Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 89 reacties

Sinds woensdagavond vindt opnieuw een ddos-aanval op DigiD plaats, waardoor burgers moeite kunnen hebben met inloggen. Dinsdagavond, -nacht en woensdagmorgen hadden gebruikers ook al moeite met inloggen als gevolg van een ddos-aanval.

Digid-logoLogius, de ict-beveiligingsorganisatie van de overheid, schrijft op zijn website dat DigiD sinds woensdagavond half tien minder goed bereikbaar is. Woordvoerder Frank Wassenaar van het ministerie van Binnenlandse Zaken zegt dat gebruikers nog moeite kunnen hebben om de website binnen te komen. "Aan de andere kant merken we ook dat mensen er wel inkomen", aldus Wassenaar. "De site is dus niet helemaal down."

Dinsdagavond, de daaropvolgende nacht en woensdagmorgen waren er ook al problemen bij DigiD, tevens als gevolg van een ddos-aanval. Door de vergaande integratie van DigiD zijn de nodige overheidsdiensten moeilijk te gebruiken wanneer DigiD problemen heeft. Veel overheidsdiensten leunen op DigiD, waaronder die van de belastingdienst, gemeentes, de Dienst Uitvoering Onderwijs en Studielink. Daarnaast gebruiken onder meer zorgverzekeraars DigiD om hun klanten te laten inloggen. De afgelopen weken steeg het aantal ddos-aanvallen in Nederland; onder meer banken en luchtvaartmaatschappij KLM waren doelwit.

Reacties (89)

Reactiefilter:-189088+175+26+30
Moderatie-faq Wijzig weergave
Waar ik een beetje moe van word, is dat iedereen meteen afgeeft op de organisatie die de IT infrastructuur beheerd. Als je een x hoeveelheid gbit op je afkrijgt en je capaciteit is minder dan dat, dan heb je een probleem. Je kan natuurlijk 1000'en gbit aan machines aanschaffen, maar ja dat kost centjes.. en als de belastingen in Nederland omhoog gaan, klaagt ook iedereen.

We moeten daarom niet vergeten dat een DDOS aanval wordt uitgevoerd vanaf duizenden zombie PC's die staan te wachten op een opdracht om een bepaalde site te gaan bezoeken. Die zombie PC's zijn van onze vaders en moeders, opa's en oma's en van onszelf.
Er ligt dus ook een verantwoordelijkheid bij ons als gebruikers, zorg dat je machine up to date is, met een nette up to date virusscanner en met de laatste beveiligingspatches.
Een betere wereld begint bij jezelf.
In het bericht van gisteren stond het volgende:
Volgens Wassenaar doen de aanvallers tweehonderd aanvragen per seconde.
200 requests per seconde dat moet een overheidsserver toch makkelijk kunnen hebben? Dan spreek je niet over een x hoeveelheid gbit aan data.
Inderdaad. 200/sec is niks. Dat zou een overheid dienst moeten kunnen hebben.
Dat zijn maar 17.280.000 per dag. Zeg maar elke inwoner van NL die 1 pagina bezoeken.

Op een normale dag hebben wij ruim 40.000 bezoekers per dag. requests ligt tich keer hoger.

[Reactie gewijzigd door hackerhater op 25 april 2013 15:00]

Ddos is toch niet iets van de laatste maanden, het bestaat langer dan DigiD bestaat in ieder geval.

Als de overheid besluit om persoonlijke informatie online beschikbaar te maken, dan hadden ze beter alle risico's kunnen analyseren. Blijkbaar is een ddos aanval niet iets waar ze rekening mee hebben gehouden. Toch een beetje naief, mild gezegd.
En wat had jij dan gedaan? Hoeveel Gbit had je aan bandbreedte neergelegd? En vooral: wat mag dat kosten?

Het is zo ont-zet-tend makkelijk om op de verantwoordelijke ICT-ers af te geven, maar dat is net zoals afgeven op de beveiliging rondom een groot evenement als er een zwarte Suzuki Swift zomaar door een mensenmassa dichtbij de Oranjes kon komen, daarbij meerdere mensen zwaar verwondend of zelfs dodend. Met sommige dingen kun je geen rekening houden, al is het maar omdat de situatie anders onwerkbaar wordt (beveiliging) of omdat het veel te duur is (extreem veel bandbreedte tegen DDOS-aanvallen).
"De site is dus niet helemaal down." Alsof dat een goedmakertje is? De website van de 'overheid' hoort gewoon altijd bereikbaar te zijn, vooral DigiD! Echter ben ik wel benieuwd naar het feit, dat de website minder bereikbaar is. Komt dit omdat de DDoSer minder pakketjes verstuurd? Of heeft Logius maatregelen genomen?

Als het laatste het geval is, dan hebben ze dit blijkbaar niet goed uitgevoerd of in ieder geval met te weinig capaciteit. Want en DDoS kun je op meerdere manieren afweren, ligt er uiteraard wel aan hoeveel Gbit er vanuit de DDoS op je switches terecht komen..

Je kunt bijvoorbeeld een load balancer plaatsen ( wat ze waarschijnlijk al hebben, en anderes heeeul snel moeten aanschaffen ), aan de load balancer hang je vervolgens meerdere lijnen om de connecties te verdelen. Daarbij kun je 8 van de 10 DDoS aanvallen met packet filtering afweren, omdat er meestal met eenzelfde hoeveelheid bytes wordt verstuurd.

EDIT: Daarbij lijkt het alsof de medewerkers van de overheid zich ook op Tweakers bevinden, en -1 uitdelen!

[Reactie gewijzigd door Unflux op 25 april 2013 09:37]

Deze discussie is al vaker gevoerd, het is naar wat ik weet (en inmiddels ook wel bewezen) praktisch vrijwel onmogelijk om een DDoS aanval af te slaan / doorstaan tenzij je een enorme hoeveelheid bandbreedte tot beschikking hebt.

Als een flink bot-net aan het werk wordt gezet, en twee maal met minuut een aanvraag verstuurd per bot, loopt dit al snel in getallen die een gemiddelde Nederlandse website niet kan verdragen. Pakketten filteren zal niet werken, omdat een server bijvoorbeeld maar twee maal per minuut een normale web aanvraag van eenzelfde IP-adres vandaan krijgt, en een load balancer voegt daar niets nuttigs aan toe.

Er is wel hardware beschikbaar die hier specifiek op inspeelt en op die manier de server zelf enigszins ontziet, maar het kanaal naar de server toe (ofwel de hoeveelheid bandbreedte) blijft altijd beperkt. Als deze vol zit, zit deze vol.

Naar wat ik mij kan herrineren gebruikt Tweakers hardware specifiek om DDoS aanvallen af te slaan, en is deze aangeschaft nadat de site er een keer uit heeft gelegen.

Kan iemand hier wellicht verder op toelichten?

[Reactie gewijzigd door ScoeS op 25 april 2013 09:51]

Je moet gewoon afspraken maken met je uplink providers, dat zij regels in de firewall zetten. Als overheid kan je dit wel afdwingen. Zo werken de meesten DDoS shields

[Reactie gewijzigd door GrooV op 25 april 2013 09:45]

Als een DDoS uit normale webaanvragen bestaat (bots zoeken www.digid.nl, en dat doen 500.000 PC's twee keer per minuut), hoe ga je dan de aanvallen filteren van de normale gebruikers die een site willen benaderen?
Je zou als eerste DigiD af kunnen schermen voor buitenland. Ga er vanuit dat dat in ieder geval al gedaan is. De kans dat iemand DigiD gebruikt vanuit buitenland acht ik nihiel.
Dan hou je alleen de NL ip reeksen over. Dat zou al stuk moeten schelen
Onzin, Nederlanders komen (gelukkig) ook wel eens in het buitenland en moeten dan ook hun zaken kunnen regelen. Wel kan je proberen striktere regels voor het aantal verbindingen vanuit het buitenland op te stellen bij de uplink provider, bijvoorbeeld max 1000 verbindingen per minuut vanuit het buitenland. Bij de DDOS wordt de site dan onbereikbaar vanuit het buitenland maar binnenlands werkt het nog prima.

(Het nummer is een absoluut guesstimate.)
Precies. De uplink aanpakken idd de beste manier. Je kunt zoveel servers plaatsen als je wilt, als je bandbreedte (ergens tussen jou en je gebruiker) volgeplempt wordt gaan je klanten er zowiezo 'iets' van merken. Pak de DDOS dus zo dicht mogenlijk bij de bron aan, zonder legitieme gebruikers te benadelen.

Ik ga er (naief als ik ben) van uit dat speciaal een service als digid toch wel goed verzorgd is. Was er iets 'leuks' aan deze DDOS? een vergeten protocol misschien? corrupte pakketjes? Ja, dit is een verkapt verzoek om een mooi artikel over moderne DDOS technieken op tweakers :-)
Gewoon even een idee. Ik ben hier niet 100% thuis in, dus maak gerust een opmerking als dit onmogelijk is.

Kan er geen DDOS bescherming geplaatst worden aan de ISP kant? (Gelijkaardig aan wat Tweakers.net heeft staan, maar dan aan de andere kant van de lijn). Hierdoor wordt enkel het gefilterde verkeerd doorgegeven naar de servers, en is het dichttrekken van de bandbreedte nagenoeg onmogelijk.
Zolang het DDOS afweer systeem nog kan volgen met rekenkracht, denk ik dat je goed zit.
Precies. En juist als je in het buitenland bent is het van belang dat je toegang hebt tot overheidszaken, dus afsluiten is geen optie. Als je gewoon thuis bent kan je ook altijd nog even naar het gemeentehuis of belastingdienst fietsen voor de meest voorkomende zaken waar je als doorsnee burger mee te maken hebt.
Maar de firewall die dit verkeer moet blokkeren heeft ook maar een beperkte capaciteit en daarnaast ook een netwerkverbinding die vol kan komen te zitten als de DDoS maar groot genoeg is. Eigenlijk rek je het zo alleen maar een beetje en verschuif je vervolgens het probleem.

Als ze de boel plat willen krijgen krijgen ze de boel plat volgens mij.

[Reactie gewijzigd door Lex_brugman op 25 april 2013 11:10]

Dat is altijd met dit soort dingen (en vele andere zoals bijvoorbeeld de inhuldiging van W.A. volgende week). Het risico moet worden verlaagd tot een aanvaardbaar niveau en als het beperken van buitenlands connecties daarbij helpt zonder dat Nederlanders in het buitenland daar hinder van ondervinden is dat dat een goed idee.

Het is een illusie om te denken dat een website niet neer te halen is.
De kans dat iemand DigiD gebruikt vanuit buitenland acht ik nihiel.
Ik denk dat je dat onderschat. Veel AOW gerechtigde wonen in het buitenland en kunnen gewoon via DigiD de persioenzaken regelen:
http://www.rijksoverheid....-het-buitenland-woon.html
Twee jaar geleden ben ik 5 maanden in Nieuw Zeeland geweest, vond het toen toch wel handig dat ik nog bij mijn overheidsgegevens kon....

Beperken is wellicht een goede oplossing maar afsluiten is onmogelijk vanwege alle expats en andere Nederlanders die tijdelijk in het buitenland verblijven...
Fijn voor mijn collega's in de buitendienst, die 3 weken in China zitten en dan weer een week thuis. Zij zullen er dan last van ondervinden dat vanuit het buitenland niks meer met DigiD te doen is.

@kwakzalver: zolang VPN niet geblokkeerd wordt ja :)

[Reactie gewijzigd door Grrrrrene op 25 april 2013 11:20]

Aah maar daarvoor is VPN uitgevonden.
Zo en zo stom om vanuit het buitenland dan zonder VPN te werken in een 'vreemde' omgeving.
En waar zie jij dat DigiD een VPN aanbiedt?
Je kunt gewoon elke (betrouwbare) VPN gebruiken die je normaliter ook zou gebruiken voor andere dingen.
Deze discussie is al vaker gevoerd, het is naar wat ik weet (en inmiddels ook wel bewezen) praktisch vrijwel onmogelijk om een DDoS aanval af te slaan / doorstaan tenzij je een enorme hoeveelheid bandbreedte tot beschikking hebt.

Als een flink bot-net aan het werk wordt gezet, en twee maal met minuut een aanvraag verstuurd per bot, loopt dit al snel in getallen die een gemiddelde Nederlandse website niet kan verdragen. Pakketten filteren zal niet werken, omdat een server bijvoorbeeld maar twee maal per minuut een normale web aanvraag van eenzelfde IP-adres vandaan krijgt, en een load balancer voegt daar niets nuttigs aan toe.
Dat is onzin, ja eerste klap is lastig af te vangen maar met beetje algoritme en beheerders kan je elke ddos aanval binnen uurtje afslaan, hoe groot die ook zal zijn. Tot nu toe lukt het bepaalde bedrijven wel om ddos gewoon af te weren, ook ING lukt het nu gewoon, niet eerste klap maar ze weten het wel vrij snel te analyseren en te blokkeren.

Is mythe dat je je niet kan beschermen tegen ddos!

Tweakers is het ook gelukt toen ze aangevallen werd, zat bewijs van websites die ddos succesvol weten af te slaan in relatief korte tijd, en is geen hele server park voor nodig(behalve voor eerste klap op te vangen uiteraard wel), dat is echt pure onzin.

Edit/
En kan je het zelf niet al beheerder zijn er tig bedrijven die je er graag mee willen helpen, die zijn gespecialiseerd in ddos aanvallen afslaan. ;)

Edit/2
Met simpele ACLs of zo in je router ga je het natuurlijk niet redden tegen wat complexere ddos aanval, maar dat is ook wel meest simpele automatische beveiliging.

[Reactie gewijzigd door mad_max234 op 25 april 2013 11:00]

Neen, je kan het niet afslaan, je kan alleen proberen de schade te beperken door het inkomden verkeer zoveel mogelijk tegen te gaan en liefst zo ver mogelijk upstream. Zelfs al dropt je firewall alles wat binnenkomt kan men nog altijd je uplink verzadigen.
Naar wat ik mij kan herrineren gebruikt Tweakers hardware specifiek om DDoS aanvallen af te slaan, en is deze aangeschaft nadat de site er een keer uit heeft gelegen.
Je bedoelt de RioRey firewall?
De oplossing ligt niet in meer bandbreedte. Heb je je bandbreedte op orde dan is je server overbelast. De limiet op een server is ca 10Gbit en een PCI-e bus kan dit amper handelen. Dus 10Gbit bandbreedte zit met een DDoS ook zo vol.

De oplossing zit meer in een "re-route or routing path change". Ben je nu op basis van DNS - ip bereikbaar dan moet de hosting via een alternatief pad gerouteerd worden. Dat alternatief pad moet dus vanuit de client software geÔnitieerd worden als deze een vermoedelijke DDoS detecteert. Natuurlijk zitten er veel haken en ogen aan deze manier maar ik denk dat hier de oplossing zit.

Ook maskerende technieken zoals bots die middels Tor netwerken DDoS sturen moeten op basis van firewalls al geblokkeerd worden. Een Tor netwerk volledig doorgronden is bijna ondoenlijk maar de exit punten zijn wel te detecteren en die zouden via firewalls geblokkeerd kunnen worden.
EDIT: Daarbij lijkt het alsof de medewerkers van de overheid zich ook op Tweakers bevinden, en -1 uitdelen!
Of mensen die beseffen dat je vrijwel niets kan doen tegen een zware DDos aanval. Je ideeen over packet filtering en load balancers helpen wel iets maar doen niets aan het probleem. Load Balancers moeten toch allemaal samenwerken en packet filtering doe je NADAT je het pakketje al ontvangen hebt, dus pas na de bottleneck.

Als jij kan beloven dat je een DDos aanval van deze grote kan afweren en de dienstverlening op peil kan houden kan je op dit moment waanzinnig veel geld verdienen. Ik denk echter dat je dat niet kan beloven. Niemand (behalve Google en Amazon, die zijn vrijwel niet te pakken door hun omvang) kan dat beloven.
De methode wat op dit moment wordt gebruikt is inderdaad behoorlijk ineffectief.
Zoals ik hierboven al aangaf, misschien kan je (al dan niet tegen een vergoeding) laten filteren aan de ISP kant, dus vůůr de bottleneck?
Want zoals ik de zaken zie, lijkt me dat de enige partij die hier enigzins effectief kan tegen optreden de ISP.
Correct me if i'm wrong.
En hoe ga je dat in hemelsnaam doen? Hoe kan een ISP nu weten of een pakket correct geformateerd is om aan de ontvangende kant behandeld te worden? Vanaf dat men nog maar ergens de term DPI bovenhaalt staan ze hier al op hun achterste poten ...
Ik zie het eerder als een stuk hardware wat aan de ISP kant ter beschikking wordt gesteld, waarover de klant die deze service afneemt volledige controle heeft. Daarmee doel ik op gelijkaardig apparaat dat Tweakers (de RioRey RX1810) heeft/had, maar dan aan de ISP kant van de lijn.

Ik heb nooit bij een ISP gewerkt, dus ik ben niet zeker of dit kan. Maar met mijn beperkte kennis lijkt het me niet onrealistisch.

Let wel, ik heb het hier alleen over een DDOS die een server op zijn knieŽn wil krijgen door een grote hoeveelheid requests/data te versturen.

Als het gaat om incorrect geformateerde packets, welke een webserver dol laten draaien, is de bandbreedte het probleem niet. Je kan dan net zo goed aan de server gaan filteren, of de webserver patchen zodat het probleem niet meer optreedt.

Of heb ik hier een verkeerd beeld over hoe een DDOS werkt?

edit: Typo

[Reactie gewijzigd door fluffy1 op 25 april 2013 14:14]

Sorry hoor, maar de beste stuurlui staan altijd weer aan wal.. Zoals veel experts al zeggen, een DDos is helemaal niet zo simpel af te weren..
En aan de andere kant, het is je mede tweaker die bij bedrijven als pinkrocade etc werken die weer verantwoordelijk zijn voor de ICT puinhoop bij de overheid, want zij zijn degene die het voornamelijk allemaa maken voor de overheid..
Een DDos is inderdaad niet zo makkelijk af te weren.

http://thehackernews.com/...when-you-have-4-gbps.html

200 Gbps good luck with that.
Sorry hoor, maar de beste stuurlui staan altijd weer aan wal.. Zoals veel experts al zeggen, een DDos is helemaal niet zo simpel af te weren..
En aan de andere kant, het is je mede tweaker die bij bedrijven als pinkrocade etc werken die weer verantwoordelijk zijn voor de ICT puinhoop bij de overheid, want zij zijn degene die het voornamelijk allemaa maken voor de overheid..
Nee beste stuurlui zitten bij bedrijven die zich er in gespecialiseerd hebben om alle soorten ddos af te weren, preventie en stoppen van aanval, zoals cisco. ;)

Edit/
http://www.cisco.com/en/U...aper0900aecd8011e927.html

[Reactie gewijzigd door mad_max234 op 25 april 2013 11:27]

ik blijf het grappig vinden dat deze mensen "hackers" genoemt worden haha.

zeer triest dat die digid servers niet in een eigen overheidscloud staan met een bandbreedte om bang van te worden.

als ze dit samen met de gehele overheidswebsites zouden doen, had er niemand ooit last van, dan word het een probleem als er een ddos oorlog komt, wat ook nog eens zeer zou kunnen.

[Reactie gewijzigd door Trexpaxs op 25 april 2013 09:39]

De vraag is, hoeveel belasting extra wil jij betalen om de verbindingen te maken waar mensen bang van worden?

Ik denk dat wanneer bekend wordt dat de overheid komend jaar §500 miljoen extra uitgeeft om af en toe een ddos af te slaan de verontwaardiging enorm is.
Maar zou mogelijk alles down zijn en niet alleen digid. Het is maar net wat je wil. Dat heeft nameljik ook een risico.
@Unflux: Misschien omdat jouw reactie gewoon zeer simplistisch en kort door de bocht is?

Een moderne ddos gaat echt verder dan een berg netwerkverkeer en malformed packets op een site afvuren hoor. En zelfs al was het dat alleen maar, dan nog kan men in het 'eigen netwerk' zelf wel packets gaan filteren, maar dan hoopt de ellende zich weer in het netwerk daar voor op. Je moet dus een aardige keten partijen af, die ook hun maatregelen moeten nemen.

Maar goed, een moderne ddos simuleert gewoon echte website bezoekers die daar hele reeksen aan HTTP requests uitvoeren, om zo niet alleen het netwerk en de webservers, maar ook de backend systemen te overbelasten. En ga jij maar eens op tijd detecteren wie legitieme bezoekers zijn en welke requests voort komen uit het ddos botnet.
Maar goed, een moderne ddos simuleert gewoon echte website bezoekers die daar hele reeksen aan HTTP requests uitvoeren,
En daarin onderscheid DOS verkeer zich dus van regulier verkeer: het aantal aanvragen per tijdseenheid.
Probleem kan dan nog zijn dat het ip adres vd afzender is gespooft zodat ieder aanvraag van een andere afzender afkomstig lijkt te zijn, maar al die aanvragen (vanaf een bepaalde afzender) volgen wel dezelfde netwerk route.
Klopt. Zo werkt de dDos beveiliging op mijn werk ook. Indien de requests onder een bepaalde tijdseenheid komen worden ze geblokkeerd met een to many requests error.

legitieme software (zoals chrome) zal dan gas terug nemen, een bot niet. Deze oplossing ontlast de achterliggende database, de zwakke plek bij dynamische sites.
Sorry, maar bij een d-DOS (met de "d" van distributed) komt het verkeer van over allerlei verschillende routes, misschien zelfs wel honderden pc's van all over the world.

En met "hele reeksen HTTP requests" heb ik nergens gedefinieerd hoe vaak per tijdseenheid die komen (en of dat abnormaal is voor het reguliere verkeer).

Als al die pc's maar enkele requests per minuut doen zijn het toch nog snel ondoenlijk veel requests, bovenop het reguliere verkeer.

[Reactie gewijzigd door eymey op 25 april 2013 15:20]

Ook applicatie level ddos kan je goed tegen beschermen hoor. ;)

Daar praat jij dus over en denk dat dat niet mogelijk is om je daar tegen te beschermen maar dat is onjuist, techniek ligt ook niet stil.

Applicatie level ddos zijn http reqeust of halve reqeust of error verzoeken, etc. Zoals het invullen van passwoord bij ING was een applicatie level ddos aanval, en die weten ze prima af te slaan. Die kan je inderdaad niet met simpele router beschermen, maar zijn allang en breed oplossing voor, kan je zelf kant en klaar afnemen als je het zelf niet lukt om het voro elkaar te krijgen.

[Reactie gewijzigd door mad_max234 op 25 april 2013 11:19]

Wat ik mis in de hele discussie, wie zit hier achter ? Het aantal slecht gespelde phishing mails van Oost-europese types schijnt nogal mee te vallen.

Wat is er leuk aan een DDOS aanval op ING, Rabo, iDEAL, DigiD, SNS, ABN etc ? Ja je legt een site plat en verder ?

Ga gvd een echte hobby zoeken.

Of is dit een soort "mine-is-bigger than yours" gedrag van types die achter botnets zitten om botnets te verpatsen/verhuren aan andere types die interesse hebben ?
Ik zet mijn geld in op degene die het op mogen lossen ;) Eigen werk creeren.

Zo verdenk ik de plaatselijke fietsenmaker van het stelselmatig jatten van mijn zadel.
Waarom moet een website van de overheid altijd bereikbaar zijn. Natuurlijk, het is handig dat je thuis informatie kunt opzoeken een aanvragen kunt doen. Maar het is natuurlijk geen mission critical systemen. Worst case moet je iets een paar dagen uitstellen. Daarnaast zijn er voldoende alternatieven om aan de informatie te komen.
Aan gezien je zelf Logius noemt, zul je ook wel weten hoe de kennis bij hun is.

Met de ervaring die ik heb als voormalig beheerder van Logius systemen. Is dat ze intern wat Windows bakken kunnen beheren. En een script draaien zoals bat2sh *zucht*

Nee, Logius moet het echt van de externe hebben.
ben deels met je eens maar je zou een ddos aanval kunnen vergelijk met dat er ineens 100.000 man op het gemeente huis komen hierdoor zou je kunnen stellen dat de gemeente deels bereikbaar is. dus de schuld niet leggen bij de gemeente maar bij het grootte aantal bezoekers (aanvragen)

stel dat bijvoorbeeld tweakers onder vuur zou liggen van een ddos aanval dan zou hun toch ook moete wijken voor de aanval. denkt dat er op de wereld geen bedrijf is dit dit zonder dat gebruikers het merken er last van hebben.

of ja je zou in zoon geval je server capaciteit kunnen vergroten maar hoe realistisch is dit? want stel dat de gene die de ddos aanval uitvoert dit door krijgt zou hij vervolgens meer slaves kunnen inzetten om de aanval zwaarder te maken.

dus kort gezet vindt ik dat je de schuld moet leggen bij de gene die de aanval uitvoert niet de gene die aangevallen wordt. en stel dat je de vinger naar iemand anders wil wijzen zou ik dat doen naar al die computers die zicht in het botnet bevinden. en dus een slechte beveiliging hebben van hun computer!
Waarom hebben al deze diensten, net zoals banken, geen ddos box hangen?
Bijvoorbeeld: http://www.checkpoint.com/products/ddos-protector/
- Omdat zo'n box geld kost;

- Omdat de maximale theoretische capaciteit mogelijk niet gehaald wordt, afhankelijk van de gebruikte licentie (fysiek 12 Gbps, maar als je een licentie van 2 Gbps afneemt en een aanval van 4 Gbps krijgt je nog steeds plat gaat;

- Omdat het ding geconfigureerd moet zijn, niet alle aanvallen hetzelfde zijn, en niet alle aanvallen even effectief afslaat (en box ophangen != nooit meer last van DDoS);

- Omdat de infrastructuur in bepaalde gevallen complexer is dan "we hangen er even een doosje tussen;

- Omdat het gebruik van zo'n apparaat neveneffecten met zich mee kan brengen, afhankelijk van de configuratie, infrastructuur en gemaakte beleidskeuzes.

Allemaal excuses die prima zijn te weerleggen (in theorie geen enkel probleem) maar wel een afspiegeling zijn van de realiteit.

(en dan heb ik het dus zelfs al over een situatie waarin zo'n box er gewoon wťl hangt)

[Reactie gewijzigd door Eagle Creek op 25 april 2013 09:49]

Tweakers had een RioRey RX1810 in hun rack hangen maar die is niet meer terug te vinden in de serverpark 2013 write-up. Kennelijk zijn zulke appliances ook niet alles?

[Reactie gewijzigd door Rafe op 25 april 2013 09:46]

Ja, misschien een idee voor een leuke feature? Eens in detail uit te leggen wat er nou wel en niet te doen is aan een DDoS aanval?
Omdat zo'n box waarschijnlijk de pakketten die DDoS veroorzaken blokkeert. (Dat denk ik dan) En om te weten wat er geblokkeerd moet worden, moet het eerst gescand worden. Al het gescan van de vele pakketten die binnen een seconde binnenkomen kost ook veel tijd, waarop het netwerk trager en trager wordt en daarna helemaal onbereikbaar is. Het is vrijwel onmogelijk om je netwerk "DDoS-vrij" te maken.

En die dingen zijn meestal erg duur. Je kunt niet even zo'n DDoS boxje aanschaffen bij de plaatselijke IT shop wanneer je merkt dat je een aanval krijgt.

[Reactie gewijzigd door ShakerNL op 25 april 2013 09:52]

Wie zegt dat ze dat niet hebben?

Probleem blijft dat je met zo een box de aanval nog altijd op de verkeerde plaats afvangt. Vanaf dat je het in je eigen infrastructuur afvangt ben je de bottleneck gepasseerd. Die box mag dan nog alles nulrouten, je inkomend verkeer zal er niet door verminderen, en wanneer men je inkomende verbinding kan verzadigen dan ligt je dienst er alsnog uit.
Het is nu wel duidelijk dat, gezien de impact van 'downtime bij Digid', dit niet echt 'hufterproof' is opgezet.
Er rent een hele grote papieren tijger rond in ICT overheids land, een hoop schijn beveiliging en een aantal ov-chipkaart achtige projecten waarbij er maar geld tegenaan wordt gegooid om het te laten werken.
Kritische opmerkingen van mensen die er verstand van hebben worden genegeerd of gewoon overheen geluld, allemaal in het teken dat 1 of ander politiek figuur mooi in de krant komt en een hogere functie ergens anders kan krijgen.

Deze discussie gaat nog interessanter worden in het geval dat Digid daadwerkelijk wordt gehackt en er gegevens op straat belanden.
Geen enkele website infrastructuur ter wereld is 'hufterproof' als het om een ddos aanval gaat. Zelfs een zwaar goed geschaalde infrastructuur zoals die van tweakers.net kan plat.....

Je hebt ongetwijfeld gelijk (als 'kenner') dat er veel mis is in overheid ICT land.

Maar ddos-aanvallen vallen net weer in de categorie die je echt niet zo maar kort door de bocht kan toerekenen aan slecht en onkundig ICT-beleid.
Klopt helemaal dat je ddos niet echt kan tegengaan, het enigste wat je kan doen is de impact minimaliseren. Ik doelde meer op het totale overheid ict plaatje in dat opzicht ;)

Er is niet veel informatie bekend over wat er precies gebeurd dus het is lastig om een idee te krijgen waar het precies fout gaat.
alsof private firmas nooit projecten mismanagen ... Openbaar valt gewoon meer op, maar privaat is de fail ratio minstens even groot.
Het zou dan wel interessant zijn om een bron hierbij te hebben ;-)
Welke partij zou er zo ontzettend graag proberen Digid plat te leggen? En onze banken?

Ik heb er niet zoveel verstand van, maar als ik het goed begrijp kom je er hier nergens mee binnen. Dat betekent dat je dus alleen de service niet beschikbaar wilt maken. Oftewel economische schade aanrichten. Wie is er boos op ons (Digid+banken=heel Nederland)?

Of moet ik het meer als een test zien van een "slechterik"? Kan het zijn dat je door dit soort aanvallen meer over de infrastructuur van Digid/banken te weten komt wat handig is voor latere aanvallen/penetraties?

Of (volledig out-of-the-box modus) is dit een stress-test vanuit een overheidsorganisatie? Ik heb zelf nl. niet heel erg last van deze aanvallen en denk dat de totale impact op de business van een bank wel mee valt. Hierdoor schudt je bij de bank en het publiek echter wel iedereen wakker en laat je zien hoe kwetsbaar we kunnen zijn.
Het komt op mij over als een gefrustreerde puber (zo gedraagt degene die hierachter zit zich in ieder geval) die boos is op de maatschappij / het financiŽle systeem. Wellicht iemand die ontslagen is, zijn huis moet verkopen en dat niet voor elkaar krijgt in deze moeilijke economische tijden. Het is speculeren, maar de doelwitten zijn grote, publieke organisaties, zowel overheid als banken / financiŽle instellingen...

Het doel is volgens mij ook niet zozeer om er beter van te worden, al zou je kunnen complotdenken dat bepaalde partijen hier wel beter van worden als de netwerken versterkt worden en er anti-DDOS-maatregelen genomen worden.

Onze maatschappij is aan het veranderen lijkt het wel. Iedere gek kan vandaag nog iets doen waarmee hij vanavond op het journaal komt en het lijkt wel of er steeds meer van dat soort gekken zijn. Dit is het digitale equivalent van een aanslag plegen tijdens een publiek evenement. Er zijn geen fysieke slachtoffers en niemand wordt er beter van, maar toch zit er iemand met voldoening naar zijn "creatie" te kijken.
Inderdaad, dat kwam bij mij ook al in gedachte, een manier om de financiele instellingen te testen om naderhand uit te leggen waar ze eventueel verbeteringen in hun beveiliging kunnen toepassen. Het gekke is dat namelijk bijna elke grote bank nu wel een keer aan bod is gekomen, maar niet steeds achter elkaar weer het doelwit is geworden. Het is steeds weer een andere bank volgens mij.
Zoals al eerder gezegt kan een DDOS attack je volledige bandbreedte gebruiken. Ook al blokkeer je dit verkeer dan zit de verbinding nog vol.

Dit is voor een deel op te lossen door gebruik te maken van Anycast. Een betere oplossing is om het verkeer per provider (in Nederland) af te buigen en via een vlan aan te bieden bij bank of DigiD. Pin (en andere belangrijke verbindingen) kunnen zonodig via een 'zakelijke' vlan worden aangeboden.

Zo kan het verkeer per Vlan worden gemonitord en zonodig worden tegengehouden. Legt een DDOS attack vanuit het buitenland (internet) een Vlan 'plat' dan ondervindt het binnenlandse verkeer hier geen hinder van. (zo was het in eerste instantie ook uitgedacht).
Als je buitenlandse DDOS aanvallen blokkeert, dan zal het gewoon verschuiven naar aanvallen vanuit het binnenland. Mensen die dit soort dingen doen redeneren niet van "jammer dat het niet meer lukt, ik ga maar een stukje wandelen....". De methodes om NL systemen te besmetten zullen agressiever worden.

Ik denk niet dat technische oplossingen gaan werken, het is immers gewoon een wedloop wie het slimste is.

Traditionele oplossingen zoals beboeten (of zwaarder) lijkt me uiteindelijk veel effectiever. Als er een DDOS aanval vanuit een IP-adres wordt gedaan wordt de eigenaar van die aansluiting beboet, net als dat bij verkeersovertredingen de eigenaar van de auto wordt beboet. Misschien niet eerlijk, maar mensen worden zich dan wel bewuster van wat er met hun PC gebeurt.
Je hebt gelijk dat men meer effort gaat doen om een DDOS aanval vanuit een Nederlands netwerk op te zetten. Maaarrr, met de hierboven beschreven opzet kunnen we dit per provider, per plaats afvangen en/of het verkeer herrouteren of zonnodig afsluiten.

In ieder geval kunnen we priority diensten (b.v. pin apparatuur) voorrang geven boven andere diensten.
Omdat ddos aanvallen tegenwoordig verder gaan dan alleen maar op netwerk niveau. Een goed opgezette ddos aanval is niet van legitiem netwerkverkeer te onderscheiden. Het gaat al lang niet meer om malformed packets en dat soort zaken.

Als er vanaf 1 IP-adres van een geinfecteerde botnet-pc 3x of zelfs 10x per minuut gewoon een HTTP request wordt afgevuurd, en dat met honderden of duizenden pc's tegelijk, hoe wil je dat dan onderscheiden van legitieme bezoekers?

Ondertussen zorgt ieder af te handelen HTTP request wel voor belasting op netwerk, webserver maar ook backend systemen (middleware, database).

De enige manier om dit soort dingen te beteugelen is bij de bron: Providers zouden veel sneller abonnees moeten afsluiten als er een vermoeden is dat pc's van die abonnees compromised zijn (en daar bestaan allemaal detectie mechanismen voor). XS4ALL kan dit bijvoorbeeld al vrij effectief.

Een angezien dDOS'en van over de hele wereld kunnen komen is dit dus iets wat wereldwijd meer aandacht moet gaan krijgen.
Een angezien dDOS'en van over de hele wereld kunnen komen is dit dus iets wat wereldwijd meer aandacht moet gaan krijgen.
Als je bedenkt dat wij in de top staan qua internet connectiviteit is een groot deel van de 'hele wereld' al in NL te vinden. Daardoor is filteren voor ons veel lastiger. Het is veel makkelijker als je maar 2 of 3 grote interconnects hebt naar de buitenwereld. Maar in NL komt al een belangrijk deel van al het verkeer langs, dan is het nog veel lastiger te beteugelen.
Blij dat ik niet "van deze tijd" ben en zo lang als het NOG NIET GEBODEN is een "PAPIEREN AANGIFTE" blijf doen en ook niet ga internetbankieren, laat staan vanaf mijn telefoon.

Gewoon "van alle tijden" en dat is zooooo suf
+1

en daarnaast: het is helemaal niet nodig om een rechtstreekse verbinding te maken met DIGID, de ( overheids ) site waar je heen gaat moet dat gewoon proxy-en. en DIGID heeft dan gewoon een accesslist met trusted sites. probleem over. dan ligt hooguit de belastingdienst plat, of bv uwv

maar ja, NL overheid en automatiseren is nooit een gelukkige combinatie geweest.
met die DIGID pincode wordt je elk jaar geacht de over het algemeen grootste transactie van het jaar te doen, je belasting aangifte. gaat het toch al gauw over duizenden euro's. bij de bank krijg ik voor die pincode maar een paar honder euro ........
Proxyen? Dat elke gemeente met bijeengeklust netwerk je gegevens kan zien en per definitie de MitM is? Ik geloof niet dat ik dat een goed idee vind.
Kan je een ddos gebruiken om een hack te verbloemen.? Als je een bom melding doet tijdens een groot evenement, dan is de politie inzet daar. Dan kan je ondertussen een bank kraken.

Ik zie anders beperkt nut voor de daders....
Dat heeft alles met politiek en budget te maken.
Helaas maar waar.

Wat ik me dan afvraag is wat "men" er mee wil bereiken.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True