Ddos'ers wijzigden tijdens aanval Rijksoverheid hun aanvalsmethode

De ddos-aanvallers op de Rijksoverheid wijzigden hun aanvalspatroon tijdens de aanval. Volgens directeur Raymond Dijkxhoorn van Prolocation valt te denken aan christmas tree packet-aanval, waar zijn bedrijf geen ervaring mee had.

Ddos Dijkxhoorn mag van het Nationaal Cyber Security Centrum van de overheid nog niet al te veel zeggen over de oorzaak van de storing, maar wil wel kwijt dat het om een type aanval ging dat tot nu toe nog onbekend was bij de netwerkprovider.

"We hebben nog niet eerder iets gehad waar we ons echt geen raad mee wisten", aldus de directeur van het bedrijf, dat onder meer netwerkconnectiviteit voor de Rijksoverheid-website levert. "Dat gebeurt ons niet vaak. We krijgen 1 à 2 ddos-aanvallen per dag."

De aanval was gericht op de Rijksoverheid, maar ook andere sites gingen plat, waaronder die van Telfort en GeenStijl. Daarbij zou het gaan om collateral damage. Het ging om een ddos-aanval waarbij een relatief klein aantal aanvallers een grote hoeveelheid systeemresources wist te gebruiken. Dijkxhoorn wil niet zeggen waar het precies om gaat. "Of het om een christmas tree packet-aanval gaat? Aan zoiets kun je denken, maar ik mag er nog niks over vertellen", aldus Dijkxhoorn.

Een andere kandidaat die zou voldoen aan de eigenschappen van weinig verkeer en veel resources innemen is de slow read-aanval. Beide aanvallen richten zich op de routers en staan bekend als lastig, maar volgens Dijkxhoorn ging het niet om een slow read attack.

De aanval duurde tien uur. "Later op de dag hebben we de ddos weten weg te filteren", aldus Dijkxhoorn. Het filteren was lastig, omdat de aanvallers hun aanvalspatroon wijzigden. "Nadat we begonnen met filteren en de eerste sites weer online kwamen, zagen we dat de aanvallers hun aanval weer veranderden." Nadat het verkeer werd weggefilterd, ging de aanval nog anderhalf uur door, maar zonder succes. Naast de slimme, 'onbekende' ddos-aanval liepen er nog zes andere ddos-aanvallen op de Rijksoverheid. "Maar daar hadden we weinig last van", aldus Dijkxhoorn.

Ook het Nationaal Cyber Security Centrum wil nog weinig kwijt over de aanval. "Het onderzoek loopt nog", aldus een woordvoerder van het NCSC. Het is nog onduidelijk wie er achter de aanval zat en wat het motief was.

IT-banen

Reacties (104)

ironx 11 februari 2015 19:03

Maar ook de justitie/overheid is zeer laks in het aanpakken van 'dat soort lui'. Maar nu het hun 'eigen hachje' betreft is men ineens pislink?

Hij is boos over de reacties in Den Haag, waar Kamerleden een opheldering eisen over de Ddos-aanval van gisteren. "Wij roepen al jaren dat er iets gedaan moet worden aan dit soort aanvallen, bijvoorbeeld door daders net als bij een bankoverval via het strafrecht te berechten. Dan worden de schouders opgehaald, maar nu het om een site van de overheid gaat, schreeuwt men in Den Haag ineens moord en brand." Volgens Dijkxhoorn wordt de website van GeenStijl bijna iedere week aangevallen maar blijven de aangiften daarvan liggen.

Bron: RTL Nieuws

en

Maar hier heeft Dijkxhoorn wel een punt. Von Loghausen heeft al vaker dan 'm lief is in een muf kamertje opgesloten gezeten, waar een agent met een tijpmasjien probeerde te begrijpen hoe je 'distributed denial-of-service' moet vertalen ("Vloedgolfaanval? Digitale aanranding? Online invasie?") en hoe een cijferreeks met puntjes er tussen hetzelfde is als een 'adres op internet' ("En welke van die cijfers is dan het huisnummer?"). En altijd eindigden de aangiftes onderop de stapel, zelfs als we het IP-nummer van de dader zelf aangeleverd hadden (echt gebeurd!). Maar als Rijksoverheid.nl een keertje plat ligt, staat de Tweede Kamer op z'n achterste poten te gillen om opheldering en moet de onderste steen boven. Dan wel. En dat, voorzitter, is een tikkeltje hypocriet, alsook hysterisch van die Haagse eigenheimers. Wat Raymond zegt, dus.

Bron: GeenStijl

[Reactie gewijzigd door ironx op 23 juli 2024 20:36]

Verwijderd @ironx • 11 februari 2015 19:51

DDoS aanvallen is net zoiets als een demonstratie voor de deur van een winkel. Dat moet je niet berechten zoals een bankaanval!

Qre8ive @Verwijderd • 11 februari 2015 20:12

Een DDoS is meer een winkel binnenstormen met zoveel mensen dat de winkel compleet tot op de laatste centimeter vol staat waarbij niemand iets koopt puur omdat de winkel niets heeft wat die stroom mensen tegenhoud.

Dat noem ik geen demonstratie

zelfs al zou je het als een demonstratie zien... volgens mij mag je bij een demonstratie ook niet een winkel blokkeren zodat die winkel niets meer kan.

[Reactie gewijzigd door Qre8ive op 23 juli 2024 20:36]

Mr_gadget @Qre8ive • 11 februari 2015 20:42

Ik ben wel met je eens dat dit anders is dan een demonstratie. Maar meestal moet bij een demonstratie de dienstverlening wel een beetje belemmerd worden om op te vallen en succesvol te zijn. Een onopvallende actie heeft geen zin. Toen Greenpeace tankpistolen bij Shell aan de ketting legde zijn ze niet gestraft (wel veroordeeld)). Dus de rechter vind de mogelijkheid tot demonstreren wel belangrijk.
Maar hoe ga je demonstreren bij een bedrijf dat volledig online werkt? Je kan wel bij bijvoorbeeld Paypal voor de deur gaan staan met een spandoek maar dan is er niemand die er iets van merkt. Misschien komt er een journalist maar als gebruiker hoef je er niet direct iets van te merken. Dus het is lastig de gebruiker na te laten denken over de slechte kanten van Paypal. Natuurlijk is alles stilleggen weer veel te erg (ik keur het af) maar op een andere manier demonstreren is lastig. Niet dat ik er voor ben maar ik vraag me het gewoon af.

[Reactie gewijzigd door Mr_gadget op 23 juli 2024 20:36]

Qre8ive @Mr_gadget • 11 februari 2015 22:28

Diegene die de tankpistolen bij Shell aan de ketting legden namen de veiligheid ook goed in acht waardoor ze een rechterlijk pardon kregen volgens het artikel. Een DDoS aanval is vaak gewoon meedogenloos en kan wel degelijk schade aanbrengen.

Het feit is in ieder geval dat er met DDoS-ers weinig gebeurd. Natuurlijk zullen er enkele tussen zitten die iets goed proberen te bereiken door een ddos aanval te plaatsen, maar vele doen dit gewoon om geld te verdienen. Zie die aanval op het Xbox Live- en Playstation Netwerk, dit was gewoon een schaamteloze promotiestunt. Daarnaast zie je in de private game servers veel ddos aanvallen puur om concurrentie uit te schakelen e.d.. Ik heb wel eens een 28 jarige Griek aangegeven met enorm veel bewijsmateriaal over zijn DDoS aanvallen bij cyber-crime eenheden. Die gozer was er zelfs openlijk trots op en verdiend er zo'n 30.000 euro per maand mee, hij doet het echter nu nog steeds

[Reactie gewijzigd door Qre8ive op 23 juli 2024 20:36]

Blokker_1999

Politiek en recht
Netwerk en systeembeheer

@Mr_gadget • 11 februari 2015 23:32

Er zijn voldoende manier om te demonstreren en er de aandacht op te vestigen zonder dat je er ook nog eens de wet voor moet overtreden. Demonstratie is net sociale druk zetten. Waarom denk je dat grote bedrijven altijd zo vriendelijk en snel reageren wanneer je iets negatiefs over hen zet op fb/twitter/... ?

CamelKnight @Mr_gadget • 12 februari 2015 12:27

Een demonstrant demonstreert ergens voor. Die heeft een doel dat hij bekend maakt tijdens het demonstreren.
Ik heb van deze trieste DDOS-ertjes nog geen publicatie gezien voor welk zielig goeddoel zij op willen komen. Jij wel?

Dit zijn geen demonstranten en ze zijn er ook niet mee te vergelijken. Het zijn een stel gasten die geen respect hebben voor anderen en die alleen maar willen laten zien hoe goed ze zijn in hun eigen scene.
Gefeliciteerd jongens, Nederland weet dat jullie er zijn. Nu nog even laten weten wie jullie zijn zodat we daar rekening mee kunnen houden (en de rekening op kunnen sturen).

Verwijderd @Verwijderd • 11 februari 2015 22:13

Die vergelijking gaat al snel mank. Demonstraties voor winkels zijn namelijk vrij zeldzaam. De websites waar we het hier over hebben worden echter elke dag, vaak meerdere keren per dag aangevallen. Dat ze deze aanvallen meestal succesvol afslaan doet niet af aan het feit dat iemand ze dagelijks ongestraft financiële schade toebrengt.

djiwie @Verwijderd • 11 februari 2015 23:23

Nog los van het feit dat er talloze andere manieren zijn om te demonstreren en je mening kenbaar te maken, die allen een stuk minder heftig zijn dan een DDoS. Bovendien: aan een normale demonstratie kan iedereen meedoen. Een DDoS-aanval vereist gespecialiseerde technische kennis. De vergelijking gaat inderdaad op allerlei fronten mank.

Tomm13 @Verwijderd • 11 februari 2015 20:18

Het is niet een demonstratie voor de deur van een winkel. Het is met een miljoen man de winkel en de ingang en uitgang en de ingang voor goederen blokkeren zodat er niets meer kan gebeuren. Moet gewoon zwaar bestrafd worden.

Verwijderd @Verwijderd • 11 februari 2015 22:41

Demonstratie is nogal zwak uitgedrukt, ik denk dat je dit meer moet vergelijken met een gijzeling het enigste wat de daders in dit geval wellicht nog niet eens gedaan hadden was één of meerdere eisen op tafel leggen.

Hierbij is echter één bewezen feit wat financële gevolgen heeft voor alle partijen die de dupé zijn geworden door deze aanval. En dat is nu juist vaak iets wat je tegenkomt bij een gijzeling.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:36]

stunn0r @Verwijderd • 12 februari 2015 10:51

Ik vind je stelling een beetje vreemd. Bij de 'demonstratie' (de motieven van de aanvaller zijn niet bekend, dus er van uit gaan dat het te vergelijken valt met een demonstratie is al krom) tegen deze 'winkel' is het hele winkelcentrum hermetisch afgesloten en hebben vele ongerelateerde 'winkels' flinke schade opgelopen.
Of je het moet berechten als een bankaanval weet ik niet, maar ik zou het niet vreemd vinden als de optie om dit als een terroristische aanval te berechten word onderzocht, omdat hier de overheid is aangevallen en er hierbij schade is berokkend aan vele bedrijven.

itlee @ironx • 12 februari 2015 13:30

aangiftes doen, kansloze missie, ik heb t al eerder gezegd, zorg ervoor dat in geval van een aanval je de juiste ict kennis hebt om dit af te wenden.

of gebruik diensten van bedrijven zoals http://www.cloudflare.com

en al die 'kansloze' kennisloze managers die graag hun digitale plasje (lees mening) er over willen doen moeten gewoon accepteren en de techneuten aan t werk laten. en/of goeie techneuten in huren.

Alles kan digitaal kapot maar voor eenvoudige slimme implementatie van een Cloudflare zorgt dat de gelegenheids-dossers (die met een paypal of bitcoin Ddos tijd kopen bij een ddos leverancier) al snel afvallen.

je steekt in je huis toch ook niet je sleutel in de buitenkant van je slot en laat je deze zitten?

en echte hackers heb ik (op basis van kennis en kunde en de tijd die ze erin steken) respect voor. alleen het nodeloos kapot maken om het kapot te maken geloof ik niet echt in. als een hacker een jou benaderd dat je een dikke vette flaw hebt moet je dat omarmen ipv weg zwaaien en de kin omhoog te steken. just my 2cents.

Juice. 11 februari 2015 15:41

In information technology, a Christmas tree packet is a packet with every single option set for whatever protocol is in use. "the packet was lit up like a Christmas tree." It can also be known as a kamikaze packet, nastygram or a lamp test segment.

Christmas tree packets can be used as a method of divining the underlying nature of a TCP/IP stack by sending the packets and awaiting and analyzing the responses.

ANdrode

@Juice. • 11 februari 2015 18:55

Tijdens OHM 2013 presenteerde FX in zijn lecture een aantal manieren waarop routers van merk C pakketten in software afhandelen.

Bijvoorbeeld surveillance of IPv4|1 zou in software afgehandeld worden. De routers van één van de grote vendors zou zonder extreem bandbreedte gebruik hierdoor al in de problemen kunnen komen.

Kennelijk gaan BGP sessies al mis als er 180 seconden geen reactie is.

Is dit een plausibel scenario voor de downtime van gisteren?

Zenety @Juice. • 11 februari 2015 15:44

Vond dit ook wel een leuke toevoeging die ook op wikipedia stond:

Christmas tree packets can be easily detected by intrusion-detection systems or more advanced firewalls. From a network security point of view, Christmas tree packets are always suspicious and indicate a high probability of network reconnaissance activities.

Mogen ze dan wel geen ervaring mee hebben, maar is dus blijkbaar makkelijk te onderschijden.

LinuxMan @Zenety • 11 februari 2015 20:45

Mogen ze dan wel geen ervaring mee hebben, maar is dus blijkbaar makkelijk te onderschijden.

onderscheid != oplossen

je IDS staat na je core router. En als je core router zijn cpu op 100% heeft staan om alle packets te verwerken heb je er erg weinig aan dat je IDS aan geeft dat er wat mis is met de pakketten. Uiteindelijk moet je toch upstream zorgen dat de pakketten niet meer bij jouw core router komen, door bijv. je BGP advertisements voor specifieke ranges aan te gaan passen, of door upstream te filteren op bepaalde patronen. En dat kost flink tijd, want dan moet je met al je peering partners samenwerken aan een goede filtering.

Verwijderd 11 februari 2015 15:36

Suggereerde deze meneer dat het om dit type aanval ging of reageerde hij hiermee op een (suggestieve) vraag van een verslaggever? Dat terzijde krijgen wij hopelijk wat meer informatie over deze DDoS, tien uur downtime is niet niks.

arnoudwokke Redacteur Tweakers @Verwijderd • 11 februari 2015 15:47

Deze meneer reageerde op een vraag - die overigens niet suggestief was. De vraag was namelijk 'was het een christmas tree packet-aanval?'. En toen gaf hij letterlijk dit antwoord. Hij reageerde anders op vragen of het bijvoorbeeld om een slow read dos-aanval ging. Toen zei dat het niet zo'n aanval was. Ook dat lees je in het artikel.

Kijk, als iemand weinig mag zeggen, dan kun je veelal veel afleiden uit het weinige dat hij wel zegt (en hetgeen hij niet zegt). Als iemand bij de ene soort aanval ontkent dat dat het is, en bij andere geen ontkenning geeft (maar het ook niet letterlijk bevestigt), dan zou je kunnen denken dat dat het is.

Merk op dat we het niet op die manier opschrijven. Joost heeft de letterlijke antwoorden van Dijkxhoorn opgeschreven - en hoe je dat interpreteert is aan jou.

[Reactie gewijzigd door arnoudwokke op 23 juli 2024 20:36]

Tukkertje-RaH @arnoudwokke • 11 februari 2015 16:31

Dat een DDoS service niet overweg weet te gaan met een X-mas packet aanval geeft te denken over hoe geavanceerd die dienst dan wel niet is...

Van Wikipedia:

In information technology, a Christmas tree packet is a packet with every single option set for whatever protocol is in use. The term derives from a fanciful image of each little option bit in a header being represented by a different-colored light bulb, all turned on, as in, "the packet was lit up like a Christmas tree." It can also be known as a kamikaze packet, nastygram or a lamp test segment.

A large number of Christmas tree packets can also be used to conduct a DoS attack by exploiting the fact that Christmas tree packets require much more processing by routers and end-hosts than the 'usual' packets do.

Christmas tree packets can be easily detected by intrusion-detection systems or more advanced firewalls. From a network security point of view, Christmas tree packets are always suspicious and indicate a high probability of network reconnaissance activities.

http://en.wikipedia.org/wiki/Christmas_tree_packet

Met andere woorden: in een X-mas tree packets staan zoveel 'lampjes' aan dat alleen al daarom je het pakket tegen zou moeten houden. Alhoewel bijvoorbeeld NMAP ook de mogelijkheid heeft om te scannen met X-mas tree packets, geeft het zelf al aan dat het een erg opvallende en weinig zinninge manier is.

[Reactie gewijzigd door Tukkertje-RaH op 23 juli 2024 20:36]

jerrycan92 @Tukkertje-RaH • 11 februari 2015 22:18

Alle opties aanzetten is makkelijk te filteren. Echter experimenteren met die opties en bekijken wat de reactiesnelheid van de server is per optie om de nuttige opties op te zoeken is iets anders. Als je dan ervoor zorgt dat je willekeurig effectieve opties gebruikt is het voor intrusion detection veel moeilijker te filteren. Door blijvend in de gaten te houden hoe de server reageert op de verschillende opties kun je ook extra opties uitzetten als de beheerder dit aanpast. Hierdoor kun je als aanvaller ervoor zorgen dat het datacentrum steeds maximale tijd kwijt is met jouw pakketjes.

Door je filtering zo in te stellen dat een optie maar x keer per seconde/minuut verwerkt mag worden en alle andere pakketjes met die optie weg te gooien kun je er al voor zorgen dat je de invloed van zo'n aanval kunt verkleinen, maar dan zul je ook niet ddos pakketjes weggooien, Echter mag je wel verwachten van een datacenter dat de overheid gebruikt al lang dit soort filtering toegepast wordt.

[Reactie gewijzigd door jerrycan92 op 23 juli 2024 20:36]

itlee @jerrycan92 • 12 februari 2015 13:56

Echter mag je wel verwachten van een datacenter dat de overheid gebruikt al lang dit soort filtering toegepast wordt

Een gemiddeld datacenter doet in de basis helemaal niks dan alleen rek ruimte, stroom en een touwtje voor dataverkeer leveren.

afhankelijk van je contract kan je zaken afkaarten, maar de gemiddelde hostingclub waar je spullen kan afnemen en geen echte ultra security mannen in dienst. datacentrum doet niks meer dan aanbieden van netwerk and thats it.

Alle opties aanzetten is makkelijk te filteren. Echter experimenteren met die opties en bekijken wat de reactiesnelheid van de server is per optie om de nuttige opties op te zoeken is iets anders

als je dit op je server gaat zitten doen ben je ergens op de route verkeerd afgeslagen.
je zorgt dat je op je rand van je netwerk de security in regelt zodat je servers rustig de zaken kunnen afhandelen waarvoor ze zijn ingericht.

@all; ik kende de term christmas tree packet ook niet (net even nagezocht), en ik loop al wat jaren mee in IT security, maar elk respecterend firewall merk, fortinet, cisco, checkpoint enz. maken gebruik van stateful inspection. als zo n packet voorbij komt heb je niet eens IPS nodig, want een packet met een zootje onzin erin wordt per definitie geblocked op deny all rule in je firewall (omdat de payload van de packet niet klopt).

paar eenvoudige security regels voor de firewall beheerders:
- gebruik(als het kan) Geography Based Addressing (laat alleen landen toe waarvan geconnect wordt en je normaal traffic kan verwachten)
- alle management poorten van servers achter je firewall (ssh e.d.) je source vastzetten (bijv. kantoor of thuis ip en geen any gebruiken. (any > ssh naar je server is niet heel slim)
- zet icmp uit op je interface (en ook voor alle hosts achter je firewall (portscans heeft dan geen enkele zin meer, server reageert niet meer)
- koop een knappe firewall om je spullen veilig er achter te parkeren
- monitor je traffic (elk respecterend firewall merk heeft dit standaard aan boord).
- zorg dat je servers op t juiste patch level zitten (zowel van web apps als van je os)
- gebruik in worstcase scenario een cloudflare of andere clubs die jou servers kunnen beschermen. (zet dan ook de rules op dat alleen een cloudflare traffic mag sturen naar je servers. en niet dat je buiten een cloudflare naar je servers toe kan).
- gebruik IPS (intrusion prevention) alleen in geval van problemen, IPS leunt heel zwaar op je CPU van je firewall en kan alles (onnodig) traag maken. wil je hard IPS'sen moet je een dikke portomonee hebben.

en algemeen, verdiep je in het OSI model en leer gebruik maken van een wireshark zodat je in geval van, de zaak kan sniffen en kan zien wat er aan de hand is. (knappe firewalls hebben de mogelijk om porten intern te sniffen en te kunnen wegschrijven als PCAP file zodat je die weer in een wireshark kan analyseren.

om zo maar is een paar tips te geven

Verwijderd @itlee • 12 februari 2015 23:31

- zet icmp uit op je interface (en ook voor alle hosts achter je firewall (portscans heeft dan geen enkele zin meer, server reageert niet meer)

Portscannen is meer dan alleen pingen. ICMP blocken helpt niet tegen een tcp connect scan.

itlee @Verwijderd • 13 februari 2015 09:54

dat klopt, maar de meeste zaken beginnen met een ping. en als de server niet reageert ga je ook niet verder lijkt me.

of ga je hele subnets zitten afscannen met een port scanner?

Verwijderd @itlee • 15 februari 2015 20:13

Als een server serveerd zal het mij een worst wezen of ie te pingen is of niet.

Verwijderd @jerrycan92 • 11 februari 2015 23:14

Had iemand hier ook daadwerkelijk de website van de overheid nodig?

Een band leksteken van een auto kan ik ook, verwacht zelf niet dat hier superieure gasten achter zaten. Hoeveel websites bieden diensten aan om DDOS aanvallen op te zetten, zoals ik het heb gezien is het gewoon kinderspel en kennis van IT komt er zowat niet eens bij kijken...

Keypunchie @Tukkertje-RaH • 11 februari 2015 19:49

Mooi om te zien hoe makkelijk iedereen nu beveiligingsexpert is. Een Wikipedia-artikeltje, een niet eenduidige quote en we hebben al voldoende informatie om onze mening te geven.

Gisteren wist meer dan 90% niet wat een Christmas-pakket was. De helft van de Tweakers is waarschijnlijk nog nooit in een datacenter geweest, laat staan dat ze een 24-7 web service draaien,

Maar vandaag weten we gelukkig precies wat de overheid/pro-location/wie dan ook zou moeten hebben doen.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 20:36]

Toettoetdaan @Tukkertje-RaH • 11 februari 2015 16:45

Of hoe geavanceerd de aanval was die, als ik Dijkxhoorn goed interpreteer, eigenschappen deelde met een 'christmas tree packet-aanval'.

koelpasta @Toettoetdaan • 11 februari 2015 21:08

Dus blijkbaar een rare set van flags die de routers of andere apparatuur flink aan het werk zette.
Ik heb eerlijk gezegd nooit begrepen dat de wereld niet is vergaan toen de internet protocollen wereldwijd werdt ingezet. In de basis is er nul security en daardoor kan er ontzettend veel fout gaan met signaling.

frickY @Tukkertje-RaH • 11 februari 2015 16:42

Des te meer reden om aan te nemen dat dit dus niet de gebruikte techniek was.

mxcreep @arnoudwokke • 11 februari 2015 17:21

Grappig tegenstrijdig:

"We hebben nog niet eerder iets gehad waar we ons echt geen raad mee wisten"

en

"Dat gebeurt ons niet vaak. We krijgen 1 à 2 ddos-aanvallen per dag."

Thekilldevilhil @mxcreep • 11 februari 2015 17:45

Dat is toch niet tegenstrijdig... Hij zegt dat ze 1-2 aanvallen per dag krijgen maar dat het niet vaak voorkomt dat ze niet weten wat ze moeten doen. Wat in dit geval wel zo was.

RGAT @Thekilldevilhil • 11 februari 2015 19:03

Het komt inderdaad niet heel vaak voor als je het nog niet eerder gehad hebt

Inderdaad aparte woordkeuze, eerst zeggen dat het nog nooit gebeurt is en dan dat het niet vaak gebeurt...

Thekilldevilhil @RGAT • 11 februari 2015 19:40

Ik herhaal mezelf. Dat bedoelt hij niet. Hij zegt dat ze 1 tot 2 DDOS aanvallen per dag krijgen maar dat ze deze variant nog nooit gehad hebben. Hierdoor konden ze niet tijdig reageren en ging de site plat.

RGAT @Thekilldevilhil • 11 februari 2015 19:57

Dat klopt, maar waar refereert 'Dat' in 'Dat gebeurt ons niet vaak' dan naar?
Zoals het er nu staat lijkt het te wijzen naar het stukje dat het nog niet eerder voorkwam dat ze niet wisten wat ze met een bepaalde DDoS aan moesten...

[Reactie gewijzigd door RGAT op 23 juli 2024 20:36]

Verwijderd @RGAT • 12 februari 2015 00:20

Dat 'dat' refereert naar "waar we ons geen raad mee wisten", dat gebeurd ze niet vaak, dat ze niet per abuis een oplossing voor een probleem hebben.

cracking cloud @RGAT • 12 februari 2015 09:41

In taal is niet altijd alles even zwart/wit als in de wiskunde. In taal kun je bv nuanceren en dingen net iets anders zeggen terwijl je hetzelfde bedoelt, ook al zou de letterlijke betekenis absoluut gezien totaal anders zijn.

Thekilldevilhil @RGAT • 12 februari 2015 09:21

Dat staat er niet. Ga nog eens een keer rustig lezen wat is zeg en snap wel wat ik bedoel.

Dat verwijst naar: "We hebben nog niet eerder iets gehad waar we ons echt geen raad mee wisten"

De dat is hetgeen waar ze zich geen raad mee wisten, de "nieuwe variant DDOS".

[Reactie gewijzigd door Thekilldevilhil op 23 juli 2024 20:36]

Blinkin

@mxcreep • 11 februari 2015 18:59

Dat is eerder onderbouwen waarom ze nog nooit een dergelijke situatie gehad hebben dan dat het tegenstrijdig is. Ze hebben ervaring met ddos-aanvallen en weten zich daar praktisch altijd raad mee, behalve deze keer dus.

Martinspire @Verwijderd • 11 februari 2015 17:23

Als een groot deel van die downtime werd veroorzaakt door de aanval zelf, dan is het nog wel begrjipelijk. Als er op een weg 1 uur file staat, maar 50 minuten komt door een vrachtwagen die de hele weg blokkeert, dan is dat nogal logisch.
Ik vind het nogal opvallend dat meneer zo laks doet over het feit dat ze zo vaak aangevallen worden. Want eigenlijk hoort dat niet normaal te zijn.

PolarBear @Martinspire • 11 februari 2015 18:27

Als je oa Geenstijl en overheid.nl in je datacentre hebt staan dan kan je veel aanvallen verwachten. Weet niet wat zij daar aan kunnen doen. Hoge bomen vangen veel wind. In die zin zijn veel aanvallen normaal.

Blinkin

@Martinspire • 11 februari 2015 19:03

Tja, liever geen ddos-aanvallen natuurlijk. Maar er zijn wel meer sites en dus serverparken die met regelmaat met ddos-aanvallen te maken krijgen. Eerlijk gezegt (en jammer genoeg) sta ik er niet zo van te kijken dat ze dagelijks aanvallen krijgen. Het zal ongetwijfelt boven de norm liggen, maar ja ze draaien dan ook geen kleine hobby sites.

Verwijderd @Martinspire • 12 februari 2015 23:39

Na tien minuten heb je echt wel in de gaten dat je in de file staat

Snow_King

11 februari 2015 16:09

Wat ik op maak uit het verhaal is dat ze al het verkeer in hun netwerk door statefull firewalls danwel IDS (Intrustion Detection Systems) systemen lijken te halen.

Normale routers forwarden enkel IP pakketten en kijken puur naar de destination. Ze kijken niet naar of het TCP danwel UDP is, laat staan naar de headers of inhoud van het pakket.

Wanneer je op al je verkeer DPI (Deep Packet Inspection) doet kan ik begrijpen dat die snel vol lopen van een voor hen onbekende aanval.

Het rare is dus dat blijkbaar GeenStijl, Telefort én de Rijksoverheid achter de zelfde systemen zitten.

Daar zou ik mijn handen dus nooit aan durven te branden, één monolitische firewall die al mijn verkeer filtert. Gewoon lekker plain layer 3 verkeer door sturen en per klant/omgeving eigen packet filtering. Eerst stateless, dán pas statefull.

Zo krijg je niet de collateral damage die je nu had.

Blokker_1999

Politiek en recht
Netwerk en systeembeheer

@Snow_King • 11 februari 2015 16:24

Euhm, misschien eens inlezen op wat een christmas tree aanval is en waarom het zo moeilijk is om deze af te slaan of waarom ze zo problematisch kunnen zijn voor routers. Het doel is een overload op je routers veroorzaken (en die kan echt wel meer dan enkel naar de destination te kijken). Hierdoor kan de beheerder ook niet meer inloggen op de routers (die reageren gewoonweg niet meer) om de aanval af te slaan. Bijkomend is het neergan van routers een probleem voor alles wat er achter zit. En afhankelijk van welke routers er aangevallen zijn lijkt het mij zelfs niet onmogelijk dat je bescherming achter je router zit.

Snow_King

@Blokker_1999 • 11 februari 2015 16:39

In routers is de management module vaak van de forwarding plane gescheiden. Je kan de router zelf wel met TCP bestoken, maar de forwarding van packets gebeurd door andere chips.

Ook hoeft een router zeker geen packet inspection te doen. Die kan je beter dom houden, gewoon puur IP laten routeren, meer niet.

scsirob @Snow_King • 11 februari 2015 20:15

Een beetje router heeft een groot deel van de afhandeling in hardware zitten. 99.9% van alle standaard verkeer kan snel en efficient door de hardware afgehandeld worden. Pas als er speciale opties in een pakket voorbij komen dan geeft de hardware een exception en wordt het packet door software/firmware gedecodeerd. En daar gaat het dus fout. Door heel veel non-standaard verkeer te sturen wordt er veel vaker dan normaal op de software teruggevallen. Dat deel kan het niet meer bijbenen, en poef...

Verwijderd @Snow_King • 11 februari 2015 16:18

Ze hebben waarschijnlijk niet alle sites continu achter IDS staan maar alleen de high risk doelwitten.
Sites als die van Rijksoverheid en Geenstijl zijn natuurlijk vaker doelwit van (soms grote) DDos aanvallen.
Separate IDS of DDoS protectie systemen per klantomgeving die elk een grote DDoS kunne opvangen zijn duur.

Snapdragon 11 februari 2015 15:49

Ik mag toch hopen dat de overheid meerdere backups heeft over meerdere locaties, anders is het wel heel makkelijk om bijvoorbeeld tijdens een ramp of aanslag ook een deel van de informatievoorziening vanuit de overheid te blokkeren.

stresstak @Snapdragon • 11 februari 2015 17:17

Ik mag toch hopen dat de overheid meerdere backups heeft over meerdere locaties, anders is het wel heel makkelijk om bijvoorbeeld tijdens een ramp of aanslag ook een deel van de informatievoorziening vanuit de overheid te blokkeren.

Hoop is geen plan. Informatievoorziening vanaf een rampenzender is al teniet te doen door met klappertjespistool de journaalstudio te enteren. Dus doorwerken bij calamiteiten zal er ook wel niet bij zijn.

johnkeates 11 februari 2015 15:57

Hoe kunnen ze daar nou geen ervaring mee hebben? Het staat zelfs in de short help van nmap! Die moeten ze bij NetOps daar toch wel tenminste 1x gezien hebben lijkt me...

Webber @johnkeates • 11 februari 2015 17:21

Dat is natuurlijk wel wat anders dan ervaring. En er bestaan natuurlijk ook vaak variaties op bestaande methoden van DDoS.

johnkeates @Webber • 11 februari 2015 19:11

Oké, laat ik het anders formuleren: hoe kunnen ze stellen dat ze geen raad weten hoe een Xmas attack of derivaat er uit ziet en gefilterd moet worden? Dat is toch wel basale kennis lijkt me...

koelpasta @johnkeates • 11 februari 2015 21:18

Maar er is nog geen zekerheid of het om een christmas tree aanval ging.
Ik kan mij best voorstellen dat een specifiek gevormd pakket (niet persee een christmas tree pakket) dat arriveert om een apparaat met bepaalde firmware zonder enige logische reden ineens ontzettend veel resources in beslag neemt op dat apparaat. Dan kan het erg lastig zijn om uit te vinden wat de precieze specificaties van dat pakket zijn waardoor de bug getriggered wordt.

johnkeates @koelpasta • 11 februari 2015 23:15

Niet perse, packets worden niet door switching fabric verwerkt en routing logic staat los van switching fabric. Dus worst case scenario is dat je IDS op een mirror port moet meeluisteren om te packets te analyseren.

koelpasta @johnkeates • 12 februari 2015 11:26

Dus worst case scenario is dat je IDS op een mirror port moet meeluisteren om te packets te analyseren.

Dan is het misvormde pakketje al door het apparaat verwerkt en is de misbruik van de bug een feit. De ids op de mirror poort is niet vatbaar voor de bug (in het geval dat ik beschreef). De ids ziet dan alleen dat het verkeer uit het apparaat langzamer binnenkomt (omdat het appaaraat erg druk is, maar dat weet de ids niet). Mischien merkt de ids wel dat er iets mis is (b.v. veel tcp retransmits op de lijn) maar kan nooit voorspellen welke inhoud van de headers de routing logic doen buggen.

Het kan wel zijn dat logic en fabric los staan, maar er wordt niks zomaar fysiek op de lijn gezet als de logic er niet overheen gepiest heeft.

johnkeates @koelpasta • 12 februari 2015 12:40

Jawel, de logic zet switching flows op, en doet daar alleen wat aan als er iets verandert

Dus zodra de flows er zijn gaat er gewoon verkeer stromen.

Maar in het geval van bijv. een xmas attack krijg je dus pakketjes met alle bits op 1, wat tenminste bij je IDS wat lampjes moet laten branden.

Stel dat ze op bugs in TCP/IP stacks uit zijn, dan is het een ander verhaal. Maar bij een DDoS is het niet zozeer een bug, maar het formaat waar het ligt.

koelpasta @johnkeates • 12 februari 2015 17:57

De flows waar jij het over hebt is ook logica waarin informatie uit headers van de binnenkomende paketten wordt geinterpreteerd. Als dat wordt opgezet met een onvoorziene 'feature' dan kan er random gedrag plaatsvinden als een pakket bepaalde headers heeft.
Of het zo makkelijk gaat als ik het beschrijf weet ik niet. Ik constateer alleen een aanvalsoppervlak. Hangt natuurlijk ook af van hoe complex je de routing maakt etc. Maar feit blijft dat informatie uit de headers van binnenkomende paketten het routeringsproces beinvloed.
Xmas wordt daarbij enkel gebruikt om het gedrag van het apparaat voor de ids te scannen. De eigenlijke aanval maakt misbruik van die informatie maar is feitelijk geen xmas.

Overigens heb ik het niet over backbone draagprotocollen ofzo, die vormen een eigen logica waar je met ip headers niet veel aan kan veranderen. Essentieel in mijn verhaal is dat het apparaat op enige wijze de aan verzendkant geconstrueerde informatie uit het pakket verwerkt.

koelpasta @johnkeates • 12 februari 2015 17:59

Stel dat ze op bugs in TCP/IP stacks uit zijn, dan is het een ander verhaal.

De stack zelf hoeft niet het probleem te zijn. Er kunnen ook bugs (of in ieder geval onvoorziene gevolgen) zitten in hoe routering/switching wordt opgezet.

johnkeates @koelpasta • 12 februari 2015 18:38

Daar kunnen misschien bugs in zitten, maar daar hebben de TCP/IP pakketjes dan toch geen invloed op? Alleen de TCP/IP stack gaat die van binnen bekijken, de rest ziet alleen maar ethernet frames bij een ethernet netwerk.

simon2000 11 februari 2015 16:59

Niemand geintresseerd waarom juist Telfort, Rijksoverheid en Geenstijl doelwit waren?
Of is dit een aanval gericht op prolocation? Ik vraag me altijd af wat de motief is van dit soort aanvallen.

Verwijderd @simon2000 • 11 februari 2015 17:01

Of het was een aanval gericht op 1 van de 3 mogelijkheden, maar hingen alle klanten aan dezelfde kabel naar buiten toe....

NLsandman @simon2000 • 12 februari 2015 09:07

De aanval was op de overheid website gericht, geen stijl en telfort waren
collateral damage.

Verwijderd 11 februari 2015 18:47

Waarom mag men er niks over zeggen? Wordt het weer tot 'staatsgeheim' verklaard?

TheMak @Verwijderd • 11 februari 2015 19:09

Eerst netjes uitzoeken hoe je het beste tegen kan weren. Als ze nu teveel gaan zeggen, zijn morgen sites als rijksoverheid.be en rijksoverheid.fr de klos.

Auredium 11 februari 2015 15:44

DDoS aanvallen zijn altijd wel problematisch en makkelijk te genereren. Het is een beetje de voetsoldaat van het internet en wat minder de special forces. Het is alleen al mogelijk om middels gewijzigde pakketjes je aanval naar 1 doellocatie te vermeerderen door verzoeken naar de juiste routers te sturen. Je kunt zo de routers van reguliere gebruikers op het internet misbruiken om die je verkeer DDoS aanval te laten vergroten zonder al te veel moeite.

Maar gezien wat ze hier zeggen is het waarschijnlijk niet een dergelijke aanval. De wijziging van de aanval wijst er verder op dat dit een wat beter doordachte aanval was maar bied ook hoop voor het traceren van de aanvallers. Alhoewel die wss toch wel een botnetwerkje hebben ingezet voor deze zaak.

Ik hoor nog geen claims op het internet en dat is iets wat ik bij een politiek motief juist heel snel hoor. Dus of iemand is kwaad op de overheid (steun aan de coalitie tegen Isis, het vergroten van de AIVD bevoegdhede, of mss iets zeer keins) en wilt er niet over praten of er zit meer achter de DDoS. Het zou wat kwaadaardiger worden als de DDoS gewoon een afleiding voor iets anders was.

Peter Huizenga 11 februari 2015 15:53

wel grappig dat de overheid nu een adevertentie heeft :
Senior IT-auditor
Rijksoverheid, 's-Gravenhage

Daar zijn ze snel mee

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (104)

Sorteer op:

Weergave: