Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 84, views: 45.474 •
Submitter: FuzzyLogic66

Hostingbedrijf TransIP heeft aan zijn klanten laten weten dat zijn dns-servers al twee weken lang onder vuur liggen van ddos-aanvallen. De hoster zegt de in intensiteit toenemende aanvallen te kunnen afslaan. Wel werkt het bedrijf samen met het Team High Tech Crime van de politie.

In een e-mail naar zijn klanten meldt TransIP dat het naar eigen zeggen al sinds 24 maart slachtoffer is van een reeks zware ddos-aanvallen. De intensiteit van de aanvallen zou sindsdien zijn toegenomen en inmiddels gericht zijn op alle dns-servers van het bedrijf. TransIP claimt dat zijn technische afdeling erin geslaagd is om de aanvallen af te wenden waardoor de impact op websites van klanten zeer beperkt zou zijn. Omdat de intensiteit van de ddos-aanvallen blijft toenemen, zegt de hoster toch besloten te hebben om zijn klanten te informeren.

TransIP laat tevens weten dat het 'letterlijk dag en nacht' werkt om de ddos-aanvallen te pareren en dat het daarbij nauw samenwerkt met het Team High Tech Crime van de politie en het team digitale recherche Leiden/Den Haag. Inmiddels heeft de provider ook een weblog in de lucht gebracht waarop het klanten wil blijven informeren. Onduidelijk is nog waarom het hostingbedrijf, naar eigen zeggen de grootste domeinprovider van de Benelux, onder vuur is komen te liggen van ddos'ers; het bedrijf was zondag niet bereikbaar voor commentaar.

Zaterdag werd bekend dat het Team High Tech Crime in opdracht van het Openbaar Ministerie onderzoek doet naar de ddos-aanvallen op de netwerken van banken en het betalingssysteem iDeal. Onder andere klanten van de ING werden de dupe van de aanvallen.

Reacties (84)

Update op de blog van 12:45:
Helaas zijn momenteel ook onze webhostingservers zelf het doelwit geworden van de grootschalige DDoS-aanval die vanochtend is opgezet. Hierdoor kan het voorkomen dat uw website tijdelijk beperkt bereikbaar is. We doen er uiteraard alles aan om verdere impact beperkt te houden.
Ik had al zo'n vermoeden, ik gebruik hun CentOS mirror vaak voor netwerk installaties en die was vanmorgen ineens echt bizar traag...
Ja ik merkte het ook met mirrors. Ik snap dit niet. De meest "onschuldige" zaken lijken de dupe te worden.

Mee eens of niet, Visa, Mastercard, IsraŽl, Noord-Korea, Overheden, Tim Kuik, daar kan ik wel begrip voor opbrengen. Zelfs bij het betaalverkeer, wat ik zeer ernstig vind, kan ik snappen dat iemand het wel gehad heeft met al die geprivatiseerde winsten en genationaliseerde verliezen.

Maar dit, wat is hier het praktisch nut van?
Eventueel kan de aanval zijn om geld te verdienen op de beurs. Er was al een storing eerder van de week (als ik even snel kijk is de koers omlaag gegaan die dag), en met nog een storing kan de koers sneller zakken of ING zelfs echt in de problemen brengen door paniek. Op vrijdag, de dag van de aanval, is de koers ook gezakt (alhoewel niet dramatisch), dus als je het deed om geld te verdienen dan is dat wel gelukt.

Nu zullen beursaankopen wel goed gecontroleerd worden, maar met zo een globale markt kun je als hacker vast wel via een kleine landje en omweggetjes anoniem aandelen kopen (lijkt me naÔef om te denken dat dit niet zou kunnen). Het is natuurlijk maar een gok, andere optie is om betalingsverkeer te ondermijnen. Maar dan niet vanuit ideologische grondslag lijkt me (zoals anonymous): dan zou iemand de aanval toch wel claimen lijkt me om de boodschap over brengen.

[Reactie gewijzigd door Astaroth op 7 april 2013 17:41]

Ja ik merkte het ook met mirrors. Ik snap dit niet. De meest "onschuldige" zaken lijken de dupe te worden.

Mee eens of niet, Visa, Mastercard, IsraŽl, Noord-Korea, Overheden, Tim Kuik, daar kan ik wel begrip voor opbrengen. Zelfs bij het betaalverkeer, wat ik zeer ernstig vind, kan ik snappen dat iemand het wel gehad heeft met al die geprivatiseerde winsten en genationaliseerde verliezen.

Maar dit, wat is hier het praktisch nut van?
"Dat IEMAND het gehad heeft " ?

AL deze acties moeten worden veroordeeld, niet de ťťn wel, de ander niet.
DDOS is een illegale handeling, en buiten dat, hoeveel gedupperden denk je dat er zijn, na de aanval op ABN en ING ?
Vooral na Pasen, een ideaal tijdstip, dat wel, de banken 3 dagen gesloten, en iedereen wil op de betreffende dinsdag zijn zaken regelen.
krijg je dit.

Ik heb al geen hoge pet op van die soort 'activisten' maar dit brengt echt GEEN begrip, of ondersteuning.
Klinkt eerder dat jij vooroordelen over activisten hebt dan dat je daadwerkelijk opkomt voor de mens. De ene actie is de andere niet, zo is ook de ene DDoS de andere niet. Een aanval op een particulier is anders dan een aanval op corporate powers. Vooral als het corporate powers betreft die er een zootje van maken. Daarom bekijk je het per casus en ga je er niet per definitie van uit dat "DDoS is illegaal! Opsluiten die handel!".

[Reactie gewijzigd door Senzune op 7 april 2013 23:04]

Gelukkig is de wet (in een ideale wereld) objectief en behandeld daarom een vergrijp/overtreding/misdaad op een vergelijkbare manier.

Een DDoS is wat mij betreft nooit goed te praten, hooguit dat ik er begrip voor kan opbrengen. Als je een statement wil maken, doe dat dan ajb op een andere manier.
Dit is een zieke trend aan het worden, zelfs 'normale' gebruikers hebben hier last van. Vind ik niet echt kunnen, maar wat doe je er aan? Het is moeilijk te achterhalen.
Ik zie niet waarom de IP's waarvandaan de requests komen niet gewoon afgesloten kunnen worden voor een bepaalde termein. Stuur de mensen een brief dat ze hun computer moeten verversen. Zoiets?
Worden ddos aanvallen niet meestal gedaan met geinfecteerde computers van 'normale' mensen? Als je het IP blacklist en je ben klant van TransIP ben je mooi de sjaak.
als een besmette computer blacklisted wordt dan voorkomt dat erger en is alleen de besmette computer afgesloten.
Nu zijn wij de "sjaak".

Of blacklisten zin heeft is wel de vraag, veel van deze computers wisselen van ip adres /dhcp door providers.
Als jij dan een gelist nummer kijgt ben je alsnog onbesmet afgesloten.. listings bijhouden is daarnaast een hell of a job vrees ik.
De aanval op Spamhaus recent was gebaseerd op spoofing, waarbij een fundamenteel breekpunt van het huidige Internet is misbruikt, namelijk het DNS systeem. De aanval was zodanig opgericht dat bepaalde verzoeken werden verzonden naar DNS servers die op zijn beurt teruggestuurd werden naar het oorspronkelijke adres - maar dit adres is gespoofed tot het adres van de target. Ik weet de details niet, maar dit compliceert de zaak wel verder. Blacklisten heeft inderdaad geen zin.
Ja of een enorm 'rem' op je verbinding zodat je niet bruikbaar bent voor DDOS aanvallen?
Je kan verkeer van een bepaald IP adres niet gewoon stoppen. Wat je wel kan doen is de request van een bepaald IP adres nullrouten. Dat houd in met een firewall het doorsturen naar niks. Maar nu komt dus het probleem een aanval van 50gb/s moet door firewalls die dat kunnen verwerken en dat gaan niet zo gemakkelijk.
Niet zo zeer de firewall maar de beschikbare bandbreedte van de lijn naar TransIP en naar de servers, als je die gewoon volknalt met pakketjes kan je zoveel firewalls hebben als je wilt.

Je kan het beetje vergelijken met files op de snelweg, teveel auto's en alles loopt vast.
Nullrouten is inderdaad de meest efficiente manier om verkeer van een bepaald adres tegen te houden, maar dat is heeft niet echt iets met firewalls te maken.
Alles wat kan routen (zelfs een PC) kan prima nullrouten.

Dit wordt dan ook best zo dicht mogelijk bij de bron, op een router gedaan.
Dicht tegen het doelwit is het te laat, want de afrit naar jou zit al vol.

Ik kreeg trouwens vorige weer net een CERT warning binnen over DDOS dmv recursive DNS servers...

[Reactie gewijzigd door Predator op 8 april 2013 11:48]

Er zijn ook tools waarmee letterlijk een random afzender IP adres wordt gegenereerd. Heeft dus ook geen zin om die te blokkeren.
Dat kan op een LAN misschien, maar over het internet duurt dat niet lang. Als er goede zones in routers gedefinieerd staan, krijg je vanzelf een router onderweg die zegt: "Tyf op, jij hoort niet bij mij aan te komen..."
Als er goede zones in routers gedefinieerd staan
Wat is een "zone" ?
Nog nooit van gehoord in deze context.

Wvdburgt heeft gelijk.
Een beetje DDoS-attack genereert traffic met contant veranderende, fake, source adressen. Dan kun je niet op source adres filteren.
Ligt helemaal aan de aanval, met TCP gaat het je niet lukken. Maar inderdaad de DNS attacks kun je prima source IP aanpassen, alhoewel je provider dat natuurlijk filtert op je consumenten lijntje.
Het probleem zit niet alleen in consumenten zombies. Wat volgens mij ook meespeelt zijn de honderden openstaande DNS resolvers. Doordat deze servers niet alleen naar requests uit hun eigen netwerk luisteren, maar in feite naar elke request, zijn ze - icm een fake source adres - perfect te gebruiken voor een amplification attack. Deze servers hebben immers vaak een flinke bandbreedte ter beschikking.
Als de systeembeheerders van de genoemde netwerken (zie hier) deze resolvers correct zouden configureren zou dat al een hoop schelen.
Het zijn echt duizenden verschillende IP adressen van totaal verschilende locaties die tergelijkertijd een aanval uitvoeren. Dat is een enorme klus om al die ip adressen te identificeren en gebruikers te waarschuwen. Zelfs gespecialiseerde bedrijven die beschermen tegen DDOS attacks loggen dit soort informatie niet eens omdat het om terrabytes gaat.

Dit soort praktijken zou wat mij betreft keihard aangapakt moeten worden want de financiele schade is enorm.
Ik zie niet waarom de IP's waarvandaan de requests komen niet gewoon afgesloten kunnen worden voor een bepaalde termein. Stuur de mensen een brief dat ze hun computer moeten verversen. Zoiets?
Omdat de IP-adressen bij een DDoS aanval gespoofed zijn. :) Daarbij kan de aanvaller gewoon de IP-adressen aanpassen of excluden bij de aanval als die merkt dat de packetjes opeens gedropped worden door de firewall.

[Reactie gewijzigd door CptChaos op 7 april 2013 17:47]

Dus zou een ISP al het verkeer moeten blokkeren wat, op basis van afzender IP, niet bij hun vandaan KAN komen.
Dat gebeurt veelal wel, helaas nog altijd niet overal - krijg nog vaak genoeg spoofed UDP-packets gemeld die een 'reflection'-aanval pogen uit te voeren.
Een gewone consumenten verbinding heeft vaak niet de capaciteit om een netwerk plat te leggen. Daarnaast moeten die computers aan staan om te kunnen DDOS'en. Wat ze tegenwoordig vaak doen is in servers inbreken en die, met hun dikke internet lijn, gebruiken voor DDOS aanvallen. Een weekje geleden is er ingebroken in mijn VPS en pompte ik, zonder mijn weten, 15 GIGA bit per seconden er uit. Hierna snel SSH dicht gegooid en me server gereboot.
Een weekje geleden is er ingebroken in mijn VPS en pompte ik, zonder mijn weten, 15 GIGA bit per seconden er uit.
Daar geloof ik geen ene donder van.

Of jij moet een VPS hebben die met minimaal twee 10GbE lijnen is aangesloten. En dan nog is dat lastig zonder meteen ook de cpu van die doos compleet vol te trekken.

[Reactie gewijzigd door CyBeR op 7 april 2013 15:30]

LOL, 15 gigabit vanuit je VPSje kan niet hoor ;)
Reboot? Als je denkt dat je met het dichtgooien van ssh en een rebootje een hack ongedaan maakt kan je in jouw geval beter even de hele VPS opnieuw installeren.

[Reactie gewijzigd door ZeromaNoiS op 7 april 2013 20:39]

nou.... ze hadden t in de VS over een aanval van 300gbit/s
da's best veel.
en ja, waarschijnlijk is zo'n botnet grotendeels pc's bij mensen thuis.
als een pc op vol vermogen pompt met, zeg 1mb, dan heb je al
300.000mbps/1mbps = 300.000 pc's nodig!

1 virusje met een trjojan is immers makkelijker verspreid dan in 300-servers met een gb uplink inbreken lijkt me.

ps. 15gbps? welke hoster ter wereld heeft vps-en met een dual 10gb of 100gb kaart, of zelfs een dergelijke uplink?
de eerste: ik schat 0
de 2de is nog wel mogelijk, maar niet naar jouw server. Ik schat dat die op 100mbps zit...?
dat was geen botnet,
zoals hierboven vermeld

"De aanval op Spamhaus recent was gebaseerd op spoofing, waarbij een fundamenteel breekpunt van het huidige Internet is misbruikt, namelijk het DNS systeem. De aanval was zodanig opgericht dat bepaalde verzoeken werden verzonden naar DNS servers die op zijn beurt teruggestuurd werden naar het oorspronkelijke adres - maar dit adres is gespoofed tot het adres van de target. Ik weet de details niet, maar dit compliceert de zaak wel verder. Blacklisten heeft inderdaad geen zin."
Tweakers:
"Hostingbedrijf TransIP heeft aan zijn klanten laten weten dat zijn dns-servers al twee weken lang onder vuur liggen van ddos-aanvallen."

TransIP:
"Deze aanval is de meest recente in een reeks die zondag 24 maart startte. Helaas zijn de aanvallen sindsdien in intensiteit toegenomen en richten zich inmiddels op al onze nameservers."

Dus de DNS-servers (hoofdletters) worden niet al 2 weken onder vuur genomen, de servers van TransIP worden 2 weken onder vuur genomen, en sinds kort ook de nameservers.
Het staat er letterlijk: ... inmiddels op al onze nameservers.
Ergo de aanvankelijke ddos richtte zich niet op al hun nameservers maar op enkele nameservers. Dus niet sinds kort ook de nameservers.
Beste klant,

Momenteel ondervindt TransIP wederom een zware DDoS-aanval. Deze aanval is de meest recente in een reeks die zondag 24 maart startte. Helaas zijn de aanvallen sindsdien in intensiteit toegenomen en richten zich inmiddels op al onze nameservers. Onze technische staf is er echter in geslaagd om ook de meest recente aanval succesvol af te wenden.

De impact is momenteel dan ook zeer beperkt. Desondanks willen we u vanwege de toegenomen intensiteit op de hoogte houden.

We willen benadrukken dat onze medewerkers letterlijk dag en nacht werken om de mogelijke impact van deze aanvallen te minimaliseren. Hierbij wordt intensief samengewerkt met het Team High Tech Crime van het KLPD en het team digitale recherche Leiden/Den Haag.

We hopen u voor nu voldoende te hebben geÔnformeerd. Via http://www.transnoc.nl houden we u op de hoogte van de meest actuele status.

Met vriendelijke groet,

TransIP
Ik kreeg die mail ook zonet. Wel goed inderdaad dat ze hun klanten op de hoogte houden.

Ik moet zeggen dat ik er helemaal geen last van heb. Heb alleen twee domeinnamen bij hun en het opzoeken van de sites is geen spat trager.
Werd er gepoogd om de DNS servers neer te halen of om ze te gebruiken voor een ddos aanval?
Bij een amplification liggen die DNS servers niet onder vuur! Ze helpen juist mee aan te vallen. Die DNS servers geven immers antwoord naar het aan te vallen adres.

[Reactie gewijzigd door Kabouterplop01 op 7 april 2013 13:15]

Maar als er genoeg inkomend verkeer is, kan dat als nog een probleem zijn...
Ze gaan het druk hebben bij THTC denk ik...
Is het geen idee om DNS servers alleen toegankelijk te maken van servers uit het eigen park (dus eigen klanten)?

Ik draai een eigen DNS server, die alleen toegankelijk is door geselecteerde servers, of denk ik te simpel?

[Reactie gewijzigd door kritischelezer op 7 april 2013 13:15]

Iemand zal de wereld (alle andere DNS-servers) toch moeten vertellen waar jouw website te vinden is.

[Reactie gewijzigd door FiscBiker op 7 april 2013 13:18]

Zij bieden DNS services aan, niet resolvers, dus die moet iedereen kunnen bereiken, anders zullen domeinen die bij hen zijn ondergebracht niet meer bereikbaar zijn.
Als domeinprovider lever je eigenlijk altijd ook een nameserver-dienst, zodat de eigenaar van de domeinnaam gebruik kan maken van de nameservers van die provider.

Deze nameservers moeten open staan voor de hele wereld, anders kun je alleen de DNS van het betreffende domein resolven wanneer je op het netwerk van TransIP zit.
Om succesvol van een domein naar ip te gaan, moeten de authorative DNS servers wel open staan voor derden. In het geval van een DNS-register zullen hun servers vaak de authorative server zijn voor de domeinen van hun klanten.

Wat jij bedoelt is recursive DNS, dat wil je inderdaad niet open hebben staan voor onnodige derden.

/edit
@reageer foutje moest voor @kritischelezer zijn

[Reactie gewijzigd door DLGandalf op 7 april 2013 13:59]

makkelijke gok zou natuurlijk afpersing zijn...
jij ons niet betalen, wij zorgen dat je diensten plat gaan, en zeker gezien de hoeveelheid domeinen gehost worden bij transip kan je bij een succesvolle ddos transip natuurlijk flink klem zetten helaas.
Ik zou het anders zien, ik heb liever een hosting die zijn best doet en dat laat zien dan een hosting die iedereen met een grote mond geld in zijn mik duwt. Want ik als klant zal dat toch moeten betalen.
Dit is toch wel het zwakke punt van Internet, en het wordt enkel maar erger. Hopelijk komt er ooit een adequate oplossing voor deze ziekte.
Het wordt steeds erger omdat steeds meer mensen steeds meer uitbesteden aan steeds minder partijen. Dit uitbesteden en consolideren heeft natuurlijk veel voordelen, maar een van de nadelen is wel dat je mede-slachtoffer kunt worden van aanvallen die eigenlijk niet voor jou bedoeld zijn.

Overigens is het geen alles of niets verhaal. Je hoeft niet je eigen BGP router aan meerdere Internet exchanges te hangen om dit soort dingen te voorkomen. Vrijwel alle belangrijke protocollen, waaronder DNS, SMTP en HTTP, lenen zich prima voor een de-centrale opstelling bij meerdere providers.

Wat mij betreft is het Internet juist bij uitstek geschikt om de effecten van dit soort aanvallen te beperken. Echter is het een kosten/baten overweging die niet bij iedereen dezelfde conclusie oplevert.
alleen IP's gebruiken en geen url's
Dat werkt niet als je meerdere domeinen op 1 webserver heb staat. De webserver moet wel weten welke site jij op wil vragen.
hehe dat is een ip IN een url

dat is geen ip

Eerst wordt een domein in de url resolved naar een ip adres.
daarna wordt op ip niveau vebinding gemaakt met (standaard poort 80)

in het http request wordt er pas een host opgevraagd
GET / HTTP/1.1
Host: tweakers.net
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: TnetID=amehoela
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
tenzij je het 2e gedeelte in je url rewrite, benader je 1 website nl 213.239.154.20

[Reactie gewijzigd door fish op 8 april 2013 10:21]

Precies, maar dat kan de webserver doen :)

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013