze ook op de SBL staan is een heel andere zaak
Hier gaat het dus om, dat IP's op de DROP lijst staan, die er niet op zouden moeten staan.
Had Spamhaus niet zo'n lijst, met incorrecte data, dan was er nu geen probleem geweest.
Als alle ISP's een simpele RPF check doen op hun routers, kost vrij weinig resources op de uplink routers, dan kan niemand dit soort aanvallen uitvoeren. De router ziet dan dat het gespoofde adres niet thuis hoort op de eigen ip-space en gooit het DNS request weg.

@gomez12
er is GEEN investering noodakelijk. Nu is het bij vrijwel alle ISP's zo dat jij met je modempje inlogt op een access-router. Dat zijn de grote machines die veel sessies kunnen termineren. Deze router is gekoppeld met een infrastruktuur waar de ISP zijn VAS systemen heeft staan zoals MAIL, DNS, VOIP en dat soort zaken. Deze infrastructuur is ook gekoppeld met een tier1 of tier2 netwerk dat naar de grote transit providers gaat. In Nederland is dat AMS-IX. Als de provider op de router tussen hennzelf en de transit provider de RPF check doet kost dat niets. Dat zijn meestal systemen met een grote capaciteit daar doorvoer en die kunnen deze kleine extra bealsting er makkelijk bij hebben.

Er hoeft niets te worden gedaan aan de thuisrouterstjes of de access routers.

[Reactie gewijzigd door boner op 28 maart 2013 07:02]

Het helpt natuurlijk ook heel erg als authoritive DNS servers goed worden ingesteld zodat ze ALLEEN antwoord geven op DNS request van een van de domainen waarvoor de server verantwoordelijk is.

Een authroritive DNS server behoort geen forward requests te accepteren. Daar hebben we de resolvers voor en die behoren niet extern benaderbaar te zijn. Toegeven bij Bind loopt een en ander door elkaar, maar dat is nog geen excuus om geen goed geconfigureerde DNS server te hebben staan.

Op dezelfde manier dat je voorkomt dat je mailserver als een open relay kan werken, hoor je er ook voor te zorgen dat anderen niet op een verkeerde manier van je DNS server gebruik kan maken. En dat houd meer in dan alleen je zone transfers goed instellen!

Blijven dan alleen de 'alternatieve' DNS servers zoals die van Google over. Maar dat zijn er te weinig om effectief een DDOS aanval mee op te zetten, althans niet om 300(!) gigabit/s te laten genereren..
Dat maakt voor deze aanval echt helemaal niks uit. Er wordt gebruik gemaakt van authoratieve servers en die wordt gevraagd naar hun eigen domein. Ook voor een verkeerde vraag zou het nog werken, zolang het antwoord maar groter is dan de vraag.
En dan heeft dus iedereen nieuwe routers neergezet / consultants betaald om het in te stellen en dan gaan de scriptkiddies met 1 druk op de knop over naar de volgende aanvalsmethode.

Als alle ISP's iets gaan doorvoeren is dat simpelweg een miljarden operatie. En op het moment dat de scriptkiddies een ander script vinden kan volgende miljarden operatie van start gaan.

Hier kan je je heel slecht tegen verweren. De kosten-baten afweging is simpelweg te scheef.
Heb de voorwaarden bekeken om je zooi te hosten bij Cyberbunker.. guess what.. Er zijn geen voorwaarden, alleen dat je betaald. De manier waarop maakt niet uit.
Daarbij is mijn persoonlijke impressie van de site nou ook niet erg positief, ziet er allemaal erg amateuristisch uit. Als ik dan ook een verwachting uit mag spreken, is het toch dat ze die DDOS hebben uitgevoerd. Misschien niet zelf, maar wel een van hun klanten. Je hoeft je namelijk niet te registreren, geen naam niets.

Ik heb niets tegen het beschermen van privacy, in tegendeel zelfs ik ben ervoor maar dit vind ik toch wel een rare gang van zaken. Kijk ook hun privacy policy:
http://cyberbunker.com/web/privacy-policy.php

P.S. Volgens mij hebben ze op het moment zelf ook last van een kleine DDos, want hun site is erg traag op het moment :+ .
ze hebben wel degelijk een voorwaarde....Betalen mag alleen contant of via kanalen waar het niet te achterhalen is zoals Western Union.

Ze werken dus met zwart geld.
Er zijn meer redenen om anoniem gehost te willen worden dan alleen illegale redenen natuurlijk. Denk aan politieke blogs bijvoorbeeld. Maar ook torrentsites waarvan nog steeds niet 100% duidelijk is of die legaal of illegaal zijn.
DDOS lijkt me niet de oplossing, maar dat er een probleem is ben ik het wel mee eens. De lijst van Spamhaus wordt enorm veel gebruikt en kan veel schade aanrichten als je er ten onrechte opstaat. Ik lees steeds vaker how-to's die aanraden de "ZEN" lijst van Spamhaus te gebruiken en verder niets. Erg makkelijk, maar ook erg gevaarlijke ontwikkeling.
Als je zomaar dingen gaat configureren zonder enig besef te hebben wat je aan het doen bent kan er zoveel misgaan. Dit is helemaal niet gerelateerd aan Spamhaus.
Daar kunnen we het samen over eens zijn maar dat verandert niets aan de gevaarlijke situatie die is ontstaan.
Het feit dat Cyberbunker dus niet alleen oogluikend toe staat dat haar services gebruikt worden om spam te versturen (wat misschien nog net binnen de grenzen van legaliteit valt in Nederland), maar nu dus ook DDoS-aanvallen (wat wel 100% zeker illegaal is), zegt genoeg over de intenties van deze provider.

[Reactie gewijzigd door mcDavid op 27 maart 2013 20:49]

En niet alleen maar spamboeren, ook erger
zou DNSSEC dit nou opgelost hebben?

In nederland hebben we het hoogste percentage DNSSEC dus ik zou verwachten dat juist hier het goed zou moeten gaan
Dnssec maakt het juist erger omdat je naast de records ook dnssec data meekrijgt. Het doel van dnssec is garanderen dat je response geldig is. Tegen ip spoofing doet het verder niks.
Lekker duidelijk ook. Eerst roepen dat je het wel hebt gedaan en dan als blijkt dat er consequenties aanzitten zeggen dat je het toch niet was.

Waarom je je professioneel bezighoudt met DDOSsen snap ik ook niet, je weet dan vrij zeker dat je je bedrijf op termijn om zeep helpt.
Waren zij ook niet die krant die Dijselbloem verkeerd gequote of geinterpeteerd hadden? lekker geloofwaardig zo!

Iedereen zegt nu dat Dijselbloem het sloofje van Merkel is. Terwijl Merkel nog diplomatisch is zegt Dijselbloem gewoon waar het op staat: Als je overal dingen duur ziet en het iseens spotgoedkoop dan moet je je achter je oren krabben.

Nu weer ontopic:

Wat heeft spamfilters met netneutraliteit te maken? Het grondbeginsel van vrij internet is dat iedereen ZELF mag bepalen wat hij doet op internet. Als een regering een filter aanschaft: dan bepaald de regering wat iemand anders doet. Dat is niet neutraal. Maar als een bedrijf ZELF een ander bedrijf inhuurt voor filtering van zijn EIGEN email dan is dit wel degelijk neutraal!

[Reactie gewijzigd door rob12424 op 27 maart 2013 20:43]

De woordvoerder van Cyberbunker is gewoon dingen aan het verdraaien. Op de radio deed hij net voor alsof het niet aan de provider is om "politieagentje te spelen". Of met andere woorden: niet aan hun om naar het verkeer te kijken. Maar je bent juist wel verantwoordelijk voor wat je host. Redelijk normale omgangsvormen op internet (oftewel: abuse@hoster). Doe je daar niet aan mee, zeur dan niet over de consequenties.

Het verdraaien van wat er werkelijk aan de hand is geeft aan dat ze eigenlijk weinig argumenten hebben voor hun gedrag.

Werkelijke reden: spammers betalen veel meer voor "bulletproof hosting".
Hunter becomes target. Daar zal 't wel op uitlopen ůf al gelopen zijn (vandaar de denial).

[Reactie gewijzigd door wimmel_1 op 27 maart 2013 20:17]

De NY Times zal echt wel bewijzen hebben verzameld om zo achteraf te kunnen bewijzen dat iemand zoiets inderdaad heeft geschreven/gezegd.
Questioned about the attacks, Sven Olaf Kamphuis, an Internet activist who said he was a spokesman for the attackers, said in an online message that, “We are aware that this is one of the largest DDoS attacks the world had publicly seen.” Mr. Kamphuis said Cyberbunker was retaliating against Spamhaus for “abusing their influence.”
Bron: http://www.nytimes.com/20...-attack.html?_r=2&

[Reactie gewijzigd door ChicaneBT op 27 maart 2013 22:27]

In feite zijn het allemaal wat los geslagen mensen.
Mensen moeten eens wat dingen minder serieus nemen.

De hoster (lees:hoster - datacenter, niet provider) en de provider; CB3ROB zijn gewoon beetje louche bedrijven die in feite geen ruk voorstellen.
In feite kun je dit gewoon zien als wat bubbels die op het eerste blik wel wat zijn en wat kunnen. Maar alles is ongelofelijk wankel.

Er zijn zat 'datacenters' die alles en iedereen aannemen, betalingen in elke vorm accepteren en hier en daar gewoon verkassen en weer verder met iets anders gaan.
Je mag en moet dit absoluut niet zien als gezonde bedrijven die alles goed geregeld hebben, dit zijn gewoon 'bedrijven' die elk stukje officieelheid te snel af zijn en dan weer op een andere manier doorgaan.

Dit en alles onder het mom dat het internet voor iedereen is, dat je mag doen wat je er mee wilt en hun leveren alles. Of dit nou echt ook hun motto is, of dat het een simpele manier is om leuke bedragen te incasseren van a; kiddos b; spammers c; oplichters d; onwetende.. who knows.

Met dit in je hoofd hoef je ook niet bijster veel te gaan brainstormen en discussiŽren over acties e.d. die hun / klanten doen. Dit is de bedoeling juist.

Een louche platform waar je je zooi kwijt kan.

Misschien kan een deel in Duitsland zitten, maar gegarandeerd dat er een zooi hier zit: rusland, afrika, azie, singapore etc. Als je dan wat legale dingen doet in een redelijk makkelijk land qua rechtgebied (dus duitsland) en overige gelden binnenhaalt via andere stromen kan je dit soort acties uitvoeren.

Nja vele zullen mijn verhaal weer "allu hoedje op" vinden, maar je zou ook zelf moeten inzien dat er veel kan op 'het internet' en dat er zat landen zijn die er niets om geven. Pak dan wettelijke rechten die dingen onmogelijk, langzaam, inefficiŽnt maken en je kunt soms helemaal los gaan met allerlei praktijken.
Blijft een vage toko, met een bizarre geschiedenis, daar in het Zeeuwse, vlak bij Goes:

http://data.netkwesties.nl/editie140/artikel1.html

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True