Hoster TransIP werkt samen met politie na ddos-aanvallen

Hostingbedrijf TransIP heeft aan zijn klanten laten weten dat zijn dns-servers al twee weken lang onder vuur liggen van ddos-aanvallen. De hoster zegt de in intensiteit toenemende aanvallen te kunnen afslaan. Wel werkt het bedrijf samen met het Team High Tech Crime van de politie.

In een e-mail naar zijn klanten meldt TransIP dat het naar eigen zeggen al sinds 24 maart slachtoffer is van een reeks zware ddos-aanvallen. De intensiteit van de aanvallen zou sindsdien zijn toegenomen en inmiddels gericht zijn op alle dns-servers van het bedrijf. TransIP claimt dat zijn technische afdeling erin geslaagd is om de aanvallen af te wenden waardoor de impact op websites van klanten zeer beperkt zou zijn. Omdat de intensiteit van de ddos-aanvallen blijft toenemen, zegt de hoster toch besloten te hebben om zijn klanten te informeren.

TransIP laat tevens weten dat het 'letterlijk dag en nacht' werkt om de ddos-aanvallen te pareren en dat het daarbij nauw samenwerkt met het Team High Tech Crime van de politie en het team digitale recherche Leiden/Den Haag. Inmiddels heeft de provider ook een weblog in de lucht gebracht waarop het klanten wil blijven informeren. Onduidelijk is nog waarom het hostingbedrijf, naar eigen zeggen de grootste domeinprovider van de Benelux, onder vuur is komen te liggen van ddos'ers; het bedrijf was zondag niet bereikbaar voor commentaar.

Zaterdag werd bekend dat het Team High Tech Crime in opdracht van het Openbaar Ministerie onderzoek doet naar de ddos-aanvallen op de netwerken van banken en het betalingssysteem iDeal. Onder andere klanten van de ING werden de dupe van de aanvallen.

IT-banen

Reacties (84)

Xtuv 7 april 2013 13:13

Update op de blog van 12:45:

Helaas zijn momenteel ook onze webhostingservers zelf het doelwit geworden van de grootschalige DDoS-aanval die vanochtend is opgezet. Hierdoor kan het voorkomen dat uw website tijdelijk beperkt bereikbaar is. We doen er uiteraard alles aan om verdere impact beperkt te houden.

mxcreep @Xtuv • 7 april 2013 13:16

Ik had al zo'n vermoeden, ik gebruik hun CentOS mirror vaak voor netwerk installaties en die was vanmorgen ineens echt bizar traag...

Sando @mxcreep • 7 april 2013 16:24

Ja ik merkte het ook met mirrors. Ik snap dit niet. De meest "onschuldige" zaken lijken de dupe te worden.

Mee eens of niet, Visa, Mastercard, Israël, Noord-Korea, Overheden, Tim Kuik, daar kan ik wel begrip voor opbrengen. Zelfs bij het betaalverkeer, wat ik zeer ernstig vind, kan ik snappen dat iemand het wel gehad heeft met al die geprivatiseerde winsten en genationaliseerde verliezen.

Maar dit, wat is hier het praktisch nut van?

Verwijderd @Sando • 7 april 2013 17:39

Eventueel kan de aanval zijn om geld te verdienen op de beurs. Er was al een storing eerder van de week (als ik even snel kijk is de koers omlaag gegaan die dag), en met nog een storing kan de koers sneller zakken of ING zelfs echt in de problemen brengen door paniek. Op vrijdag, de dag van de aanval, is de koers ook gezakt (alhoewel niet dramatisch), dus als je het deed om geld te verdienen dan is dat wel gelukt.

Nu zullen beursaankopen wel goed gecontroleerd worden, maar met zo een globale markt kun je als hacker vast wel via een kleine landje en omweggetjes anoniem aandelen kopen (lijkt me naïef om te denken dat dit niet zou kunnen). Het is natuurlijk maar een gok, andere optie is om betalingsverkeer te ondermijnen. Maar dan niet vanuit ideologische grondslag lijkt me (zoals anonymous): dan zou iemand de aanval toch wel claimen lijkt me om de boodschap over brengen.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 12:23]

FreshMaker

Internet

@Sando • 7 april 2013 17:48

Ja ik merkte het ook met mirrors. Ik snap dit niet. De meest "onschuldige" zaken lijken de dupe te worden.

Mee eens of niet, Visa, Mastercard, Israël, Noord-Korea, Overheden, Tim Kuik, daar kan ik wel begrip voor opbrengen. Zelfs bij het betaalverkeer, wat ik zeer ernstig vind, kan ik snappen dat iemand het wel gehad heeft met al die geprivatiseerde winsten en genationaliseerde verliezen.

Maar dit, wat is hier het praktisch nut van?

"Dat IEMAND het gehad heeft " ?

AL deze acties moeten worden veroordeeld, niet de één wel, de ander niet.
DDOS is een illegale handeling, en buiten dat, hoeveel gedupperden denk je dat er zijn, na de aanval op ABN en ING ?
Vooral na Pasen, een ideaal tijdstip, dat wel, de banken 3 dagen gesloten, en iedereen wil op de betreffende dinsdag zijn zaken regelen.
krijg je dit.

Ik heb al geen hoge pet op van die soort 'activisten' maar dit brengt echt GEEN begrip, of ondersteuning.

Verwijderd @FreshMaker • 7 april 2013 23:04

Klinkt eerder dat jij vooroordelen over activisten hebt dan dat je daadwerkelijk opkomt voor de mens. De ene actie is de andere niet, zo is ook de ene DDoS de andere niet. Een aanval op een particulier is anders dan een aanval op corporate powers. Vooral als het corporate powers betreft die er een zootje van maken. Daarom bekijk je het per casus en ga je er niet per definitie van uit dat "DDoS is illegaal! Opsluiten die handel!".

[Reactie gewijzigd door Verwijderd op 27 juli 2024 12:23]

lier @Verwijderd • 8 april 2013 16:29

Gelukkig is de wet (in een ideale wereld) objectief en behandeld daarom een vergrijp/overtreding/misdaad op een vergelijkbare manier.

Een DDoS is wat mij betreft nooit goed te praten, hooguit dat ik er begrip voor kan opbrengen. Als je een statement wil maken, doe dat dan ajb op een andere manier.

Shamalamadindon 7 april 2013 13:14

Beste klant,

Momenteel ondervindt TransIP wederom een zware DDoS-aanval. Deze aanval is de meest recente in een reeks die zondag 24 maart startte. Helaas zijn de aanvallen sindsdien in intensiteit toegenomen en richten zich inmiddels op al onze nameservers. Onze technische staf is er echter in geslaagd om ook de meest recente aanval succesvol af te wenden.

De impact is momenteel dan ook zeer beperkt. Desondanks willen we u vanwege de toegenomen intensiteit op de hoogte houden.

We willen benadrukken dat onze medewerkers letterlijk dag en nacht werken om de mogelijke impact van deze aanvallen te minimaliseren. Hierbij wordt intensief samengewerkt met het Team High Tech Crime van het KLPD en het team digitale recherche Leiden/Den Haag.

We hopen u voor nu voldoende te hebben geïnformeerd. Via http://www.transnoc.nl houden we u op de hoogte van de meest actuele status.

Met vriendelijke groet,

TransIP

Dan0sz @Shamalamadindon • 7 april 2013 13:23

Ik kreeg die mail ook zonet. Wel goed inderdaad dat ze hun klanten op de hoogte houden.

Ik moet zeggen dat ik er helemaal geen last van heb. Heb alleen twee domeinnamen bij hun en het opzoeken van de sites is geen spat trager.

Phoib 8 april 2013 11:51

Ik had van de twitter feed van TransIp begrepen dat het een boze (ex?) klant is/was: https://twitter.com/ZRooted

Geen idee of het klopt, TransIP wil er verder niet op reageren.

kritischelezer 7 april 2013 13:14

Is het geen idee om DNS servers alleen toegankelijk te maken van servers uit het eigen park (dus eigen klanten)?

Ik draai een eigen DNS server, die alleen toegankelijk is door geselecteerde servers, of denk ik te simpel?

[Reactie gewijzigd door kritischelezer op 27 juli 2024 12:23]

Kompaan @kritischelezer • 7 april 2013 13:19

Zij bieden DNS services aan, niet resolvers, dus die moet iedereen kunnen bereiken, anders zullen domeinen die bij hen zijn ondergebracht niet meer bereikbaar zijn.

FiscBiker @kritischelezer • 7 april 2013 13:17

Iemand zal de wereld (alle andere DNS-servers) toch moeten vertellen waar jouw website te vinden is.

[Reactie gewijzigd door FiscBiker op 27 juli 2024 12:23]

Eagle_Erwin @kritischelezer • 7 april 2013 13:29

Als domeinprovider lever je eigenlijk altijd ook een nameserver-dienst, zodat de eigenaar van de domeinnaam gebruik kan maken van de nameservers van die provider.

Deze nameservers moeten open staan voor de hele wereld, anders kun je alleen de DNS van het betreffende domein resolven wanneer je op het netwerk van TransIP zit.

DLGandalf @kritischelezer • 7 april 2013 13:58

Om succesvol van een domein naar ip te gaan, moeten de authorative DNS servers wel open staan voor derden. In het geval van een DNS-register zullen hun servers vaak de authorative server zijn voor de domeinen van hun klanten.

Wat jij bedoelt is recursive DNS, dat wil je inderdaad niet open hebben staan voor onnodige derden.

/edit
@reageer foutje moest voor @kritischelezer zijn

[Reactie gewijzigd door DLGandalf op 27 juli 2024 12:23]

Verwijderd 7 april 2013 13:13

Dit is een zieke trend aan het worden, zelfs 'normale' gebruikers hebben hier last van. Vind ik niet echt kunnen, maar wat doe je er aan? Het is moeilijk te achterhalen.

Verwijderd @Verwijderd • 7 april 2013 13:35

Ik zie niet waarom de IP's waarvandaan de requests komen niet gewoon afgesloten kunnen worden voor een bepaalde termein. Stuur de mensen een brief dat ze hun computer moeten verversen. Zoiets?

Verwijderd @Verwijderd • 7 april 2013 13:52

Je kan verkeer van een bepaald IP adres niet gewoon stoppen. Wat je wel kan doen is de request van een bepaald IP adres nullrouten. Dat houd in met een firewall het doorsturen naar niks. Maar nu komt dus het probleem een aanval van 50gb/s moet door firewalls die dat kunnen verwerken en dat gaan niet zo gemakkelijk.

V-rg @Verwijderd • 7 april 2013 15:18

Niet zo zeer de firewall maar de beschikbare bandbreedte van de lijn naar TransIP en naar de servers, als je die gewoon volknalt met pakketjes kan je zoveel firewalls hebben als je wilt.

Je kan het beetje vergelijken met files op de snelweg, teveel auto's en alles loopt vast.

Predator @Verwijderd • 8 april 2013 11:47

Nullrouten is inderdaad de meest efficiente manier om verkeer van een bepaald adres tegen te houden, maar dat is heeft niet echt iets met firewalls te maken.
Alles wat kan routen (zelfs een PC) kan prima nullrouten.

Dit wordt dan ook best zo dicht mogelijk bij de bron, op een router gedaan.
Dicht tegen het doelwit is het te laat, want de afrit naar jou zit al vol.

Ik kreeg trouwens vorige weer net een CERT warning binnen over DDOS dmv recursive DNS servers...

[Reactie gewijzigd door Predator op 27 juli 2024 12:23]

Thugg @Verwijderd • 7 april 2013 13:44

Worden ddos aanvallen niet meestal gedaan met geinfecteerde computers van 'normale' mensen? Als je het IP blacklist en je ben klant van TransIP ben je mooi de sjaak.

SED @Thugg • 7 april 2013 17:39

als een besmette computer blacklisted wordt dan voorkomt dat erger en is alleen de besmette computer afgesloten.
Nu zijn wij de "sjaak".

Of blacklisten zin heeft is wel de vraag, veel van deze computers wisselen van ip adres /dhcp door providers.
Als jij dan een gelist nummer kijgt ben je alsnog onbesmet afgesloten.. listings bijhouden is daarnaast een hell of a job vrees ik.

Verwijderd @Thugg • 7 april 2013 23:07

De aanval op Spamhaus recent was gebaseerd op spoofing, waarbij een fundamenteel breekpunt van het huidige Internet is misbruikt, namelijk het DNS systeem. De aanval was zodanig opgericht dat bepaalde verzoeken werden verzonden naar DNS servers die op zijn beurt teruggestuurd werden naar het oorspronkelijke adres - maar dit adres is gespoofed tot het adres van de target. Ik weet de details niet, maar dit compliceert de zaak wel verder. Blacklisten heeft inderdaad geen zin.

wvdburgt @Verwijderd • 7 april 2013 14:02

Er zijn ook tools waarmee letterlijk een random afzender IP adres wordt gegenereerd. Heeft dus ook geen zin om die te blokkeren.

FireDrunk

@wvdburgt • 7 april 2013 14:11

Dat kan op een LAN misschien, maar over het internet duurt dat niet lang. Als er goede zones in routers gedefinieerd staan, krijg je vanzelf een router onderweg die zegt: "Tyf op, jij hoort niet bij mij aan te komen..."

Verwijderd @FireDrunk • 7 april 2013 16:05

Als er goede zones in routers gedefinieerd staan

Wat is een "zone" ?
Nog nooit van gehoord in deze context.

Wvdburgt heeft gelijk.
Een beetje DDoS-attack genereert traffic met contant veranderende, fake, source adressen. Dan kun je niet op source adres filteren.

TDeK @Verwijderd • 7 april 2013 22:38

Het probleem zit niet alleen in consumenten zombies. Wat volgens mij ook meespeelt zijn de honderden openstaande DNS resolvers. Doordat deze servers niet alleen naar requests uit hun eigen netwerk luisteren, maar in feite naar elke request, zijn ze - icm een fake source adres - perfect te gebruiken voor een amplification attack. Deze servers hebben immers vaak een flinke bandbreedte ter beschikking.
Als de systeembeheerders van de genoemde netwerken (zie hier) deze resolvers correct zouden configureren zou dat al een hoop schelen.

Xatr0z @Verwijderd • 7 april 2013 18:45

Ligt helemaal aan de aanval, met TCP gaat het je niet lukken. Maar inderdaad de DNS attacks kun je prima source IP aanpassen, alhoewel je provider dat natuurlijk filtert op je consumenten lijntje.

CH4OS @Verwijderd • 7 april 2013 17:33

Ik zie niet waarom de IP's waarvandaan de requests komen niet gewoon afgesloten kunnen worden voor een bepaalde termein. Stuur de mensen een brief dat ze hun computer moeten verversen. Zoiets?

Omdat de IP-adressen bij een DDoS aanval gespoofed zijn.

Daarbij kan de aanvaller gewoon de IP-adressen aanpassen of excluden bij de aanval als die merkt dat de packetjes opeens gedropped worden door de firewall.

[Reactie gewijzigd door CH4OS op 27 juli 2024 12:23]

jp @CH4OS • 7 april 2013 17:49

Dus zou een ISP al het verkeer moeten blokkeren wat, op basis van afzender IP, niet bij hun vandaan KAN komen.

NTAuthority

@jp • 7 april 2013 21:38

Dat gebeurt veelal wel, helaas nog altijd niet overal - krijg nog vaak genoeg spoofed UDP-packets gemeld die een 'reflection'-aanval pogen uit te voeren.

Mic2000 @Verwijderd • 7 april 2013 13:45

Ja of een enorm 'rem' op je verbinding zodat je niet bruikbaar bent voor DDOS aanvallen?

Jan de Olde @Verwijderd • 7 april 2013 14:27

Het zijn echt duizenden verschillende IP adressen van totaal verschilende locaties die tergelijkertijd een aanval uitvoeren. Dat is een enorme klus om al die ip adressen te identificeren en gebruikers te waarschuwen. Zelfs gespecialiseerde bedrijven die beschermen tegen DDOS attacks loggen dit soort informatie niet eens omdat het om terrabytes gaat.

Dit soort praktijken zou wat mij betreft keihard aangapakt moeten worden want de financiele schade is enorm.

t1mmy @Verwijderd • 7 april 2013 14:21

Een gewone consumenten verbinding heeft vaak niet de capaciteit om een netwerk plat te leggen. Daarnaast moeten die computers aan staan om te kunnen DDOS'en. Wat ze tegenwoordig vaak doen is in servers inbreken en die, met hun dikke internet lijn, gebruiken voor DDOS aanvallen. Een weekje geleden is er ingebroken in mijn VPS en pompte ik, zonder mijn weten, 15 GIGA bit per seconden er uit. Hierna snel SSH dicht gegooid en me server gereboot.

CyBeR @t1mmy • 7 april 2013 15:30

Een weekje geleden is er ingebroken in mijn VPS en pompte ik, zonder mijn weten, 15 GIGA bit per seconden er uit.

Daar geloof ik geen ene donder van.

Of jij moet een VPS hebben die met minimaal twee 10GbE lijnen is aangesloten. En dan nog is dat lastig zonder meteen ook de cpu van die doos compleet vol te trekken.

[Reactie gewijzigd door CyBeR op 27 juli 2024 12:23]

Navi @t1mmy • 7 april 2013 15:59

LOL, 15 gigabit vanuit je VPSje kan niet hoor

ZeromaNoiS @t1mmy • 7 april 2013 20:38

Reboot? Als je denkt dat je met het dichtgooien van ssh en een rebootje een hack ongedaan maakt kan je in jouw geval beter even de hele VPS opnieuw installeren.

[Reactie gewijzigd door ZeromaNoiS op 27 juli 2024 12:23]

GMJansen

@t1mmy • 8 april 2013 00:01

nou.... ze hadden t in de VS over een aanval van 300gbit/s
da's best veel.
en ja, waarschijnlijk is zo'n botnet grotendeels pc's bij mensen thuis.
als een pc op vol vermogen pompt met, zeg 1mb, dan heb je al
300.000mbps/1mbps = 300.000 pc's nodig!

1 virusje met een trjojan is immers makkelijker verspreid dan in 300-servers met een gb uplink inbreken lijkt me.

ps. 15gbps? welke hoster ter wereld heeft vps-en met een dual 10gb of 100gb kaart, of zelfs een dergelijke uplink?
de eerste: ik schat 0
de 2de is nog wel mogelijk, maar niet naar jouw server. Ik schat dat die op 100mbps zit...?

Trexpaxs @GMJansen • 8 april 2013 08:53

dat was geen botnet,
zoals hierboven vermeld

"De aanval op Spamhaus recent was gebaseerd op spoofing, waarbij een fundamenteel breekpunt van het huidige Internet is misbruikt, namelijk het DNS systeem. De aanval was zodanig opgericht dat bepaalde verzoeken werden verzonden naar DNS servers die op zijn beurt teruggestuurd werden naar het oorspronkelijke adres - maar dit adres is gespoofed tot het adres van de target. Ik weet de details niet, maar dit compliceert de zaak wel verder. Blacklisten heeft inderdaad geen zin."

Comgenie 7 april 2013 14:52

Heb een server staan bij TransIP en een hoop domeinen. Tot nu toe nog nergens last van gehad. Ik ben trots op TransIP

. Veel andere domain registars zouden veel slechter tegen zo'n DDOS kunnen. Weer een goede reden om bij TransIP te blijven

Zayl @Comgenie • 7 april 2013 15:32

Dat hangt ook maar net af van de infrastructuur en waar de aanvallers op doelen.

Pietje NL @Comgenie • 7 april 2013 15:51

Same here, nog geen klachten gehad.
Tot nu toe kunnen ze erger voorkomen, maar hun kennende is het wel zo dat ze er veel werk aan hebben.
Anders hadden ze namelijk geen mail gestuurd, want dan zouden ze het voor kunnen blijven.

biglia 7 april 2013 13:30

Dit is toch wel het zwakke punt van Internet, en het wordt enkel maar erger. Hopelijk komt er ooit een adequate oplossing voor deze ziekte.

Verwijderd @biglia • 7 april 2013 14:19

Het wordt steeds erger omdat steeds meer mensen steeds meer uitbesteden aan steeds minder partijen. Dit uitbesteden en consolideren heeft natuurlijk veel voordelen, maar een van de nadelen is wel dat je mede-slachtoffer kunt worden van aanvallen die eigenlijk niet voor jou bedoeld zijn.

Overigens is het geen alles of niets verhaal. Je hoeft niet je eigen BGP router aan meerdere Internet exchanges te hangen om dit soort dingen te voorkomen. Vrijwel alle belangrijke protocollen, waaronder DNS, SMTP en HTTP, lenen zich prima voor een de-centrale opstelling bij meerdere providers.

Wat mij betreft is het Internet juist bij uitstek geschikt om de effecten van dit soort aanvallen te beperken. Echter is het een kosten/baten overweging die niet bij iedereen dezelfde conclusie oplevert.

kritischelezer @biglia • 7 april 2013 14:49

alleen IP's gebruiken en geen url's

NBK @kritischelezer • 7 april 2013 19:07

Dat werkt niet als je meerdere domeinen op 1 webserver heb staat. De webserver moet wel weten welke site jij op wil vragen.

vssr @NBK • 8 april 2013 09:05

http://213.239.154.20/eerste-website
http://213.239.154.20/tweede-website

Fish @vssr • 8 april 2013 10:12

hehe dat is een ip IN een url

dat is geen ip

Eerst wordt een domein in de url resolved naar een ip adres.
daarna wordt op ip niveau vebinding gemaakt met (standaard poort 80)

in het http request wordt er pas een host opgevraagd

GET / HTTP/1.1
Host: tweakers.net
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: TnetID=amehoela
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

tenzij je het 2e gedeelte in je url rewrite, benader je 1 website nl 213.239.154.20

[Reactie gewijzigd door Fish op 27 juli 2024 12:23]

vssr @Fish • 8 april 2013 10:32

Precies, maar dat kan de webserver doen

Lennardnl 7 april 2013 13:14

Tweakers:
"Hostingbedrijf TransIP heeft aan zijn klanten laten weten dat zijn dns-servers al twee weken lang onder vuur liggen van ddos-aanvallen."

TransIP:
"Deze aanval is de meest recente in een reeks die zondag 24 maart startte. Helaas zijn de aanvallen sindsdien in intensiteit toegenomen en richten zich inmiddels op al onze nameservers."

Dus de DNS-servers (hoofdletters) worden niet al 2 weken onder vuur genomen, de servers van TransIP worden 2 weken onder vuur genomen, en sinds kort ook de nameservers.

Xellence @Lennardnl • 7 april 2013 13:22

Het staat er letterlijk: ... inmiddels op al onze nameservers.
Ergo de aanvankelijke ddos richtte zich niet op al hun nameservers maar op enkele nameservers. Dus niet sinds kort ook de nameservers.

Kabouterplop01 7 april 2013 13:14

Bij een amplification liggen die DNS servers niet onder vuur! Ze helpen juist mee aan te vallen. Die DNS servers geven immers antwoord naar het aan te vallen adres.

[Reactie gewijzigd door Kabouterplop01 op 27 juli 2024 12:23]

Kompaan @Kabouterplop01 • 7 april 2013 13:20

Maar als er genoeg inkomend verkeer is, kan dat als nog een probleem zijn...

CH4OS 7 april 2013 16:23

Vreemd, ik heb twee domeinen die ik bij TransIP afneem (zonder hosting) en dus ook slachtoffer zou moeten zijn van hun DNS DDOS en heb geen bericht hierover ontvangen.

[Reactie gewijzigd door CH4OS op 27 juli 2024 12:23]

Mathijs @CH4OS • 7 april 2013 17:35

Onderaan staat:

"U krijgt deze e-mail omdat u de optie "Onderhoudsmeldingen" heeft aangezet bij uw e-mailvoorkeuren."

Dat is misschien bij jou niet het geval?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (84)

Sorteer op:

Weergave: