Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 89, views: 12.728 •

Sinds woensdagavond vindt opnieuw een ddos-aanval op DigiD plaats, waardoor burgers moeite kunnen hebben met inloggen. Dinsdagavond, -nacht en woensdagmorgen hadden gebruikers ook al moeite met inloggen als gevolg van een ddos-aanval.

Digid-logoLogius, de ict-beveiligingsorganisatie van de overheid, schrijft op zijn website dat DigiD sinds woensdagavond half tien minder goed bereikbaar is. Woordvoerder Frank Wassenaar van het ministerie van Binnenlandse Zaken zegt dat gebruikers nog moeite kunnen hebben om de website binnen te komen. "Aan de andere kant merken we ook dat mensen er wel inkomen", aldus Wassenaar. "De site is dus niet helemaal down."

Dinsdagavond, de daaropvolgende nacht en woensdagmorgen waren er ook al problemen bij DigiD, tevens als gevolg van een ddos-aanval. Door de vergaande integratie van DigiD zijn de nodige overheidsdiensten moeilijk te gebruiken wanneer DigiD problemen heeft. Veel overheidsdiensten leunen op DigiD, waaronder die van de belastingdienst, gemeentes, de Dienst Uitvoering Onderwijs en Studielink. Daarnaast gebruiken onder meer zorgverzekeraars DigiD om hun klanten te laten inloggen. De afgelopen weken steeg het aantal ddos-aanvallen in Nederland; onder meer banken en luchtvaartmaatschappij KLM waren doelwit.

Reacties (89)

"De site is dus niet helemaal down." Alsof dat een goedmakertje is? De website van de 'overheid' hoort gewoon altijd bereikbaar te zijn, vooral DigiD! Echter ben ik wel benieuwd naar het feit, dat de website minder bereikbaar is. Komt dit omdat de DDoSer minder pakketjes verstuurd? Of heeft Logius maatregelen genomen?

Als het laatste het geval is, dan hebben ze dit blijkbaar niet goed uitgevoerd of in ieder geval met te weinig capaciteit. Want en DDoS kun je op meerdere manieren afweren, ligt er uiteraard wel aan hoeveel Gbit er vanuit de DDoS op je switches terecht komen..

Je kunt bijvoorbeeld een load balancer plaatsen ( wat ze waarschijnlijk al hebben, en anderes heeeul snel moeten aanschaffen ), aan de load balancer hang je vervolgens meerdere lijnen om de connecties te verdelen. Daarbij kun je 8 van de 10 DDoS aanvallen met packet filtering afweren, omdat er meestal met eenzelfde hoeveelheid bytes wordt verstuurd.

EDIT: Daarbij lijkt het alsof de medewerkers van de overheid zich ook op Tweakers bevinden, en -1 uitdelen!

[Reactie gewijzigd door Unflux op 25 april 2013 09:37]

ik blijf het grappig vinden dat deze mensen "hackers" genoemt worden haha.

zeer triest dat die digid servers niet in een eigen overheidscloud staan met een bandbreedte om bang van te worden.

als ze dit samen met de gehele overheidswebsites zouden doen, had er niemand ooit last van, dan word het een probleem als er een ddos oorlog komt, wat ook nog eens zeer zou kunnen.

[Reactie gewijzigd door Trexpaxs op 25 april 2013 09:39]

Maar zou mogelijk alles down zijn en niet alleen digid. Het is maar net wat je wil. Dat heeft nameljik ook een risico.
De vraag is, hoeveel belasting extra wil jij betalen om de verbindingen te maken waar mensen bang van worden?

Ik denk dat wanneer bekend wordt dat de overheid komend jaar 500 miljoen extra uitgeeft om af en toe een ddos af te slaan de verontwaardiging enorm is.
Deze discussie is al vaker gevoerd, het is naar wat ik weet (en inmiddels ook wel bewezen) praktisch vrijwel onmogelijk om een DDoS aanval af te slaan / doorstaan tenzij je een enorme hoeveelheid bandbreedte tot beschikking hebt.

Als een flink bot-net aan het werk wordt gezet, en twee maal met minuut een aanvraag verstuurd per bot, loopt dit al snel in getallen die een gemiddelde Nederlandse website niet kan verdragen. Pakketten filteren zal niet werken, omdat een server bijvoorbeeld maar twee maal per minuut een normale web aanvraag van eenzelfde IP-adres vandaan krijgt, en een load balancer voegt daar niets nuttigs aan toe.

Er is wel hardware beschikbaar die hier specifiek op inspeelt en op die manier de server zelf enigszins ontziet, maar het kanaal naar de server toe (ofwel de hoeveelheid bandbreedte) blijft altijd beperkt. Als deze vol zit, zit deze vol.

Naar wat ik mij kan herrineren gebruikt Tweakers hardware specifiek om DDoS aanvallen af te slaan, en is deze aangeschaft nadat de site er een keer uit heeft gelegen.

Kan iemand hier wellicht verder op toelichten?

[Reactie gewijzigd door ScoeS op 25 april 2013 09:51]

Je moet gewoon afspraken maken met je uplink providers, dat zij regels in de firewall zetten. Als overheid kan je dit wel afdwingen. Zo werken de meesten DDoS shields

[Reactie gewijzigd door GrooV op 25 april 2013 09:45]

Als een DDoS uit normale webaanvragen bestaat (bots zoeken www.digid.nl, en dat doen 500.000 PC's twee keer per minuut), hoe ga je dan de aanvallen filteren van de normale gebruikers die een site willen benaderen?
Je zou als eerste DigiD af kunnen schermen voor buitenland. Ga er vanuit dat dat in ieder geval al gedaan is. De kans dat iemand DigiD gebruikt vanuit buitenland acht ik nihiel.
Dan hou je alleen de NL ip reeksen over. Dat zou al stuk moeten schelen
Onzin, Nederlanders komen (gelukkig) ook wel eens in het buitenland en moeten dan ook hun zaken kunnen regelen. Wel kan je proberen striktere regels voor het aantal verbindingen vanuit het buitenland op te stellen bij de uplink provider, bijvoorbeeld max 1000 verbindingen per minuut vanuit het buitenland. Bij de DDOS wordt de site dan onbereikbaar vanuit het buitenland maar binnenlands werkt het nog prima.

(Het nummer is een absoluut guesstimate.)
Precies. De uplink aanpakken idd de beste manier. Je kunt zoveel servers plaatsen als je wilt, als je bandbreedte (ergens tussen jou en je gebruiker) volgeplempt wordt gaan je klanten er zowiezo 'iets' van merken. Pak de DDOS dus zo dicht mogenlijk bij de bron aan, zonder legitieme gebruikers te benadelen.

Ik ga er (naief als ik ben) van uit dat speciaal een service als digid toch wel goed verzorgd is. Was er iets 'leuks' aan deze DDOS? een vergeten protocol misschien? corrupte pakketjes? Ja, dit is een verkapt verzoek om een mooi artikel over moderne DDOS technieken op tweakers :-)
Gewoon even een idee. Ik ben hier niet 100% thuis in, dus maak gerust een opmerking als dit onmogelijk is.

Kan er geen DDOS bescherming geplaatst worden aan de ISP kant? (Gelijkaardig aan wat Tweakers.net heeft staan, maar dan aan de andere kant van de lijn). Hierdoor wordt enkel het gefilterde verkeerd doorgegeven naar de servers, en is het dichttrekken van de bandbreedte nagenoeg onmogelijk.
Zolang het DDOS afweer systeem nog kan volgen met rekenkracht, denk ik dat je goed zit.
Precies. En juist als je in het buitenland bent is het van belang dat je toegang hebt tot overheidszaken, dus afsluiten is geen optie. Als je gewoon thuis bent kan je ook altijd nog even naar het gemeentehuis of belastingdienst fietsen voor de meest voorkomende zaken waar je als doorsnee burger mee te maken hebt.
De kans dat iemand DigiD gebruikt vanuit buitenland acht ik nihiel.
Ik denk dat je dat onderschat. Veel AOW gerechtigde wonen in het buitenland en kunnen gewoon via DigiD de persioenzaken regelen:
http://www.rijksoverheid....-het-buitenland-woon.html
Fijn voor mijn collega's in de buitendienst, die 3 weken in China zitten en dan weer een week thuis. Zij zullen er dan last van ondervinden dat vanuit het buitenland niks meer met DigiD te doen is.

@kwakzalver: zolang VPN niet geblokkeerd wordt ja :)

[Reactie gewijzigd door Grrrrrene op 25 april 2013 11:20]

Aah maar daarvoor is VPN uitgevonden.
Zo en zo stom om vanuit het buitenland dan zonder VPN te werken in een 'vreemde' omgeving.
En waar zie jij dat DigiD een VPN aanbiedt?
Je kunt gewoon elke (betrouwbare) VPN gebruiken die je normaliter ook zou gebruiken voor andere dingen.
Twee jaar geleden ben ik 5 maanden in Nieuw Zeeland geweest, vond het toen toch wel handig dat ik nog bij mijn overheidsgegevens kon....

Beperken is wellicht een goede oplossing maar afsluiten is onmogelijk vanwege alle expats en andere Nederlanders die tijdelijk in het buitenland verblijven...
Maar de firewall die dit verkeer moet blokkeren heeft ook maar een beperkte capaciteit en daarnaast ook een netwerkverbinding die vol kan komen te zitten als de DDoS maar groot genoeg is. Eigenlijk rek je het zo alleen maar een beetje en verschuif je vervolgens het probleem.

Als ze de boel plat willen krijgen krijgen ze de boel plat volgens mij.

[Reactie gewijzigd door Lex_brugman op 25 april 2013 11:10]

Dat is altijd met dit soort dingen (en vele andere zoals bijvoorbeeld de inhuldiging van W.A. volgende week). Het risico moet worden verlaagd tot een aanvaardbaar niveau en als het beperken van buitenlands connecties daarbij helpt zonder dat Nederlanders in het buitenland daar hinder van ondervinden is dat dat een goed idee.

Het is een illusie om te denken dat een website niet neer te halen is.
Naar wat ik mij kan herrineren gebruikt Tweakers hardware specifiek om DDoS aanvallen af te slaan, en is deze aangeschaft nadat de site er een keer uit heeft gelegen.
Je bedoelt de RioRey firewall?
Deze discussie is al vaker gevoerd, het is naar wat ik weet (en inmiddels ook wel bewezen) praktisch vrijwel onmogelijk om een DDoS aanval af te slaan / doorstaan tenzij je een enorme hoeveelheid bandbreedte tot beschikking hebt.

Als een flink bot-net aan het werk wordt gezet, en twee maal met minuut een aanvraag verstuurd per bot, loopt dit al snel in getallen die een gemiddelde Nederlandse website niet kan verdragen. Pakketten filteren zal niet werken, omdat een server bijvoorbeeld maar twee maal per minuut een normale web aanvraag van eenzelfde IP-adres vandaan krijgt, en een load balancer voegt daar niets nuttigs aan toe.
Dat is onzin, ja eerste klap is lastig af te vangen maar met beetje algoritme en beheerders kan je elke ddos aanval binnen uurtje afslaan, hoe groot die ook zal zijn. Tot nu toe lukt het bepaalde bedrijven wel om ddos gewoon af te weren, ook ING lukt het nu gewoon, niet eerste klap maar ze weten het wel vrij snel te analyseren en te blokkeren.

Is mythe dat je je niet kan beschermen tegen ddos!

Tweakers is het ook gelukt toen ze aangevallen werd, zat bewijs van websites die ddos succesvol weten af te slaan in relatief korte tijd, en is geen hele server park voor nodig(behalve voor eerste klap op te vangen uiteraard wel), dat is echt pure onzin.

Edit/
En kan je het zelf niet al beheerder zijn er tig bedrijven die je er graag mee willen helpen, die zijn gespecialiseerd in ddos aanvallen afslaan. ;)

Edit/2
Met simpele ACLs of zo in je router ga je het natuurlijk niet redden tegen wat complexere ddos aanval, maar dat is ook wel meest simpele automatische beveiliging.

[Reactie gewijzigd door mad_max234 op 25 april 2013 11:00]

Neen, je kan het niet afslaan, je kan alleen proberen de schade te beperken door het inkomden verkeer zoveel mogelijk tegen te gaan en liefst zo ver mogelijk upstream. Zelfs al dropt je firewall alles wat binnenkomt kan men nog altijd je uplink verzadigen.
De oplossing ligt niet in meer bandbreedte. Heb je je bandbreedte op orde dan is je server overbelast. De limiet op een server is ca 10Gbit en een PCI-e bus kan dit amper handelen. Dus 10Gbit bandbreedte zit met een DDoS ook zo vol.

De oplossing zit meer in een "re-route or routing path change". Ben je nu op basis van DNS - ip bereikbaar dan moet de hosting via een alternatief pad gerouteerd worden. Dat alternatief pad moet dus vanuit de client software genitieerd worden als deze een vermoedelijke DDoS detecteert. Natuurlijk zitten er veel haken en ogen aan deze manier maar ik denk dat hier de oplossing zit.

Ook maskerende technieken zoals bots die middels Tor netwerken DDoS sturen moeten op basis van firewalls al geblokkeerd worden. Een Tor netwerk volledig doorgronden is bijna ondoenlijk maar de exit punten zijn wel te detecteren en die zouden via firewalls geblokkeerd kunnen worden.
@Unflux: Misschien omdat jouw reactie gewoon zeer simplistisch en kort door de bocht is?

Een moderne ddos gaat echt verder dan een berg netwerkverkeer en malformed packets op een site afvuren hoor. En zelfs al was het dat alleen maar, dan nog kan men in het 'eigen netwerk' zelf wel packets gaan filteren, maar dan hoopt de ellende zich weer in het netwerk daar voor op. Je moet dus een aardige keten partijen af, die ook hun maatregelen moeten nemen.

Maar goed, een moderne ddos simuleert gewoon echte website bezoekers die daar hele reeksen aan HTTP requests uitvoeren, om zo niet alleen het netwerk en de webservers, maar ook de backend systemen te overbelasten. En ga jij maar eens op tijd detecteren wie legitieme bezoekers zijn en welke requests voort komen uit het ddos botnet.
Ook applicatie level ddos kan je goed tegen beschermen hoor. ;)

Daar praat jij dus over en denk dat dat niet mogelijk is om je daar tegen te beschermen maar dat is onjuist, techniek ligt ook niet stil.

Applicatie level ddos zijn http reqeust of halve reqeust of error verzoeken, etc. Zoals het invullen van passwoord bij ING was een applicatie level ddos aanval, en die weten ze prima af te slaan. Die kan je inderdaad niet met simpele router beschermen, maar zijn allang en breed oplossing voor, kan je zelf kant en klaar afnemen als je het zelf niet lukt om het voro elkaar te krijgen.

[Reactie gewijzigd door mad_max234 op 25 april 2013 11:19]

Maar goed, een moderne ddos simuleert gewoon echte website bezoekers die daar hele reeksen aan HTTP requests uitvoeren,
En daarin onderscheid DOS verkeer zich dus van regulier verkeer: het aantal aanvragen per tijdseenheid.
Probleem kan dan nog zijn dat het ip adres vd afzender is gespooft zodat ieder aanvraag van een andere afzender afkomstig lijkt te zijn, maar al die aanvragen (vanaf een bepaalde afzender) volgen wel dezelfde netwerk route.
Klopt. Zo werkt de dDos beveiliging op mijn werk ook. Indien de requests onder een bepaalde tijdseenheid komen worden ze geblokkeerd met een to many requests error.

legitieme software (zoals chrome) zal dan gas terug nemen, een bot niet. Deze oplossing ontlast de achterliggende database, de zwakke plek bij dynamische sites.
Sorry, maar bij een d-DOS (met de "d" van distributed) komt het verkeer van over allerlei verschillende routes, misschien zelfs wel honderden pc's van all over the world.

En met "hele reeksen HTTP requests" heb ik nergens gedefinieerd hoe vaak per tijdseenheid die komen (en of dat abnormaal is voor het reguliere verkeer).

Als al die pc's maar enkele requests per minuut doen zijn het toch nog snel ondoenlijk veel requests, bovenop het reguliere verkeer.

[Reactie gewijzigd door eymey op 25 april 2013 15:20]

Sorry hoor, maar de beste stuurlui staan altijd weer aan wal.. Zoals veel experts al zeggen, een DDos is helemaal niet zo simpel af te weren..
En aan de andere kant, het is je mede tweaker die bij bedrijven als pinkrocade etc werken die weer verantwoordelijk zijn voor de ICT puinhoop bij de overheid, want zij zijn degene die het voornamelijk allemaa maken voor de overheid..
Een DDos is inderdaad niet zo makkelijk af te weren.

http://thehackernews.com/...when-you-have-4-gbps.html

200 Gbps good luck with that.
Sorry hoor, maar de beste stuurlui staan altijd weer aan wal.. Zoals veel experts al zeggen, een DDos is helemaal niet zo simpel af te weren..
En aan de andere kant, het is je mede tweaker die bij bedrijven als pinkrocade etc werken die weer verantwoordelijk zijn voor de ICT puinhoop bij de overheid, want zij zijn degene die het voornamelijk allemaa maken voor de overheid..
Nee beste stuurlui zitten bij bedrijven die zich er in gespecialiseerd hebben om alle soorten ddos af te weren, preventie en stoppen van aanval, zoals cisco. ;)

Edit/
http://www.cisco.com/en/U...aper0900aecd8011e927.html

[Reactie gewijzigd door mad_max234 op 25 april 2013 11:27]

EDIT: Daarbij lijkt het alsof de medewerkers van de overheid zich ook op Tweakers bevinden, en -1 uitdelen!
Of mensen die beseffen dat je vrijwel niets kan doen tegen een zware DDos aanval. Je ideeen over packet filtering en load balancers helpen wel iets maar doen niets aan het probleem. Load Balancers moeten toch allemaal samenwerken en packet filtering doe je NADAT je het pakketje al ontvangen hebt, dus pas na de bottleneck.

Als jij kan beloven dat je een DDos aanval van deze grote kan afweren en de dienstverlening op peil kan houden kan je op dit moment waanzinnig veel geld verdienen. Ik denk echter dat je dat niet kan beloven. Niemand (behalve Google en Amazon, die zijn vrijwel niet te pakken door hun omvang) kan dat beloven.
De methode wat op dit moment wordt gebruikt is inderdaad behoorlijk ineffectief.
Zoals ik hierboven al aangaf, misschien kan je (al dan niet tegen een vergoeding) laten filteren aan de ISP kant, dus vr de bottleneck?
Want zoals ik de zaken zie, lijkt me dat de enige partij die hier enigzins effectief kan tegen optreden de ISP.
Correct me if i'm wrong.
En hoe ga je dat in hemelsnaam doen? Hoe kan een ISP nu weten of een pakket correct geformateerd is om aan de ontvangende kant behandeld te worden? Vanaf dat men nog maar ergens de term DPI bovenhaalt staan ze hier al op hun achterste poten ...
Ik zie het eerder als een stuk hardware wat aan de ISP kant ter beschikking wordt gesteld, waarover de klant die deze service afneemt volledige controle heeft. Daarmee doel ik op gelijkaardig apparaat dat Tweakers (de RioRey RX1810) heeft/had, maar dan aan de ISP kant van de lijn.

Ik heb nooit bij een ISP gewerkt, dus ik ben niet zeker of dit kan. Maar met mijn beperkte kennis lijkt het me niet onrealistisch.

Let wel, ik heb het hier alleen over een DDOS die een server op zijn knien wil krijgen door een grote hoeveelheid requests/data te versturen.

Als het gaat om incorrect geformateerde packets, welke een webserver dol laten draaien, is de bandbreedte het probleem niet. Je kan dan net zo goed aan de server gaan filteren, of de webserver patchen zodat het probleem niet meer optreedt.

Of heb ik hier een verkeerd beeld over hoe een DDOS werkt?

edit: Typo

[Reactie gewijzigd door fluffy1 op 25 april 2013 14:14]

Wat ik mis in de hele discussie, wie zit hier achter ? Het aantal slecht gespelde phishing mails van Oost-europese types schijnt nogal mee te vallen.

Wat is er leuk aan een DDOS aanval op ING, Rabo, iDEAL, DigiD, SNS, ABN etc ? Ja je legt een site plat en verder ?

Ga gvd een echte hobby zoeken.

Of is dit een soort "mine-is-bigger than yours" gedrag van types die achter botnets zitten om botnets te verpatsen/verhuren aan andere types die interesse hebben ?
Ik zet mijn geld in op degene die het op mogen lossen ;) Eigen werk creeren.

Zo verdenk ik de plaatselijke fietsenmaker van het stelselmatig jatten van mijn zadel.
Waarom moet een website van de overheid altijd bereikbaar zijn. Natuurlijk, het is handig dat je thuis informatie kunt opzoeken een aanvragen kunt doen. Maar het is natuurlijk geen mission critical systemen. Worst case moet je iets een paar dagen uitstellen. Daarnaast zijn er voldoende alternatieven om aan de informatie te komen.
Aan gezien je zelf Logius noemt, zul je ook wel weten hoe de kennis bij hun is.

Met de ervaring die ik heb als voormalig beheerder van Logius systemen. Is dat ze intern wat Windows bakken kunnen beheren. En een script draaien zoals bat2sh *zucht*

Nee, Logius moet het echt van de externe hebben.
ben deels met je eens maar je zou een ddos aanval kunnen vergelijk met dat er ineens 100.000 man op het gemeente huis komen hierdoor zou je kunnen stellen dat de gemeente deels bereikbaar is. dus de schuld niet leggen bij de gemeente maar bij het grootte aantal bezoekers (aanvragen)

stel dat bijvoorbeeld tweakers onder vuur zou liggen van een ddos aanval dan zou hun toch ook moete wijken voor de aanval. denkt dat er op de wereld geen bedrijf is dit dit zonder dat gebruikers het merken er last van hebben.

of ja je zou in zoon geval je server capaciteit kunnen vergroten maar hoe realistisch is dit? want stel dat de gene die de ddos aanval uitvoert dit door krijgt zou hij vervolgens meer slaves kunnen inzetten om de aanval zwaarder te maken.

dus kort gezet vindt ik dat je de schuld moet leggen bij de gene die de aanval uitvoert niet de gene die aangevallen wordt. en stel dat je de vinger naar iemand anders wil wijzen zou ik dat doen naar al die computers die zicht in het botnet bevinden. en dus een slechte beveiliging hebben van hun computer!
Ik vind het excuus precies hetzelfde overkomen als de banken; Ja wij kunnen er ook niets aan doen maar zijn soms nog wel bereikbaar.

O.T.
Het wordt toch hoog tijd lijk me dat er daadwerkelijk geinvesteerd wordt in apparatuur om dit soort aanvallen af te slaan. Nou snap ik dat dit niet 100% effectief is maar liever een vertraging dan plat, zeker met dit soort diensten.
Dit zou je inderdaad wel verwachten, en dit hoort in principe onderdeel te zijn van de eerste plan van aanpak die gemaakt is door de overheid wat betreft DigiD. Vooral als je nagaat hoeveel geld er ieder jaar weer in wordt gepompt, zowel in DigiD ( als security budget ), en de andere projecten die ieder jaar weer deels falen.
Dat ze in de soort situaties niet gewoon al het internet verkeer buiten nederland of europa gewoon blokkeren, of gaat dit niet zo makkelijk hiermee zul je waarschijnlijk wel het grootste deel van de problemen oplossen.

Face it, hoe veel mensen loggen op digiD in vanuit het buitenland?
Meer dan je denkt vermoed ik. Kijk alleen maar hoeveel Nederlanders in het buitenland wonen. Tel daarbij nog op de mensen die tijdelijk in het buitenland zijn, en je komt tot een fors aantal.

Juist het feit dat dit soort zaken remote zijn te regelen maakt wonen en verblijven in het buitenland zoveel makkelijker dan voorheen.
Ik vind het excuus precies hetzelfde overkomen als de banken; Ja wij kunnen er ook niets aan doen maar zijn soms nog wel bereikbaar.
Maar in het geval van een DDOS-aanval kunnen ze er ook daadwerkelijk heel weinig aan doen (ik zeg bewust niet "niks"). Ik ben geen expert, maar wat ik er zo over lees is bandbreedte vermeerdering eigenlijk gewoon geen optie.

Tenzij je heel extreem gaat, maar willen we van al die systemen waarvan we het belachelijk en schandalig vinden dat ze offline gaan bij een DDOS accepteren dat ze 10-100x zoveel gaan kosten? Zijn we bereid maandelijks 75 euro aan onze bank te betalen voor een gigantische hoeveelheid bandbreedte die eigenlijk alleen nodig is om incidenteel saboteurs met een botnet buitenspel te zetten?

Het wordt gewoon tijd dat mensen eens aandacht gaan besteden aan PC-beveiliging. Daarover moet op school les gegeven worden, zodat ook kinderen met wat minder affiniteit met computers leren dat en hoe ze hun computer goed moeten beveiligen. Jong geleerd is oud gedaan :Y)
Waar ik een beetje moe van word, is dat iedereen meteen afgeeft op de organisatie die de IT infrastructuur beheerd. Als je een x hoeveelheid gbit op je afkrijgt en je capaciteit is minder dan dat, dan heb je een probleem. Je kan natuurlijk 1000'en gbit aan machines aanschaffen, maar ja dat kost centjes.. en als de belastingen in Nederland omhoog gaan, klaagt ook iedereen.

We moeten daarom niet vergeten dat een DDOS aanval wordt uitgevoerd vanaf duizenden zombie PC's die staan te wachten op een opdracht om een bepaalde site te gaan bezoeken. Die zombie PC's zijn van onze vaders en moeders, opa's en oma's en van onszelf.
Er ligt dus ook een verantwoordelijkheid bij ons als gebruikers, zorg dat je machine up to date is, met een nette up to date virusscanner en met de laatste beveiligingspatches.
Een betere wereld begint bij jezelf.
Ddos is toch niet iets van de laatste maanden, het bestaat langer dan DigiD bestaat in ieder geval.

Als de overheid besluit om persoonlijke informatie online beschikbaar te maken, dan hadden ze beter alle risico's kunnen analyseren. Blijkbaar is een ddos aanval niet iets waar ze rekening mee hebben gehouden. Toch een beetje naief, mild gezegd.
En wat had jij dan gedaan? Hoeveel Gbit had je aan bandbreedte neergelegd? En vooral: wat mag dat kosten?

Het is zo ont-zet-tend makkelijk om op de verantwoordelijke ICT-ers af te geven, maar dat is net zoals afgeven op de beveiliging rondom een groot evenement als er een zwarte Suzuki Swift zomaar door een mensenmassa dichtbij de Oranjes kon komen, daarbij meerdere mensen zwaar verwondend of zelfs dodend. Met sommige dingen kun je geen rekening houden, al is het maar omdat de situatie anders onwerkbaar wordt (beveiliging) of omdat het veel te duur is (extreem veel bandbreedte tegen DDOS-aanvallen).
In het bericht van gisteren stond het volgende:
Volgens Wassenaar doen de aanvallers tweehonderd aanvragen per seconde.
200 requests per seconde dat moet een overheidsserver toch makkelijk kunnen hebben? Dan spreek je niet over een x hoeveelheid gbit aan data.
Inderdaad. 200/sec is niks. Dat zou een overheid dienst moeten kunnen hebben.
Dat zijn maar 17.280.000 per dag. Zeg maar elke inwoner van NL die 1 pagina bezoeken.

Op een normale dag hebben wij ruim 40.000 bezoekers per dag. requests ligt tich keer hoger.

[Reactie gewijzigd door hackerhater op 25 april 2013 15:00]

Kan je een ddos gebruiken om een hack te verbloemen.? Als je een bom melding doet tijdens een groot evenement, dan is de politie inzet daar. Dan kan je ondertussen een bank kraken.

Ik zie anders beperkt nut voor de daders....
Dat heeft alles met politiek en budget te maken.
Helaas maar waar.

Wat ik me dan afvraag is wat "men" er mee wil bereiken.
Waarom hebben al deze diensten, net zoals banken, geen ddos box hangen?
Bijvoorbeeld: http://www.checkpoint.com/products/ddos-protector/
Tweakers had een RioRey RX1810 in hun rack hangen maar die is niet meer terug te vinden in de serverpark 2013 write-up. Kennelijk zijn zulke appliances ook niet alles?

[Reactie gewijzigd door Rafe op 25 april 2013 09:46]

Ja, misschien een idee voor een leuke feature? Eens in detail uit te leggen wat er nou wel en niet te doen is aan een DDoS aanval?
- Omdat zo'n box geld kost;

- Omdat de maximale theoretische capaciteit mogelijk niet gehaald wordt, afhankelijk van de gebruikte licentie (fysiek 12 Gbps, maar als je een licentie van 2 Gbps afneemt en een aanval van 4 Gbps krijgt je nog steeds plat gaat;

- Omdat het ding geconfigureerd moet zijn, niet alle aanvallen hetzelfde zijn, en niet alle aanvallen even effectief afslaat (en box ophangen != nooit meer last van DDoS);

- Omdat de infrastructuur in bepaalde gevallen complexer is dan "we hangen er even een doosje tussen;

- Omdat het gebruik van zo'n apparaat neveneffecten met zich mee kan brengen, afhankelijk van de configuratie, infrastructuur en gemaakte beleidskeuzes.

Allemaal excuses die prima zijn te weerleggen (in theorie geen enkel probleem) maar wel een afspiegeling zijn van de realiteit.

(en dan heb ik het dus zelfs al over een situatie waarin zo'n box er gewoon wl hangt)

[Reactie gewijzigd door Eagle Creek op 25 april 2013 09:49]

Omdat zo'n box waarschijnlijk de pakketten die DDoS veroorzaken blokkeert. (Dat denk ik dan) En om te weten wat er geblokkeerd moet worden, moet het eerst gescand worden. Al het gescan van de vele pakketten die binnen een seconde binnenkomen kost ook veel tijd, waarop het netwerk trager en trager wordt en daarna helemaal onbereikbaar is. Het is vrijwel onmogelijk om je netwerk "DDoS-vrij" te maken.

En die dingen zijn meestal erg duur. Je kunt niet even zo'n DDoS boxje aanschaffen bij de plaatselijke IT shop wanneer je merkt dat je een aanval krijgt.

[Reactie gewijzigd door ShakerNL op 25 april 2013 09:52]

Wie zegt dat ze dat niet hebben?

Probleem blijft dat je met zo een box de aanval nog altijd op de verkeerde plaats afvangt. Vanaf dat je het in je eigen infrastructuur afvangt ben je de bottleneck gepasseerd. Die box mag dan nog alles nulrouten, je inkomend verkeer zal er niet door verminderen, en wanneer men je inkomende verbinding kan verzadigen dan ligt je dienst er alsnog uit.
Een DDoS aanval kan je helaas nooit compleet tegengaan, je kan er echter wel iets aan doen om het iets te reduceren met load balancers. Dit is dure apparatuur en hiermee kan het helaas ook niet altijd opgelost worden als je aangevallen wordt door een compleet botnet met meer dan 100GBIT per seconde aan dataverkeer.

Verder is het natuurlijk ook gewoon zwak van de mensen die deze DDoS aanvallen uitvoeren, die denken zeker stoer te zijn om tegen hun vrienden te zeggen dat ze een belangrijke overheidssite plat hebben gelegd. Hier is niks stoers aan als half Nederland er last van heeft, en een DDoS aanval uitvoeren is nou ook niet zo ingewikkeld om er mee op te kunnen scheppen.
Tegenwoordig is een uitgebreid botnet niet meer nodig.

single cannon van 4gbps
1 server, 1 locatie
Geteven refereert naar:
http://thehackernews.com/...when-you-have-4-gbps.html

Toch zou dit 'supersysteem' relatief eenvoudig te traceren moeten zijn, en dan dus ook te blokkeren door de ISP.
Is er een nieuwe script kiddie opgestaan nadat de vorige zijn lol heeft gehad? Als het DDos het nieuwe tijdverdrijf word voor mensen die zich vervelen dan word het goed zaken doen voor bedrijven die zich specialiseren in het afslaan van dit soorten aanvallen?
DigiD zal over een paar weken wel de juiste hardware/software hebben staan (mag je toch aannemen), maar voor de kleinere sites word dit een serieuze kosten bottleneck.

Totaal offtopic, ze zijn "toevallig" ook performance testen aan het doen (van eergisteren tot vandaag). Zie http://www.logius.nl/actueel/onderhoud/, toeval? :P
je zou toch haast zeggen dat die aanvalleen iets met elkaar gemeen moeten hebben, nu ze plotseling massaal voorkomen op websites van nederlandse organisaties. of het bijvoorbeeld om dezelfde aanvallers gaat, of dat het gewoon een wedstrijdje onderling is om zoveel mogelijk sites ''down'' te krijgen. ook blijkt maar weer dat de organisaties er niet op zijn voorbereid, alleen de SNS bank wist het vrij snel ''af te weren''. al is dat natuurlijk wel geformuleerd met hoge komma's, want het kan natuurlijk ook zijn dat de aanvallers er mee stopten, en dat de SNS dat dan weer ziet als ''afweren''. op dit moment is het alleen ''irritant'' en ''storend'', maar als het zich meer dan ''af en toe'' gaat voordoen zijn de gevolgen niet te overzien, al word er nu ook al flinke winst misgelopen..
het lijkt er een beetje op dat er iemand flink actief is geweest met het opzetten van een botnet en elke dag wakker word met de gedachte: ''kijken welke site we vandaag weer eens kunnen DDOS-aanvallen.''
de NS, rabobank, ING, SNS, KLM, who's next?

[Reactie gewijzigd door dutchgio op 25 april 2013 09:54]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013