Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 255, views: 69.473 •
Submitter: Worsteneter

De storingen vrijdag bij iDeal en ING kwamen door een ddos-aanval op banken. Dat meldt de Nederlandse Vereniging van Banken. Eerder vrijdag bleek al dat Amerikaanse banken met ddos-aanvallen worden bestookt; onduidelijk is of er een relatie is.

INGHet is onduidelijk wie er achter de ddos-aanval zit. De ddos-aanval lijkt specifiek gericht op betalingsverkeer, aangezien naast ING ook de dienst iDeal plat ging. Door de ddos-aanval was het urenlang niet mogelijk om internetbankieren, mobiel bankieren en de site van ING te gebruiken, schrijft de NVB in een verklaring die op de site van ING is geplaatst. Bij andere banken waren alleen iDeal-betalingen getroffen, al had de Rabobank ook een storing waarbij zakelijke klanten geen grote transacties konden doorvoeren. Of die problemen ook het gevolg waren van een ddos-aanval, is niet bekend. Volgens de NVB zijn ook buitenlandse banken getroffen door de aanval.

Een woordvoerder van de NVB kan nog niets zeggen over de omvang van de aanval of wie er achter zou kunnen zitten. De NVB benadrukt dat betalingsgegevens niet in gevaar zijn geweest, omdat het slechts een ddos-aanval was en geen hack. Omdat niet duidelijk is wie er achter de ddos-aanval zit, is niet bekend of er een kans is op herhaling. Als de ddos-aanval van dezelfde dader komt als die op Amerikaanse banken, kunnen de gevolgen groter zijn: die aanval had een piek van 300Gbps, wat een zeer grote hoeveelheid verkeer is. Woensdag had ING ook een grote storing, maar voor zover bekend was die niet het gevolg van een ddos-aanval, al valt dat niet uit te sluiten.

Bij een denial of service-aanval op een webserver worden grote hoeveelheden gegevens naar een server verzonden, waardoor die normaal, legitiem verkeer niet meer aankan; bij een distributed denial of service, oftewel een ddos, wordt die aanval vanuit meerdere kanten opgezet. Ddos-aanvallen zijn relatief moeilijk af te vangen, als ze tenminste goed zijn opgezet.

Update, 22:04: Een van de manieren waarop de aanvallers de banken offline probeerden te krijgen, was door herhaaldelijk proberen in te loggen op internetbankieren. Dat kost meer servercapaciteit dan enkel het sturen van pakketjes, zoals meestal het geval is bij een ddos-aanval. Dat laat een woordvoerder van de Nederlandse Vereniging van Banken weten aan Tweakers.

Reacties (255)

Reactiefilter:-12550220+1165+212+30
1 2 3 ... 7
tijd voor een betere firewall lijkt mij.
Tja leuk, maar een firewall doet niets tegen verkeer wat al jouw kant uit komt en je internetverbinding vol pompt.
Haha heb jij wel verstand van DDoS aanvallen? Een firewall kan helpen ja, maar bij echt veel verkeer moet je naar andere oplossingen kijken. Lastige is alleen dat je dat nooit volledig zal kunnen testen omdat niemand 100.000en pc's heeft in allerlei netwerken.
Je hebt toch geen 100.000 pc`s nodig, het zijn toch virtuele machines?
tijd voor een betere firewall lijkt mij.
'iedereen' hier doet dat wel af als een vreemde/overbodige reactie, maar Technoluty heeft wel een punt.

Al het inkomende verkeerd wordt 'gescreened' door de firewalle. Als er 1001 pakketen in de wachtrij staan, die individueel door de firewall behandeld moeten worden ontstaat er een vertraging. Die vertraging kan doorslaan in een storing indien het aantal request hoger ligt dan de verwerktijd van de server.

Maar ... Technoluty zijn post wordt (ten onrechte) in de - gemod;
- er zijn verschillende type ddos
- diversiteit omtrent firewall is enorm

Indien ik kijk naar mijn situatie; heb ik mijn firewall zo ingesteld dat die ieder pakket over iedere poort en protocol standaard accepteerd. Afhankelijk van de toepassing en het protocol zal de host/verstuurder een reactie terug krijgen. Iedere request wordt gehonoreerd, en vervolgens gedropt. De verzendende partij krijgt de indruk dat alle verzonden pakketen worden geaccepteerd door de ontvangen (maar dat is een verkeerde aanname).

Middels die configuratie is het relatief eenvoudig een ddos te kunnen doorstaan. Echter is dat sterk afhankelijk van de MIPS en de bandbreedte van de host. En dat is zowel firewall als server bepaald.

Eigenlijk kun je niet heel veel doen tegen dit soort acties; je bent altijd in minderheid, de aanvaller is dynamisch en schaalbaar. Om vervelende situaties(rekeningen) te voorkomen is een host met 'ongelimiteerde bandbreedte' sterk aan te raden.

Vorige maand ook slachtoffer geworden van een ddos. Maar die ben ik vrijgoed doorstaan;
1. firewall, accept all, screening, en daarna droppen (volgens host alles OK)
2. ongelimiteerde bandbreedte (ddos me host dood, ik betaal niets extras)

Er is wel hardware die aanvallen kan detecteren en doen afslaan, echter is dit soort hardware prijzig in aanschaf. Waardoor het een exclusieve doelgroep heeft van 'groot verbruikers'. Meen me te herinneren dat t.net een rebird/reborn/rioray(?) NIC hanteerd om ddos aanvallen te kunnen overleven. (ongetwijfeld dat iemand dit kan aanvullen).

//edit
t.net ddos 'preventie'; reviews: RioRey RX1810: een firewall onder vuur

[Reactie gewijzigd door himlims_ op 5 april 2013 21:41]

[...]

'iedereen' hier doet dat wel af als een vreemde/overbodige reactie, maar Technoluty heeft wel een punt.
Nee, dat heeft hij niet. Als je een internet verbinding (of stel daarvan) helemaal volpropt met verkeer, dan maakt het niet uit wat de firewall aan het einde van die pijplijn daar mee doet, die pijp zit tjokvol, en er treed congestie op. Als die firewall van jou aan het einde van de rit dat pakketje dropped (wat ook niet goed is trouwens), is de schade al aangericht.
Eigelijk zit de firewall aan de verkeerde kant van de lijn.

Wat je zou willen, ik te minste. Dat je aan het begin van de verbinding al kan bepalen wat je doorje verbinding heen wilt laten.

Dus zoals als sommige ISP's zoals xs4all al aanbieden, is een firewall in te kunnen stellen aan hun kant. Zou je dit ook willen bij de hosting providers.
Internetknooppunten zouden hierin een rol moeten spelen. Die kunnen op basis van statistieken vrij eenvoudig bijhouden of een stortvloed van verkeer richting een host een DDOS aanval is of niet en kan eventueel een rate limit instellen waardoor het reguliere verkeer geen hinder ondervindt. De hardware zal behoorlijk prijzig zijn (enkele tientallen miljoenen) maar zorgt er wel voor dat een flink deel van internet wordt gevrijwaard van DDOS aanvallen.

[Reactie gewijzigd door ncoesel op 6 april 2013 00:32]

Zeker, maar ISP's zouden dit ook kunnen doen. Als er een site onder vuur ligt dat de daarbij behorende ISP de andere ISP's op de hoogte stelt van de aanval.
Als ze dan ook even doorsturen hoe het malafide verkeer eruit ziet kan elke ISP de DDOS'ers blokkeren.
Aanval verijdeld, en legitiem verkeer blijft zonder onderbreking werken.
Misschien iets voor de volgende generatie van het internet.
Dit is makkelijker gezegd dan gedaan. Bij vele type aanvallen lijkt het verkeer 100% legitiem. Neem bijvoorbeeld een DNS reflection attack. Ziet er op het eerste gezicht uit als normale DNS response data, maar als je dat dus opeens tot de macht 10000 op je donder krijgt is het niet normaal. Maar... DNS is belangrijk; dat sluit je niet zomaar af. Naar bepaalde infrastructuren kan je dit natuurlijk wťl doen, maar dan pakt men weer een ander type aanval (en DNS reflection is *niet* de enige aanval die op normaal verkeer lijkt...).

Kortom: vertellen hoe het malafide verkeer er uit ziet werkt niet.
"Ja het ziet er uit als een DNS response" :+ Ze zien je al aankomen, haha. :)
Dit wordt al gedaan door middel van https://www.projecthoneypot.org/ Maar ja, dit soort lijsten zijn eigelijk ook weer een soort DOS.

Laat ISP en hosters eerst maar eens leren filter, en alleen verkeer naar buiten sturen wat van hun subnets afkomstig is. Nu kan je nog te gemakkelijk een IP spoofen.

Daarnaast moet er een internationale toezichthouder komen. Die alle blacklist in de gaten houd en waar je terecht kan als je een geschil hebt met zo'n lijsten maker. Pas dan kan een DROP list gebruikt worden.

Zonder toezichhouder, moeten DROP lijsten verboden worden.
Ik denk dat de HW prijs op zich wel mee valt of te minste te hoog is.

Mijn ervaring is voornamelijk gebaseerd op linux, maar een freebsd ofzo zou het denk ik ook kunnen,

- Linux ondersteund spoof protection.
- Linux ondersteund rate limiting
En nog veel meer.

Dus je zou zo'n firewall zelf kunnen maken, met wat hardware en een goede linux distro.

Daarnaast, kan je doormiddel van bv varnish (in geval van http achtig verkeer) te gebruiken. Je achter liggende applicatie beschermen tegen verschillende aanvallen.

Maar ook in je loadbalancer zou je er rekening mee kunnen houden. Bij een bepaald aantal request, zou je een static pagina kunnen tonen. Waar door je applicatie het fijn blijft doen. En meer echte klanten er gebruik van kunnen maken.

Oja, niet vergeten het verkeer naar buiten ook door een firewall heen te laten gaan.

Maar ik blijf er bij, dat de meeste maatregelen genoemen moeten worden, voor dat het de pijp naar de klant in gaan.En zolang Hosting provider niet hun verkeer filteren en proactiever optreden. Is het dweilen met de kraan open.
Goed punt. Hier zijn Intrusion Prevention systemen o.a. voor bedoeld. Wij zetten dit (mede door dit soort incidenten) steeds vaker in de markt, maar veel organisaties denken nog steeds dat het hun niet zal overkomen.

Recentelijk zijn er ook specifieke DNS firewalls op de markt.
Voor geÔnteresseerden staat leuk gratis e-book op onze site: Intrusion Prevention en next Generation Firewall for Dummies
Hier ben ik het mee eens. Firewalls die dit wel kunnen detecteren en kunnen onderscheppen, zullen de desbetreffende pakketjes blokkeren. Mooi en aardig, je servers worden niet onder load gezet door die pakketjes. Maar de verbinding naar je server, zoals arjan dat aangeeft, word helemaal vol gedrukt met pakketjes.

Daarnaast zal de firewall die de pakketjes filteren, het waarschijnlijk ook lastig gaan krijgen.

@wica, ik weet niet of dit erg veel gaat helpen. Het is eigenlijk het zelfde principe. De lijn loopt helemaal vol met pakketjes die bijvoorbeeld xs4sll moet gaan filteren. volgens mij gaat het daar dan ook vast lopen.

Ik denk dat de enige manier, om het zo fail-safe mogelijk te houden, is om een lading load balancers er tussen te hebben die via meerdere wegen beschikbaar zijn. Maar hierdoor blijf je het gevaar houden dat het vol loopt, alleen zorg je als bank (in dit geval) er dan voor dat de 'aanvallers' meer resources nodig gaan hebben om de aanval tot een succes te leiden.

Edit: De bedoeling was om het bericht onder die van arjankoele te plaatsen, maar dit is me helaas niet gelukt.

[Reactie gewijzigd door cakemasher op 5 april 2013 23:09]

Een moderne firewall kan ddos aanvallen afslaan. Echter de omvang van de aanval zal bepalend zijn of de firewall over de juiste hoeveelheid resources beschikt.

Voor banken en organisaties met een hoog risico is er specifieke apparatuur beschikbaar die dat stukje functionaliteit uit de firewall overneemt en ook grote aanvallen kunnen afslaan.

Deze apparatuur heeft een aantal dagen nodig om de normale patronen in te leren en is dus niet direct na aanschaf operationeel.

Een voorbeeld van dit soort apparatuur vind je hier http://www.fortinet.com/products/fortiddos/index.html

De apparatuur is onlangs ook in zuid Korea geÔnstalleerd.
Als je je echt wilt beschermen, geef me dan een seintje, ik kan je in contact brengen met specialisten op dit gebied.

[Reactie gewijzigd door bert pit op 6 april 2013 00:29]

Maar de server gaat in ieder geval niet down.
Hoewel de server natuurlijk door de drukte alsnog onbereikbaar zal zijn.
Er is wel hardware die aanvallen kan detecteren en doen afslaan, echter is dit soort hardware prijzig in aanschaf.
Het lijkt mij dat een bank dit soort systemen wel zou moeten hebben. Indien ze het niet hebben is het geld vast naar de bonussen van de bankiers.

De enige rekening waar een bankier rekening mee houd is zijn eigen rekening.
Als jij een ddos attack op je dak krijgt die cloudfare laatste had, red je het echt niet met het droppen van pakketjes en met die riorey ook niet. 300gb (genoemd in het artikel) traffic, dan heb je echt wel hulp nodig van tier 1 en 2 jongens wil je daar doorheen komen.
Aardig verhaal wat 1 ding mist, de screening kost een beetje cpu power. Als een firewall dat voor teveel moet doen dan krijgt 'ie het ook zwaar.
95 van de 100 firewalls zijn generiek en kunnen wel wat blokkeren maar echte ddos goeroes die serieus de boel plat willen leggen ga je toch niet tegen houden.

De heren (en of dames) die dit soort aanvallen doen op bank instellingen doen niet zomaar even een flood van het 1 of ander, dat geloof ik niet.

Bankinstellingen hebben overigens wel serieuze security maatregelen. En niet alleen maar een dikke jongen als firewall. Aangezien de budgetten niet ongelimiteerd zijn maken ze keuzes. En niet :"O we hebben een aanval, wat voor 1? o die, welke hardware lost dat op, ah we kopen daar een clustertje van.

Op technisch vlak weet ik van een paar jaar geleden (je hoort wel is wat) dat ze meerdere merken gebruiken die ze als het ware serieel schakelen om zo bepaalde flaws/bugs/hacks uit te sluiten, dus als je op de 1 er door bent wil dus niet automatisch zeggen dat je ook op het netwerk zit want dan zitten er vaak nog een paar firewalls tussen. zeker voor webservers zitten die in allerlei DMZ's met allerlei verschillende complexe trucs.

En dan hebben we het nog niet eens over de partijen die daar als tweede lijns extern opgeschakeld worden in geval van calamiteiten. Dus even simpel een firewalletje vervangen of een nieuwe kopen werkt in de praktijk iets anders.

Ik doe zelf veel met Fortinet producten en heb even voor je in de lijst gekeken wat een FortDDOS appliance kost, de goedkoopste is §28.798,- list price en de duurste is §80.498,- (en elk jaar 24x7 maintenance kost je nog is §19.000 per jaar.) Dus ook financieel zijn dit serieuze bedragen want een beetje grote instelling koopt er niet 1 maar minimaal 2. (en bank instellingen hebben vaak ook noodlocaties dus zal je daar er ook 1 voor moeten kopen)

specs van een fortidos: http://www.fortinet.com/s...sheets/FortiDDoS-300A.pdf

Als je de PDF bekijkt ziet elke ITťr dat "een DDOS'je" niet een een firewall rule aan of uit is, t is behoorlijk complex om het niet alleen te weren maar ook nog is je dienst online wilt houden en gezien je vele verschillende DDOS attacks hebt op allerlei verschillende lagen van het OSI model begrijp ik wel dat een bankinstelling "even" op de knieen gaat.

En ik geloof niet dat welke bank even 2,5 ton uit de knip trekt om 1 clustertje met 3 jr maintenance op te hangen (en dan heb ik het nog niet eens over de kosten van het opleiden van personeel), one brand filtering enz.

De nuance ligt vaak toch iets anders is mijn mening. (Ik kan ook wel is niet met mijn app'je bij de bank inloggen, ik zeg morgen schijnt de zon weer en proberen we het nog een keer....

oja, en ik ben meer van digitale vrede op aarde, maar ik vind het wel knap van de heren/dames die dit in de vingers hebben, t is niet ff een appje op je android telefoon starten met een selectie menu die zegt: "Wie wilt u dossen vandaag?"

(oja, ik doe niks bij met beveiliging bij banken, maar ik heb wel is gesprekken gehad met netwerkboys die wel in die tak werkzaam waren)
banken hebben iets van minimaal 6 verschillende firewalls en minimaal 3 loadbalencers erachter staan!

Dat relay gebeuren voor bedrijven kan normaal, maar:

Het gaat hier alleen om strikt beveiligde verbindingen, die wil je vanwege vertraging zo direct mogelijk maken!

Ze hebben de boel waarschijnlijk willen verttragen om iets te testen.
Edit: <knip>

Dit is niet de eerste keer dan een reply van mij in compleet de verkeerde thread terecht komt. Ik vermoed iets mis met de tweakers interface.
Of toch een DDoS van replies ?

[Reactie gewijzigd door BeerenburgCola op 6 april 2013 11:26]

Enige wat dus helpt is zorgen dat je 300 gbit per seconde aan data kan verwerken... ik heb google nog nooit offline gezien... dus hun servers doen toch iets heel goed zou ik zeggen. Enige wat werkt is zorgen dat wat die klootzakken ook doen, de servers gewoon easy doorwerken. Dan houdt die onzin vanzelf op
Behalve die "criminelen"met hun bot-nets... O-)
Lastige is alleen dat je dat nooit volledig zal kunnen testen omdat niemand 100.000en pc's heeft in allerlei netwerken.
Wellicht een beetje off-topic, maar dat zou een mooie business zijn. Een botnet opbouwen en dan gebruiken voor DDoS als dienstverlening aan banken of andere bedrijven die hun weerbaarheid willen testen. Desnoods via een incentive programma vergelijkbaar met BOINC... Of gewoon een middagje CERN-like supercomputer huren die een zooitje request kan versturen
Een botnet verhuren is hetzelfde als heling. Gestolen waar verkopen.
Ooit gehoord van het Grid of Cloud services ?

Ik beschik dagelijks over +/- 1000 compute nodes en kan, mits ik de juiste papieren invul dit, voor wetenschappelijke doeleinden, opschalen naar 10.000.

Ik zal het idee ook oppikken maar dan op een legale manier en niet andermans computers hiervoor gebruiken.
Lastige is alleen dat je dat nooit volledig zal kunnen testen omdat niemand 100.000en pc's heeft in allerlei netwerken.
Zijn allerlei tools voor:En dat gaat een aardig eindje door, zie http://en.wikipedia.org/wiki/Cloud_testing
Een normale firewall heeft niet zo veel zin, dan gaat die down.
Een firewall helpt niet zoveel tegen een DDOS-aanval. Je krijgt hoe dan ook zoveel aanvragen te verwerken.

Ik denk eerder dat je een systeem moet hebben wat ip's waarvan zeg meer dan een aanvraag per seconde binnenkomt voor een x-aantal seconden blokkeert. Of gebeurt zoiets al?
Er bestaat inderdaad wel DDoS protectie, ja.
Elaborate on that please.... Het is zo makkelijk gezegd, maar als je niet weet waar het over gaat heeft de opmerking 0,0 waarde.

Echt heel veel kun je niet doen. Als het van een beperkte ip range komt, kun je misschien een rate limit instellen. Leuk, maar een beetje ddos aanval komt van vele kanten. Je kunt ook heel moeilijk de ip's blokkeren. Misschien is het een begin om alle ip's van buiten Nederland te blocken (jammer voor de Nederlanders overzee zullen we maar zeggen), want de meesten zullen wel via-via uit exotische lokaties komen.

Hoe dan ook, het kost een hoop werk. Er is geen enkele oplossing die je zo voor je serverpark kan zetten die ddos aanvallen afweert. Het is en blijft handwerk en veel zweet kosten.
Dat klinkt toch eigenlijk best als een goede oplossing? Direct bij de eerste tekenen van een ddos aanval direct alle IP adressen van buiten Nederland blokkeren? Waarom wordt dat niet gedaan? Of waarom wordt dat wel gedaan en werkt het niet?
Inderdaad en gewoon mensen op de hoogte stellen van de problemen en mensen met een bekend ip aderes kunnen gelijk inloggen andere mensen worden uitgesloten.
Het gaat om levensgrote botnets er staan denk ik ook redelijk wat van die bots in Nederland. En wanneer is het druk en wanneer een ddossl aanval?
Een bank kan echt niet zomaar de kraan dichtgooien transachties blokkeren op verdenking van een eventuele aanval.
Dan krijg je situaties als die weeralarmen en sta je als bank snel te boek als onbetrouwbaar
Wordt zekers wel gedaan. Ik heb al verschillende malen hele wereld delen afgesloten van een bepaalde dienst. Is best effectief.
Dit is altijd in overleg met de klant,
Of ze zouden je een mogelijkheid moeten geven om een ip aan te geven bij de bank zodat de bank kan zorgen dat requests van die ip ALTIJD worden geaccepteerd via een aparte server. Dit zou veel leed kunnen besparen bij een grote langdurige aanval.

[Reactie gewijzigd door kajdijkstra op 5 april 2013 23:41]

Ja die zijn er wel, ik kwam dit tegen:
http://www.prolexic.com
http://www.prolexic.com/pdf/PLXrouteddatasheet.pdf

Die routeren al het verkeer buiten je site om naar hun datacenters, prolexic maakt het schoon van DDoS verkeer en pas dan komt het naar je site terug.... hoe goed dit werkt valt natuurlijk te bezien maar het klinkt wel als iets dat zou kunnen werken.
Ik vermoed dat deze dienst een beetje als cloudflare werkt. Een mooi cluster van varnish servers. Die het verkeer filteren en door sturen of beantwoorden. Dus eigelijk een soort CDN
Dan moet je een gigantische zware firewall hebben. Deze aanval was geloof ik gelijk aan 1/4e (!) van het dagelijkse verkeer wat de AMS-IX te verduren krijgt (bron: https://www.ams-ix.net/technical/statistics ).
Het is de laatste tijd toch weer echt raak. Vroeger draaide ik mijn DNS servers recursive, dat was makkelijk voor mijzelf en anderen. Toen mijn DNS servers op een gegeven moment misbruikt werden door queries met grote antwoorden naar gespoofde IP adressen te laten sturen, hield dat helaas noodgedwongen op. Ook heb ik daar toen nog door middel van een named-refused rule en fail2ban wat extra aan gedaan.
Na een tijdje werd het rustiger, maar de laatste week a 2 weken wordt er toch ineens weer behoorlijk veel gedropt als ik in de logs kijk.
Van mij mogen de figuren die hier achter zitten gewoon aan de hoogste boom trouwens.
Nouja.. we moeten gewoon slimmer zijn. Hier is best wel wat op te bedenken. Altijd maar mensen opzoeken en hun straffen is zo enorm vervelend. Kan beter gewoon een enorm robuust netwerk opzetten zodat het hier gewoon tegen kan.
straffen vervelend? ja dag, dan leren ze 't nooit. laat ze maar voelen.
Dat is een verschrikkelijk domme opmerking. Ga aub eerst even lezen wat een ddos aanval is en waarom je je er zo verdomd moeilijk tegen kunt beschermen.
Die attack op cloudfare maakte gebruik van die design fout (bij dns kan je zo spoofen). Een recursive dns draaien die niet gelimiteerd is, is ook niet echt handig. Je draait toch ook geen open relay mail server?
Voor het einde van het jaar mogen ze ook beheerders van authoritive nameservers zonder record rate limiting naast de beheerders van open recursive nameservers ophangen hoor. Er is nog wel plaats nu open mailrelays redelijk zijn uitgestorven.
Van mij mag je ook ISP en Hosting provider die niet aan source filtering doen ophangen. Want daar begind de ellende.
Als je gebruik maakt van webservice kan jij de response op een query indammen.
Dan wordt je database niet meer rechtstreeks van buitenaf aangesproken en bepaal jij welke query wel of niet is toegestaan.
Het is de laatste tijd toch weer echt raak. Vroeger draaide ik mijn DNS servers recursive, dat was makkelijk voor mijzelf en anderen.
Volgens Cloudfare (http://blog.cloudflare.com/65gbps-ddos-no-problem) had je dus een mooi landmijn gebouwd:

"Typically, an ISP's DNS resolvers are setup to only answer requests from the ISP's clients. Unfortunately, there are a large number of misconfigured DNS resolvers that will accept queries from anyone on the Internet. These are known as "open resolvers" and they are a sort of latent landmine on the Internet just waiting to explode when misused."

Misschien alleen je DNS laten gebruiken door mensen die je kent?
Open resolvers vind ik opzich geen probleem. Vind het zelf fijn op een open resolver te gebruiken, als locaal geen werkende resolver is. Source filtering is de oplossing :)
Ik vind het raar dat mensen in Nederland hier dan toch last van hebben gehad , bij mijn weten zitten alle banken en Nederland en BelgiŽ en de grote providers aangesloten op een landelijke Internet exchange zoals in Nederland http://www.nl-ix.net of in BelgiŽ http://bnix.net/nl., rechtstreeks , of onrechtstreeks via hun Internet providers.

Dit is een mini Internet waarbij als een land aangevallen wordt , intern toch alles zou moeten blijven werken o.a. dankzij alternatieve BGP peering.
Niet zo raar, backbone werkte alles naar behoren. Klanten via aftakkingen hadden de last.
Deze aanval was geloof ik gelijk aan 1/4e (!) van het dagelijkse verkeer wat de AMS-IX te verduren krijgt.
Verkeer? Dat is natuurlijk geheel relatief. Als de AMS-IX 900TB verwerkt per dag, zou de aanval ongeveer 225GB zijn geweest maar er is geen tijdsinterval bij genoemd. Of, gezien jouw terminologie, bedoel je dat het aantal bits per seconde naar de getroffen banken/verwerkers ongeveer 1/4 is geweest van het aantal bits per seconde op de AMS-IX?

Dan nog, zonder bronvermelding van jouw "1/4 aanval", betwijfel ik of de getroffenen tezamen uberhaupt 500Gbps inkomende bandbreedte hebben. De kans dat ze dat niet hebben zou verklaren waarom ze op hun knieeen moeten als er zoveel data naar ze wordt verstuurd.

Desondanks is er geen abnormale piek te zien op de AMS-IX, dus ik vraag me dan ook af hoe/waar het extra verkeer vandaan zou zijn gekomen wat heeft geleid tot de zogenaamde DDOS.
Je mag nochtans van een bank verwachten dat ze naast de fysieke beveiliging ook hun online beveiliging op orde hebben.
Kan je dit onderbouwen? Je statements stroken namelijk niet met andere cijfers die ik heb vernomen en volgens mijn baseer je je nu op de Spamhaus DDoS van Cyberbunker. AMS-IX is voornamelijk peering verkeer en dit bank verkeer gaat direct upstream providers in dus dat piekje zal je nooit op de AMS-IX voorbij zien komen.
Je weet wat een DDOS is? Tenzij je echt een amateur hebt en je makkelijk patronen ziet van een ip groep, land of meer van zulks ga je het heel moeilijk krijgen je meuk bereikbaar te houden... DDOS is ťťn van de weinige dingen waar je maar beperkt wat mee kan doen en dat beetje wat je wel kan doen verrijst vaker wel dan niet dedicated hardware dat opzichzelf ook weer gewoon down/overbelast kan raken.
en je makkelijk patronen ziet van een ip groep, land of meer van zulks ga je het heel moeilijk krijgen je meuk bereikbaar te houden...
Dat is leuk voor de kleinere DDOSSEN, maar als er echt 300Gb/s op je afgevuurd worden dan kan jij wel blokkeren wat je wilt, maar je datacenter heeft dan al problemen.

Bij dit soort grote DDOSSEN wordt de hele keten geraakt en is jouw firewall maar ergens een schakeltje aan het einde van de keten.
Een firewall helpt niet tegen een overdaad aan inlog-pogingen. Want het is juist de bedoeling dat je kan inloggen, dus zal de firewall dat door laten... Ook andere vormen van DDoS nemen doorgaans iets dat normaliter gewoon legitiem verkeer zou zijn. Het grootste probleem is vooral dat er ineens veel meer van komt dan je systemen aan kunnen.

Wat je dus zal moeten zien te doen is herkennen welke ogenschijnlijk legitiem verkeer dat eigenlijk niet is... En dat is heel erg moeilijk. DDoS-filterappliances en -netwerken kunnen hier uiteraard wel wat tegen beginnen, maar het is altijd maar de vraag in hoeverre ze in staat zijn gewonen gebruikers te herkennen en door te laten en toch het gros van de aanvallers te blokkeren.
Idee.... als ze de inlog procedure nu eens expres vertragen met bijv. 5 seconden. Het nadeel is dan dat iedereen 5 seconden langer bezig is met inloggen, maar het voordeel is dan volgens mij dat een aanvaller je veel minder snel plat krijgt. Ik ga er dan vanuit dat de bottleneck achter het inlog scherm zit (de password verificatie) en niet voor het inlog scherm.
Een aanvaller hoeft niet 5 seconden te wachten tot hij weer een inlog verstuurd. De aanvaller stuurt zoveel mogelijk inlog pogingen per seconde als hij kan, hij wacht niet op respons.
of een oude "stacheldraht"
Tegen een echt goede DDoS attack doe je on-premise niet zo veel helaas....

[Reactie gewijzigd door tweakmind op 6 april 2013 11:13]

Tja, of het komt dat men zegt dat alles beter is geworden. Minder problemen, Alles is zg super beveiligd etc...Dan willen sommige whizzkids wel een het tegendeel bewijzen. Helpt wel weer mee om de beveiliging te upgraden.

[Reactie gewijzigd door Zlobinski op 6 april 2013 20:39]

Begin zo langzamerhand beetje schijt ziek te worden van die grappenmakers met hun bot netwerkjes.

Bij de NOS op de website:

Er werd vanmiddag gesteld dat die problemen losstaan van de problemen in Nederland.

[Reactie gewijzigd door gassie123 op 5 april 2013 20:45]

Ik ben benieuwd wie hier achter zit, en wat het doel is, of ijn het gewoon puberale jongeren?
Puberale jongeren? Denk het niet. Een paar banken platleggen door DDOS als aanval te gebruiken zie ik zo 1-2-3 niet gebeuren door jongeren. Eerder door een grote organisatie of land. Zij hebben de know-how en/of de financiele middelen om een bank plat te leggen.

In de V.S. zijn overigens 15 banken voor een redelijk tijdsbestek offline gehaald door DDOS'ers.
http://www.nu.nl/internet...nken-vs-249-uur-plat.html

De beschikbaarheid van de banken beginnen me nu toch wel te irriteren. De ING spant op dit moment de kroon met het aantal storingen dat ze te verduren krijgen. Zou me er als klant toch echt niet gerust op voelen om daar mijn geld neer te zetten. Enfin, geen een bank voor consumenten is zo geweldig dat iedereen er naar toe gaat, maar op dit moment ben ik toch blij dat ik mijn geld bij de Rabobank heb staan.
De ING storingen krijgen ook altijd heel erg veel media aandacht. Radio 1 journaal volgde de ING storing per 10 minuten en liet de SNS woordvoerder na 90 hele vriendelijke seconden al weer gaan.
Ik denk ook niet dat een groepje jongeren hier achter kan zitten. 300Gbps is wel een idioot aantal, dat gaat je niet lukken met de pctjes in de kelder.
Dit kan je makkelijk lukken met een aantal krachtige pc's als een DNS DDoS Amplification Attack gebruikt, moet echter wel de nodig no-how hebben om dit uit te voeren.
Dit kan je makkelijk lukken met een aantal krachtige pc's als een DNS DDoS Amplification Attack gebruikt, moet echter wel de nodig no-how hebben om dit uit te voeren.
knowhow? Gewoon voldoende requests versturen van een zeer standaard/voorkomend type en de amplification gebeurt vanzelf. Het is geen rocket-science en gezien de verhouding van "vraag & aanbod" in bytes gemeten, is de initiele investering van aanvragen doen maar ongeveer 6% van het uiteindelijke resultaat. Hier zijn geen krachtige PC's voor nodig noch dikke internetlijnen. Gewoon het volume van het aantal aanvragen zorgt voor het issue en volume kan "ook" worden gegenereerd door heel veel kleine PC's op hele smalle internetverbindingen.

Voorbeeld: aanvraag van 10Gbps, resultaat 160Gbps amplification.

[Reactie gewijzigd door MAX3400 op 5 april 2013 21:26]

Het is vrij simpel: je schrijft een virus (of koopt die in), verspreid het virus (vroeger had je bijvoorbeeld MSN waarover vaak virussen gespamd werden), wacht tot je genoeg PC's geÔnfecteerd (die zelf weer andere PC's gaan infecteren) en stuur uiteindelijk alle beschikbare PC's een commando om veel data naar een bepaald IP te sturen. Ik ken genoeg jongeren die dit wel degelijk kunnen (en/of hebben gedaan).
Ik denk ook niet dat een groepje jongeren hier achter kan zitten. 300Gbps is wel een idioot aantal, dat gaat je niet lukken met de pctjes in de kelder.
er zijn genoeg pubertjes geweest die eigenhandig (toegegeven, het ware geen domme pubertjes) een fors botnet hadden op weten tuigen, met een gebundelde capaciteit van makkelijk 300Gbps.
Leek me ook een beetje onlogisch dat er ineens allerlei storingen waren bij verschillende banken en ideal zonder enig verband... Wel altijd jammer om te zien dat er na al die tijd nog steeds geen goede manier is gevonden om mensen over dit soort problemen, maakt niet uit of ze al weten wat het precies is, in te lichten (vertrouwen is wat een bank nou eenmaal groot maakt).
Volgens mij zit er helemaal geen verband tussen de ddos en de storing met te lage saldos bij ING. Raar dat dit met elkaar verband wordt gelegd.
Ik denk eerder dat als de bank een betaling van 1.000 euro niet ontvangt maar wel 1200 afschrijft die voor mensen met 500 euro op de bank wel gemerkt wordt en bij mensen met 10.000 euro op de bank niet. Vandaar dat het een probleem lijkt met 'lage saldos'.
Er zit ook geen verband tussen. Het verwerken van transacties is een intern proces dmv batchverwerking. De ddos aanval is alleen gericht op het externe deel van de bank, nl. de website. Ook het willen inloggen op internetbankieren zit niet direct gekoppeld aan het paymentsgedeelte van een bank. Oftwel: het heeft niets met elkaar te maken.

[Reactie gewijzigd door Edgarz op 5 april 2013 23:04]

Leek me ook een beetje onlogisch dat er ineens allerlei storingen waren bij verschillende banken en ideal zonder enig verband... Wel altijd jammer om te zien dat er na al die tijd nog steeds geen goede manier is gevonden om mensen over dit soort problemen, maakt niet uit of ze al weten wat het precies is, in te lichten (vertrouwen is wat een bank nou eenmaal groot maakt).
Woordvoerder wist het waarschijnlijk echt nog niet vanmorgen/vanmiddag toen ze pers te woord stond, moeten eerst onderzocht worden en nogmaals onderzocht, vroegtijdig iets roepen levertje je weer ander commentaar op als het niet juist blijkt te zijn.

Laten ze maar alle tijd besteden in het oplossen ipv pers te woord te staan. Wat het probleem is is wat mijn betreft en hoop andere denk ik niet zo relevant, we willen gewoon zo min mogelijk problemen en hoe ze het doen of wat de problemen zijn zijn 99,99% van mensen niet in geÔnteresseerd.
De media zat er al direct bovenop, en hoe zou een bank hun miljoenen klanten allemaal tegelijk eerder kunnen informeren? Even bellen? Dat is een praktisch onhaalbaar scenario, dat snapt iedereen. Een email sturen? Dat is precies wat de phishing crimineen ook doen, weet je nog? "Uw account is gehackt, wilt u even ter verificatie uw pincode intoetsen".

Het is onmogelijk om de klanten sneller persoonlijk te informeren. Vreemd genoeg is het verwachtingspatroon van iedere klant nog ouderwets: Waarom bellen ze niet even? Miljoenen klanten, weet je nog...
er zijn veel mensen hiermee gedupeerd, het word eens tijd dat dit soort aanvallers gepakt worden?
Dat is heel lastig. Dit soort aanvallen worden vaak uitgevoerd via botnets vol met zombies. Die worden vaak opgerold, maar de makers ervan blijven vaker onbekend dan dat ze gepakt worden.
Ik kan me een review herinneren van Tweakers over de Riokey. Had een Riokey hier kunnen helpen?
Of zijn deze DDoS aanvallen van zulke grote aard dat een appliance niet meer gaat helpen?

De link naar de Riokey RX1810 review:
reviews: RioRey RX1810: how to put a firewall through hell

Hier een stukje van nu.nl over de banken in de VS:

"Een reeks van cyberaanvallen op de Amerikaanse financiŽle sector heeft de 15 grootste banken daar in de afgelopen zes weken 249 uur platgelegd.

Dit meldde NBCNews vrijdag.

Onder de gehackte banken waren onder meer Citibank, J.P.Morgan, Chase en Bank of America. Wie achter de aanvallen zitten, is niet duidelijk. Volgens deskundigen kunnen deze cyberaanvallen niet het werk zijn geweest van ťťn persoon. Geruchten dat mogelijk Iran erachter zou zitten, zijn inmiddels door het land tegengesproken.

Rekeninghouders hebben overigens geen geld verloren door de cyberaanvallen."

Source: http://mobiel.nu.nl/inter...nken-vs-249-uur-plat.html

[Reactie gewijzigd door Squ1zZy op 5 april 2013 20:52]

Een 300Gbps DDoS stop je niet met 1 appliance (of slechts 1 maatregel), maar helpen doet het zeker (als onderdeel van een keten).
CloudFlare gaat nog eens heel groot worden: http://cloudflare.com/

Amerikaanse banken kunnen er zonder gevolgen gebruik van maken, Nederlandse banken is een ander verhaal omdat dan ook de Amerikaanse overheid bij onze gegevens kan komen iets wat niet de bedoeling is.
Nou nee, Cloudflare is puur een DNS gebasseerde oplossing. Cloudflare kan dus niet bij jou servers ze hosten alleen jou DNS. Je hoeft ook geen software o.i.d. op je server te installeren en je host nog steeds je eigen server.

Cloudflare kan dus een goede optie zijn. Cloudflare is wel een soort security through obscurity. Als ze het directe IP van jou systeem weten, of ze pakken het datacenter waar jij klant bent ben je alsnog de sigaar.
Cloudflare gaat er als een proxy tussen zitten hoor. Ze hosten wel je DNS records om geo-caching te kunnen doen.
Ja ok maar dan nog cachen ze alleen je frontend, dus de website. Het betalingsverkeer gaat dan echt niet over cloudflare servers heen.
Het helpt helemaal niets. Zo'n Riorey kan misschien hooguit 10 gbps aan, 300 gbps begin je gewoon helemaal niets tegen, al zet je 10 Rioreys achter elkaar.

En dan nog, ook al kan een enkele firewall de bandbreedte aan (theoretisch gezien want dat kan natuurlijk nooit) dan nog moet hij nog steeds ja of nee zeggen tegen elk pakketje wat door de lijn gaat dus dan schiet de CPU naar de 100% en ligt je verbinding alsnog plat.

Om 300 gbps tegen te houden moet je dus ten eerste al meer dan die hoeveelheid bandbreedte hebben om uberhaupt online te blijven, daarna moet je meerdere systemen hebben om de boel te filteren, dus over meerdere lagen.

Waarschijnlijk praat je dan over een infrastructuur met firewalls die vele honderdduizenden euros kosten en hele 19" racken beslaan.Dan nog de kosten die je kwijt bent voor de capaciteit dan praat je waarschijnlijk over een investering van miljoenen euros per jaar puur om een website online te houden.
Zoals je zelf al zegt, een 300Gbps DDoS migiteer je door een serie van gecombineerde maatregelen in de gehele keten van netwerk-leveranciers, juist om het bij de interne achterlanden weg te houden.

Enkele strategisch geplaatste dedicated devices zoals - bijvoorbeeld - de Riorey RG20 (10Gbps; 28.4M pps !) per knooppunt kunnen dan wel degelijk wonderen voor de beschikbaarheid doen (afhankelijk van het type aanval). Een 1-fix-all oplossing is uiteraard een utopia.
Hoe zou bijvoorbeeld Google dit oplossen? Iets zegt me dat je die niet op de knieŽn krijgt.
De strategie van Google is dat ze niet een paar vette servers hebben, maar een heleboel eenvoudige servers verspreid over de hele wereld (o.a. in Nederland in de Eemshaven). Andere Cloud oplossingen zoals Windows Azure werken op dezelfde manier.

Als een data center down gaat, door een ddos of een bom. Dan kunnen de resterende data centers dat opvangen. De infrastructuur van een public Cloud is juist opgezet om heel veel data te verwerken.

Een bank kan nooit een vergelijkbare infrastructuur opzetten, dan zou die infrastructuur een enorme overcapaciteit hebben voor de normale bedrijfsvoering. Een oplossing zou misschien zijn dat een bank gebruik maakt van een public cloud, maar ik kan begrijpen dat een bank dat niet graag doet.
Je kunt je infra ook in 2-en delen.
1. Voor NL met een vrijwel onbeperkte bandbreedte
2. Voor de rest van de wereld een gelimiteerde verbinding

Gaat met een DDOS het over de limiet heen, dan zal eerst het Internationale verkeer stoppen, maar kan de thuismarkt (NL) wel nog verder. Pas als je DDOS vanuit NL komt, ja, dan heb je wel problemen.
Vanuit NL is juist geen probleem, daar wordt vaak zeer snel actie op ondernomen.
Die Riokey RX1810 gaat niet zoveel doen als je link vol zit. Je webserver zal nog wel werken. Maar als jij 300Gbit/s binnen krijgt op je 300GBit/s lijntje houdt het op.
Zo'n appliance helpt tegen kleinere aanvallen, als er echt meerdere gigabits per seconde op je netwerk afkomen is er eigenlijk niks aan te doen. Het is dan niet alleen je eigen firewalls die het lastig krijgen, ook het netwerk van je internet provider zal het geweten hebben.
Een betere firewall gaat hier niks aan veranderen.
Vergelijk het met de douane bij een vliegveld die iedereen controleren;
je kan nog zulk goed personeel hebben en efficiŽnt werken, maar als er ineens een paar honderdduizend man voor je loket staat dan is er ook geen beginnen aan.
Hoezo is dit artikel in verleden tijd geschreven?
Kan nog steeds niet op www.ing.nl
Hopelijk ben ik geen zombie, zal wel in een ip range met veel zombies zitten.
Edit: ok het werkt nu weer.

[Reactie gewijzigd door Soldaatje op 5 april 2013 21:16]

Dat ligt dat aan jou, Bij mij doet hij het namelijk gewoon.
hoeft niet perse aan hem te liggen. kan bvb aan zijn provider liggen of de route naar ing pagina kan iets mis gaan (enkele keer de cach van de browser).
roepen dat het aan iemand ligt vind ik iets te kort door de bocht.
Helaas, het is nu 12:53 Zaterdag, maar de IDEAL ligt er nog steeds uit, heb net de ING gebeld en het is nog lang niet voor elkaar :(
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Apple Games Politiek en recht Consoles Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013