Telegram: ddos-aanval kwam onder meer van LeaseWeb- en NFOrce-servers

De ddos-aanval op de servers van chatapp Telegram was afkomstig van servers die gehost worden bij onder meer de Nederlandse bedrijven LeaseWeb en NFOrce. Dat claimt Telegram. Naast de Nederlandse bedrijven komt de aanval ook van onder meer Amazon-servers.

De ddos-aanval trof onder meer ook Nederlandse gebruikers vrijdagmiddag, maar heeft in de loop van het weekeinde downtime veroorzaakt in vooral Aziatische regio's, claimt de chatapp. Telegram kreeg 200Gbit/s aan junk traffic voor de kiezen. De aanvaller of aanvallers hebben het verkeer verspreid over veel verschillende servers. Geen van de hosts zorgde voor meer dan 5 procent van het verkeer.

Het afslaan van de aanvallen was moeilijk, omdat veel hosters in het weekeinde onbereikbaar zijn voor bedrijven als Telegram. De aanval zou afkomstig zijn uit het oosten van Azië, maar Telegram zegt niet wie er precies verantwoordelijk voor zijn.

Ongeveer vijf procent van de gebruikers wereldwijd van de dienst zou zijn getroffen door de ddos-aanval, claimt Telegram. De chatdienst geeft geen cijfers over het aantal actieve, dagelijkse gebruikers van de chat-app. Volgens de laatste cijfers heeft Telegram 62 miljoen actieve gebruikers.

Update, 16:00: NFOrce laat aan Tweakers weten dat het weinig heeft gezien van de ddos-aanval tegen Telegram. "Ze hebben contact opgenomen en dat hebben we afgehandeld, maar we zien weinig van de honderden gigabits die zij per seconde krijgen", aldus een woordvoerder. LeaseWeb zegt helemaal geen verzoek te hebben gekregen van de chatapp.

IT-banen

Reacties (72)

Tiny 13 juli 2015 12:12

Ik snap nooit zo goed wat hier de lol van is.....

Maar zomaar even hardop denken;
Zou er niet een overkoepelende organisatie kunnen zijn die, dit soort plotselinge toenames in data, kunnen detecteren, en direct maatregelen treffen?

Jaahp @Tiny • 13 juli 2015 12:28

Het probleem met DDOSen is dat het kaf van het koren onderscheiden moet worden, en het is niet makkelijk om dat automatisch te doen.

Als hosting provider kan je niet echt een grens trekken waarbij je het internet afknijpt bij een bepaalde hoeveelheid data, want de klant betaalt voor die hoeveelheid, en er zijn genoeg services die voor een goede reden veel data gebruiken.

Als aanvaller maak je veel accounts en huur je veel instances in, met verschillende accounts. Een instance bij Amazon met ~1000Mbit/s kost ongeveer $1 per uur. 200Gbit/s kost dus maar $200 per uur als je het goed doet. Telegram heeft open API's voor het implementeren van clients, het is dus ook niet heel moeilijk om veel junk traffic te genereren.

Waarschijnlijk zijn het een stel immorele pubers die het doen "omdat het kan" en "for the lulz".

[Reactie gewijzigd door Jaahp op 27 juli 2024 22:22]

Meulugar @Jaahp • 13 juli 2015 14:20

of een denkmantel voor een hackpoging.

NLsandman @Jaahp • 13 juli 2015 23:45

Het probleem met DDOSen is dat het kaf van het koren onderscheiden moet worden, en het is niet makkelijk om dat automatisch te doen.

Als hosting provider kan je niet echt een grens trekken waarbij je het internet afknijpt bij een bepaalde hoeveelheid data, want de klant betaalt voor die hoeveelheid, en er zijn genoeg services die voor een goede reden veel data gebruiken.

Als aanvaller maak je veel accounts en huur je veel instances in, met verschillende accounts. Een instance bij Amazon met ~1000Mbit/s kost ongeveer $1 per uur. 200Gbit/s kost dus maar $200 per uur als je het goed doet. Telegram heeft open API's voor het implementeren van clients, het is dus ook niet heel moeilijk om veel junk traffic te genereren.

Waarschijnlijk zijn het een stel immorele pubers die het doen "omdat het kan" en "for the lulz".

Je hebt geen 200 instances nodig,10 is genoeg als je reflectie gebruikt.
Het is trouwens geen slimme aanvaller geweest, normaal spoof je de aanval vanaf amazone, nforce en leasweb, hij heeft het wel kunnen verbergen door hooguit een paar servers bij elke hoster te gebruiken want misbruiken van servers heeft men zo in de gaten.
10 gbit/s ziet men heel snel.

edit: Oeps ze hebben alleen de reflectie servers gezien dus niet de orginele bron van de aanval.

[Reactie gewijzigd door NLsandman op 27 juli 2024 22:22]

Verwijderd @Jaahp • 13 juli 2015 12:55

Een DDOS is inderdaad een relatief goedkope aanvalsmethode, de hele forbes500 heeft er last van, overheden en in het bijzonder ICT bedrijven.

Je kan wel maatregelen_[pdf] nemen. En er is ook prima apparatuur_[pdf] beschikbaar die 200Gbit throughput aankan.

Het is toch ook wel bijzonder dat telegram toch relatief traag gereageerd heeft. En misschien ook wel vooraf niet zo 'weerbaar' was. Het belangrijkste met het snel indammen van een DDOS is een goede voorbereiding om je weerbaarder te maken.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 22:22]

Jelv @Verwijderd • 13 juli 2015 15:17

Telegram heeft al vaker een DDoS gehad. Daarnaast is de vraag of een aanval afslaan in 4 dagen traag is voor een bedrijf dat op donaties draait. En slechts 5% van de gebruikers, het relatief kleine Azië-cluster, is geraakt. Ze spreken zelf over een minder gangbare SYN-Flood aanval (Incapsula heeft er een mooie pagina over). Dit is een aanval via TCP terwijl UDP het meest gangbaar is.

Zover ik er iets van weet ontwijken de meeste bedrijven de aanvallen door de diensten te verplaatsen naar nieuwe ip's zodat ze online blijven. Volgende stap is de aanvallers van het normale verkeer te flaggen en uit te schakelen zover mogelijk. Hostingbedrijven contacten zit pas in die laatste stap. Hopelijk hebben ze het snel onder controle.

[Reactie gewijzigd door Jelv op 27 juli 2024 22:22]

WhatsappHack

Netwerk en systeembeheer
Apps

@Jelv • 14 juli 2015 01:08

Zover ik er iets van weet ontwijken de meeste bedrijven de aanvallen door de diensten te verplaatsen naar nieuwe ip's zodat ze online blijven.

Doel je dan op round-robin?
Dat is namelijk sterk achterhaald.

Het probleem is dat de aanvallers vaak slim genoeg zijn om de nieuwe IP adressen ook te zien en zich daar op aanpassen. Een beetje aanvaller krijgt dat door.
En dan wordt dus niet alleen de oude, maar ook de nieuwe locatie doodleuk platgegooid. Het enige wat je daar verder aan kan doen is mitigatie apparatuur er tussen donderen, of gebruik maken van een mitigatie dienst dat een eigen overflow netwerk heeft.

Verwijderd @Tiny • 13 juli 2015 12:25

In DDOS gespecialiseerd bedrijven kunnen dit. Het is een kwestie van de juiste apparatuur en goede contacten met je upstream providers.

Zowel de apparatuur als de hoge service levels van upstream providers zijn echter niet gratis. Zoiets voor het hele Internet regelen is onnodig en verschrikkelijk duur.

Eenvoudiger en goedkoper lijkt me de mogelijkheid om hosting bedrijven bij het niet tijdig reageren op een melding aansprakelijk te kunnen stellen.

WhatsappHack

Netwerk en systeembeheer
Apps

@Verwijderd • 13 juli 2015 14:23

Ja natuurlijk... Een crimineel misbruikt een netwerk, en dan moet de netwerkbeheerder maar opdraaien voor de kosten, uhu... Heel slecht plan. Dan kunnen heel veel isp's heel snel failliet gaan. Het is ook zeer onredelijk.
Je gaat de NS toch ook niet beboeten voor het vervoeren van mensen naar de zwarte markt?

Een DDoS aanval is niet altijd makkelijk te bewijzen. Een host moet wel solide bewijs krijgen dat er uberhaupt een aanval plaatsvindt. Een partij als leaseweb waar duizenden en duizenden servers staan kan het niet zondermeer detecteren als het om een gentle flux aan traffic gaat.
En 24/7 dit laten analyseren is gewoon niet te doen.

Het is vervelend dat het gebeurt, maar als je een dienst opzet die gevoelig is voor DDoS aanvallen: dan moet je die eerst zelf beveiligen, in plaats van te verwachten dat hosting providers binnen 5 minuten op je melding reageren.
Ze hebben al veel anti-ddos maatregelen bij providers als leaseweb, maar ze kunnen niet toveren.

NLsandman @WhatsappHack • 14 juli 2015 00:18

Een aanval van 200 gbit/s raw udp is niet zo makkelijk af te slaan, de meeste hoster
nullen het ip adres dat wordt aangevallen omdat anders hun andere klanten ook
last kunnen krijgen van de aanval.

Onze bf3 game server wordt al 4 maanden dagelijks aangevallen, eerst met 200mbit en toen met 100mbit, we hebben NFO die ddos protectie biedt geprobeerd, de aanvallen van 100 mbit deden niets meer, 1 dag later krijgen we 3 dagen een aanval van 200gbit/s.
NFO moest steeds onze server nullen voor 4 uur om hun netwerk te beschermen dus daar zijn we ook maar mee gestopt, nu sinds 2 dagen draait onze server weer en lijken de aanvallen voorbij of de aanvaller is op vacantie.

[Reactie gewijzigd door NLsandman op 27 juli 2024 22:22]

WhatsappHack

Netwerk en systeembeheer
Apps

@NLsandman • 14 juli 2015 01:05

Een 200GBit UDP aanval naar een TCP dienst is eigenlijk best makkelijk af te slaan, hehe. Dan weet je precies waar je op moet filteren.

Maar bij jullie is het probleem dat jullie servers uiteraard via UDP babbelen...

Er zijn oplossingen om dit soort DDoS aanvallen met relatief gemak af te slaan.
Althans: voor bedrijven. Voor consumenten en kleine bedrijfjes is dat nagenoeg onbetaalbaar, maar die hebben 't dan ook 9 van de 10 keer niet over een kwestie van "wij lopen miljoenen mis als het down is".

Mochten jullie weer aangevallen worden, dan zou je eens kunnen aankloppen bij OVH... Hun DDoS bescherming krijgt over 't algemeen zeer goede ratings, en kan zo'n 3TBit/sec weerstaan. Het enige probleem is dat je als je geddost wordt niet je volledige pipe kan en mag gebruiken, maar voor x users online zou dat nog steeds geen probleem moeten zijn.
Enfin, wellicht een oplossing voor jullie als 't zo doorgaat.

Het is namelijk nog behoorlijk betaalbaar ook!

NLsandman @WhatsappHack • 14 juli 2015 23:29

We hebben alle soorten layer 4 udp aanvallen gezien van reflectie via TS3,
source, raw udp, sync flood, het is ook heel gemakkelijk een booter
te huren met vermogens van 10 gbit/s to 350 gbit/s, natuurlijk deel je
het vermogen met andere huurders.
Ook zijn er private botnets, je betaald 10 euro en ze nullen elke server voor
jouw, voor sommigen is het zelfs een sport om NFO en OVH servers te nullen.
Op pastbin als je weet waar je naar moet zoeken staan lijsten met duizenden servers die open zijn zodat ze gebruikt kunnen worden voor reflectie, het
enigste wat je moet vinden is een host die niet streng is zodat je een booter
kunt opzetten, sources van booters zijn ook vrij verkrijgbaar als je weet waar je zoeken moet.

Verwijderd @WhatsappHack • 13 juli 2015 14:40

Ja natuurlijk... Een crimineel misbruikt een netwerk, en dan moet de netwerkbeheerder maar opdraaien voor de kosten, uhu... Heel slecht plan. Dan kunnen heel veel isp's heel snel failliet gaan. Het is ook zeer onredelijk.

Dat zeg ik nergens. Ik wil dat hosting providers tijdig reageren, niets meer dan dat. Verzuimen ze het om binnen redelijke tijd ook maar enige reactie te geven, dan vind ik dat nalatig. (Let op: een reactie is wat anders dan een oplossing.)

Je gaat de NS toch ook niet beboeten voor het vervoeren van mensen naar de zwarte markt?

Nee. Maar als er opeens mensen met grote bebloede messen in de trein zitten en iemand maakt daar melding van dan verwacht ik dat de NS binnen korte tijd met een reactie komt, niet dat ze het gewoon negeren.

Verwijderd @Verwijderd • 13 juli 2015 13:46

Dat laatste lijkt me ook niet zo'n goede optie: hosting bedrijven zullen dit risico direct doorbelasten in hun tarieven (net zoals bijvoorbeeld Amerikaanse artsen doen waardoor de zorg daar peperduur is...).

Jheroun @Tiny • 13 juli 2015 12:49

Niet zonder dat websites, de hosters en de ISP's daarachter een deel van hun souvereiniteit gaan verliezen. Er is best iets te verzinnen dat vanuit informatie over Internetstromen (bv met behulp van netflow data) kan suggereren wat er zou moeten gebeuren, dat is precies want anti-DDOS diensten doen, maar wie laat je daarop acteren? Veel bedrijven willen zelf in de hand houden wat er met hun verkeer gebeurt, dat betekent dat DDOS mitigatie over het algemeen via meerdere schakels loopt (en dan laat ik de diversiteit en toenemende inventiviteit van DDOSsen nog even weg).

Sharkoon @Tiny • 13 juli 2015 13:38

ja die bestaat: NAWAS
http://www.nbip.nl/dienst...d-beveiliging-tegen-ddos/

Freeze-Oh @Tiny • 13 juli 2015 14:45

Oh, maar die zijn er ook hoor.
bedrijven als Akamai https://www.akamai.com/us/en/cloud-security.jsp
hebben een eigen centre waarin dit soort zaken wordt bjigehouden.
je kunt ook prima de huidige DDOS stand van zaken op hun website bekijken:
http://www.stateoftheinternet.com/trends-visualizations-security-real-time-global-ddos-attack-sources-types-and-targets.html

En maatregelen zijn er ook in de vorm van bijvoorbeeld scrubbing streets die malicious traffic detecteren en droppen. Het probleem is alleen dat dit soort maatregelen ook iets kost..
en niet iedereen wil dit soort kosten op zich nemen.

Daarnaast: er is niet één DDos aanval die iedereen uitvoert. er zijn honderden varianten die soms ook nog specifiek op bepaalde apparatuur, netwerklaag of netwerkfunctionaliteit zijn gericht (applicatie-specifieke attacks nog even daargelaten). Dus onkwetsbaar ben je nooit.

Je moet dan dus een risico afweging gaan maken: Hoeveel geld wil ik steken in een redelijke mate van defense

YopY @Tiny • 13 juli 2015 14:52

Google heeft ook een mooie visualisatie van actieve DDOS aanvallen: http://www.digitalattackmap.com

mkools24 13 juli 2015 12:11

Toevallig weer Leaseweb natuurlijk, die doen werkelijk niks tegen dit soort abuse. Je vraagt je af of ze überhaupt hun eigen netwerk monitoren dan kun je dit soort aanvallen direct detecteren en blokkeren.

Floor @mkools24 • 13 juli 2015 12:32

Misschien omdat Leaseweb gewoon heel groot is?
Je kan om verschillende oorzaken ineens een piek in je data hebben. Software update die wordt uitgerold, overpompen van gegevens, live-streams enz. Het is onwenselijk om verkeer te monitoren. Leaseweb heeft niks met de data te maken, je wilt toch geen dpi?
Op abuse melding moet pas gereageerd worden.

Tukkertje-RaH @Floor • 13 juli 2015 12:47

Mwoh... Niet omdat Leaseweb groot is, maar vooral omdat Leaseweb wel vaker in verband wordt gebracht met "losjes" omgaan met de regeltjes... Even zoeken op "leaseweb & hack" geeft al snel 168.000 hits. Meer dan volgens mij nodig is voor een nette provider...

Edit - ik zie dat enige onderbouwing nodig is... Wat artikelen van Security.nl:

LeaseWeb speelt rol bij groot Russisch botnet - https://www.security.nl/p...bij+groot+Russisch+botnet
Botnet vindt schuilplaats bij LeaseWeb - https://www.security.nl/p...schuilplaats+bij+LeaseWeb
LeaseWeb sluit eindelijk berucht malware domein - https://www.security.nl/p...jk+berucht+malware+domein
Spamhaus ziet toename van botnet-servers in 2014 - De botnet-servers werden op 1183 verschillende netwerk gehost. De meeste botnet-servers werden gevonden bij het Franse OVH, het Duitse Hetzner en het Nederlandse Leaseweb. - https://www.security.nl/p...an+botnet-servers+in+2014
'Nederlandse hoster hotspot voor cybercrime' - Wat betreft landen wordt Nederland door HostExploit op een zevende plek neergezet. Dat komt voornamelijk door Ecatel en LeaseWeb, die in het overzicht van providers op een eerste en elfde plek staan - https://www.security.nl/p...otspot+voor+cybercrime%27
Nederland host 154 botnet-servers - Nederland staat op een derde plek met 154 servers. De beheerder van het Bredolab-botnet, dat in oktober 2010 door de Nationale Recherche werd uitgeschakeld, gebruikte 143 servers van de Nederlandse hostingprovider Leaseweb. https://www.security.nl/p...d+host+154+botnet-servers

Leaseweb staat gewoon niet al te goed bekend als het gaat om veilig hosten: veel command en control servers worden door criminelen bij Leaseweb geplaatst, en Leaseweb doet er gewoon weinig aan om dat actief tegen te gaan...

[Reactie gewijzigd door Tukkertje-RaH op 27 juli 2024 22:22]

Goldwing1973 @Tukkertje-RaH • 13 juli 2015 13:08

Dat slaat dus nergens op, volgens jouw redenering is Amazon helemaal een slechte qua regeltjes, want die heeft 19.600.000 hits als je zoekt op "Amazon & hack"
Of Microsoft dan, 25.500.000 hits met "Microsoft & hack"

Leaseweb is gewoon een grote speler op de markt, daardoor zullen er ook relatief meer klachten zijn.
Je hoort toch ook vaker klachten over de Albert Heijn dan over de buurtsupermarkt?

batjes @Goldwing1973 • 13 juli 2015 14:19

Leaseweb is alleen hosting. Amazon en MS doen een heel stuk meer dan alleen hosting en worden constant links en rechts ZELF aangevallen.

Leaseweb daarentegen is de lokatie waarvandaan die aanvallen op Amazon en MS gedaan worden.

Overigens hoor ik nooit klachten over de AH, juist klachten dat de buurtsuper (COOP) zo duur is.

Verwijderd @Tukkertje-RaH • 13 juli 2015 14:33

Vergeet niet dat dit nog 2 andere oorzaken heeft :
- Leaseweb biedt erg goedkope dedicated servers aan en heeft heel degelijke peerings. (net als het door jou aangehaalde hetzner en zelfs ovh met hun dochter soyoustart.com )
- Veelal worden attacks of C&Cs gerunned op zonder medeweten van de originele afnemer.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 22:22]

Mopperman @Floor • 13 juli 2015 12:39

Als klant bij leaseweb moet ik zeggen dat met een respons tijd van 1 a 2 uur op email in het weekend niet veel problemen heb.... Zou er vanuit gaan dat Leaseweb voor bedrijven als telegram toch beter bereikbaar zou zijn.

Verwijderd @Mopperman • 13 juli 2015 13:47

Dat is maar de vraag. Jij bent klant van Leaseweb, Telegram niet. En met bedrijven die geen klant zijn heb je geen SLA.

Mopperman @Verwijderd • 13 juli 2015 14:10

Dat klopt, maar ook toen ik geen klant was en technische vragen stelde kreeg ik redelijk vlot antwoord, in het weekend.

Daarnaast lijken mij abuse meldingen ook redelijk vlot afgehandeld te moeten worden... Of dit gebeurt, geen idee...

The LeaseWeb Abuse Prevention department makes sure to act quickly on all notifications it receives. All notifications received are evaluated by LeaseWeb’s automatic Abuse Prevention Tool, which is active 24/7 and handles notifications all year round.

bron: https://www.leaseweb.com/abuse-prevention

mkools24 @Floor • 13 juli 2015 12:48

Je kunt echt wel heel snel en eenvoudig het verschil zien tussen een software update, file transfer of een layer 4 UDP DDoS aanval. Heel veel providers detecteren echter alleen inkomende aanvallen en geen uitgaande. OVH bijv. controleert ook op aanvallen van binnenuit en filtert deze ook gewoon weg, het kan dus wel.

Verwijderd @mkools24 • 13 juli 2015 14:32

Klopt maar de oplossing van OVH (VAC) is echter wel een behoorlijke dure oplossing en heeft ook al, voornamelijk bij de opstart, problemen veroorzaakt.

Voor de geintresseerde : https://www.ovh.com/us/anti-ddos/mitigation.xml of zoek op OVH VAC problems oid

Verwijderd @Floor • 13 juli 2015 13:07

Leaseweb heeft niks met de data te maken, je wilt toch geen dpi?
Op abuse melding moet pas gereageerd worden.

Zo zwart/wit hoeft het niet te zijn.

Simpel voorbeeldje: als ik op een server bij Choopa een onbeveiligde DNS server draai krijg ik een (geheel vrijblijvende) e-mail die mij wijst op de risico's en hoe deze zo goed mogelijk te voorkomen. Eenzelfde DNS bij Leaseweb hoor ik niks over. Wat mij betreft is dat gewoon een stukje service can Choopa, die mij, en Choopa, maar ook de rest van het Internet ten goede komt.

temp00 @Floor • 13 juli 2015 13:11

Wat een grote onzin. Monitoren hoeft niet perse direct DPI te beteken. Het is dan ook zeker wel wenselijk en gebeurt ook in de praktijk. Toen ik nog bij 2de/3de lijn zat bij een grote ISP, werd er op verschillende manieren gemonitord en dit is niet anders dan bij andere ISP's of hosters. Het zou wat zijn als dat niet zou gebeuren zeg.
Bovendien lees je regelmatig dat Leaseweb in zee is gegaan met partijen die zich met niet zo jovele zaken bezig houden. Ik krijg de indruk, maar dat is puur persoonlijk, dat A) Leaseweb z'n zaken wat beter op orde moet brengen of B> willens en wetens met dit soort partijen in zee gaat. Het roept bij mij in ieder geval wat negatieve associaties op wanneer ik ergens Leaseweb lees.

[Reactie gewijzigd door temp00 op 27 juli 2024 22:22]

Floor @temp00 • 13 juli 2015 15:42

En wie bepaald wat wel en niet kan, de Nederlandse wet maar verder? Wanneer persoonlijke overuigingen meespelen wordt het heeeeeel snel een bende. Bepaalde zaken zijn duidelijk zoals kinderporno.
Maar dan wordt het ook al snel een stuk vager. Een fabrikant van wapentuig, homorechten-organisatie, milieuactivisten die wat steviger optreden, Shell enz.
Zomaar wat voorbeelden waar genoeg tegenstanders voor te vinden zijn (en ook genoeg voorstanders).
Daarnaast is Leaseweb ook niet verantwoordelijk voor de software die er op de servers draait, behalve de software die ze zelf aanbied. Of je moet er als klant voor betalen.

De klant van Leaseweb moet zorgen dat hij de zaken goed geregeld heeft. Leaseweb doet zijn ding, de klant zijn ding.

RoestVrijStaal @mkools24 • 13 juli 2015 12:40

Denk je nou echt dat die DDoSers voor servers bij LeaseWeb en Amazon betaald hebben?

Het zijn eerder buitgemaakte servers van andere mensen. Die de server op de standaard configuratie draaien en niet tijdig updaten.

Overigens is het vaak zo dat als je server meedoet aan een DDoS of een DDos ontvangt, contractbreuk volgt. Soms met schadeclaims erbij. Niet tof als je met je server 'normaal' doet en pats boem iemand staat het te DDoSsen of neemt het met een (onbekende) exploit over om te DDoSsen.

mkools24 @RoestVrijStaal • 13 juli 2015 12:52

Dat denk ik zeker niet het gaat hier waarschijnlijk om UDP reflectieaanvallen, gebruikmakend van NTP, DNS, SSDP etc. je hebt dus geen toegang nodig.

Echter zijn dit soort reflectieaanvallen al redelijk oud en wordt er massaal misbruik gemaakt, dus als ISP moet je daar al iets tegen hebben eigenlijk. Desnoods sluit je ongepatchte klanten af.

NLsandman @mkools24 • 14 juli 2015 00:40

We've been hit with 200 Gbps of junk traffic, which feels roughly like having 200 billion very random people squeeze into your bus every second. For the most part, it was a relatively new type of DDoS known as Tsunami SYN flood, but the attackers have shown some flexibility in their methods and adapted to changes pretty quickly.

The garbage traffic came from about a hundred thousand infected servers, most noticeably, in LeaseWeb B.V., Hetzner Online AG, PlusServer AG, NFOrce Entertainment BV, Amazon and Comcast networks. That said, the attack was distributed evenly across thousands of hosts and none contributed more than 5% of the total volume.

5 gbit/s aan syn flood van leasweb, dat zijn aardig wat servers.

[Reactie gewijzigd door NLsandman op 27 juli 2024 22:22]

WhatsappHack

Netwerk en systeembeheer
Apps

@NLsandman • 14 juli 2015 01:48

10 gbit/sec zelfs, als LW een van de grootste contributors is.
Immers is 5% van 200GBit nog altijd 10Gbit.
Voor een flood vanaf infected servers moeten we het dan inderdaad over een behoorlijke zooi aan servers hebben daar; zeker als ze op het goedkope netwerk staan ipv dat premium gebeuren wat ze aanbieden; want die kunnen niet constant 1GBit/sec bursten op dat best-effort netwerk... Zeker niet als het clustertjes aan servers zijn.

Maarja... als we NForce, LeaseWeb en gewoon de algemene traffic graphs mogen geloven (zie update in artikel van 16:00): dan is het gewoon wederom een misleidend onzin praatje van Telegram om een downtime te verklaren. Kennelijk is er helemaal geen 200Gbit/sec aanval geweest. Als er uberhaupt al 1 is geweest, dan is dat gewoon een kleinschalige geweest, die met reguliere mitigatie prima opgelost had moeten kunnen worden.

Ik heb Telegram werkelijk nog geen 1 keer de waarheid over iets horen spreken, echt bizar.
Constant misleiden. Heel creepy tentje, naar mijn mening.

[Reactie gewijzigd door WhatsappHack op 27 juli 2024 22:22]

mkools24 @WhatsappHack • 14 juli 2015 08:41

200 gbit is wel een grote aanval maar niet noemenswaardig meer tegenwoordig. Sinds reflectie aanvallen zijn uitgevonden lukt je dat waarschijnlijk al met een enkele server met een gigabit verbinding het zou dus makkelijk kunnen.

En creepy tentje ach wie zegt dat ze liegen valt toch niet te bewijzen en elk groot bedrijf liegt, denk je dat facebook/whatsapp altijd de waarheid verteld?

Ik blijf Telegram toch nog steeds verkiezen boven whatsapp.

WhatsappHack

Netwerk en systeembeheer
Apps

@mkools24 • 15 juli 2015 02:05

Noemenswaardig blijft het wel; zeker voor kleinere hosts met een relatief kleine pipe zijn dat behoorlijke aantallen... Vooral private networks of gebouwen met een dedicated fiber lijntje gaan dan zwaar over hun nek.
Het is ook niet zo dat elke idioot die reflectieaanvallen kan opzetten natuurlijk op deze schaal. De intensiteit van DDoS aanvallen nemen absoluut toe, maar deze getalen zijn nog altijd zeer hoog; de gemiddelde DDoS is vele malen lager.

Nee, dat denk ik niet, marketing blijft marketing.
Maar er is een verschil tussen "altijd de (volledige) waarheid vertellen" en "constant je gebruikers flink misleiden op alle vlakken."

NLsandman @WhatsappHack • 15 juli 2015 00:35

Ik weet het zo net nog niet, ik geloof best dat er een 200 gbit/s aanval was, we hebben het zelf mee gemaakt op onze bf3 server.

De enigste die het kunnen stoppen zijn de hosting providers, er zijn tools
waarmee je slechte geconfigureerde servers mee kunt vinden die worden gebruikt om lijsten van reflectie servers te maken.
Waarom gebruiken hosting providers dit niet, ze vallen elkaar aan en kopen
dure maatregelen in om ddos tegen te gaan terwijl het bijna gratis kan.

RoestVrijStaal @mkools24 • 13 juli 2015 14:46

Echter zijn dit soort reflectieaanvallen al redelijk oud en wordt er massaal misbruik gemaakt, dus als ISP moet je daar al iets tegen hebben eigenlijk. Desnoods sluit je ongepatchte klanten af.

Helaas werkt het in de hosting-wereld iets anders dan in de internetprovider-wereld. KPN, Ziggo et al kunnen inderdaad hun klanten afsluiten, want ze zijn de providers hier op twee handen te tellen en dus hebben ze een bepaald soort macht. Bij hosting betekent het een vis verliezen aan duizenden die in dezelfde vijver aan het vissen zijn. Daarnaast kunnen ISPs die unmanaged services aanbieden niet zomaar klanten die laat patchen afsluiten.

rensjeh1 @RoestVrijStaal • 13 juli 2015 14:00

Inderdaad, vaak komen deze servers/clients ook uit Rusland / Oekraïne.
Providers in Rusland vinden dit ook prima, zo verdienen ze meer en meer...

Verwijderd @mkools24 • 13 juli 2015 12:14

In principe vind ik dat we terughoudend moeten zijn met verantwoordelijk houden van hosting bedrijven voor wat hun klanten (al dan niet opzettelijk) veroorzaken, maar het niet tijdig reageren op duidelijk verifieerbare abuse meldingen neigt toch wel naar een vorm van nalatigheid.

Bosmonster @Verwijderd • 13 juli 2015 12:25

Het verbaast mij in dat opzicht vooral dat hosters blijkbaar niet of slecht bereikbaar zijn in het weekend. Het internet is een 24/7 aangelegenheid en dan hoor je als hostingbedrijf ook 24/7 bereikbaar te zijn, zeker voor spoed/abuse.

[Reactie gewijzigd door Bosmonster op 27 juli 2024 22:22]

Jheroun @Bosmonster • 13 juli 2015 12:45

Dat hangt natuurlijk nogal van je dienstverlening af, en dan nog meer met de kosten daarvan. Een budget hoster gaat niet al zijn klanten 24/7/365 support geven met een reactietijd van 5 minuten. Of dat kost de hoofdprijs, of het wordt überhaupt niet aangeboden.

Dit hangt meer af van het contract dat de huurder heeft afgesloten dan van de verhuurder.

Bosmonster @Jheroun • 13 juli 2015 19:53

We hebben het hier over abuse van je dienst, niet over een klantenservice. Dit kan 24/7 gevolgen hebben en hier moet je dus ook 24/7 voor klaar staan. Dit hoeft niet iemand te zijn die 24/7 op kantoor zit, maar je moet wel bereikbaar zijn.

Het kan gaan om ernstige zaken zoals aanvallen vanaf je netwerk, of als er illegaal materiaal gehost wordt. Dit kan moeilijk maar "even een paar dagen" of zelfs uren, wachten.

Jheroun @Bosmonster • 14 juli 2015 10:42

Ik bedoel support niet in de zin van klantenservice, ik bedoel het in de zin van alles

Het maakt niet uit waarvoor het is, bereikbaarheid kost geld. Als ik het niet erg vind dat mijn netwerk het in het weekend niet doet (extreem voorbeeldje) dan zet ik in het weekend niemand neer, niet voor support, niet voor operations, niet voor abuse.

Ik ben met je eens dat het fijn is als partijen die spullen aan Internet connecten een beetje bereikbaar zijn bij abuse maar er is geen reden waarom dat zou moeten, er is geen wet voor ofzo.

Nou zou het best kunnen dat bv een Leaseweb door hun onbereikbaarheid (er even van uitgaande dat die claims van telegram kloppen) de zorgplicht die de telecomwet stelt nu niet naleeft, dat zou een interessante zaak zijn die het 'moeten' wat dwingender in zou kunnen regelen. Zover ik weet is dat echter nog niet het geval.

Verwijderd @Bosmonster • 13 juli 2015 13:49

Zolang de hoster volgens SLA werken is het goed. Ik begrijp uit jouw klacht dat je een 24/7 SLA hebt maar dat hosters zich daar niet aan houden?

Bosmonster @Verwijderd • 13 juli 2015 19:54

Zie reactie hierboven. Het gaat niet om SLA's of klantenservice, maar om je bereikbaarheid ivm abuse.

arjankoole @Bosmonster • 13 juli 2015 12:32

Het verbaast mij in dat opzicht vooral dat hosters blijkbaar niet of slecht bereikbaar zijn in het weekend. Het internet is een 24/7 aangelegenheid en dan hoor je als hostingbedrijf ook 24/7 bereikbaar te zijn, zeker voor spoed/abuse.

klanten hebben doorgaans toegang tot noodnummers. Maar bedrijven waarmee het bedrijf geen enkele relatie heeft natuurlijk niet.

Blokker_1999

Netwerk en systeembeheer

@mkools24 • 13 juli 2015 12:39

Je kan hetzelfde zeggen van Amazon. Heb de laatste tijd al meermaals melding gekregen van aanvallen afkomstig vanaf Amazon ... heel leuk zo een cloud met onbeperkte bandbreedte (als je ervoor betaald), maar dus ook zeer eenvoudig te misbruiken.

YopY @Blokker_1999 • 13 juli 2015 14:54

Je zou denken "dan pakt Amazon toch gewoon de CC gegevens van degenen die de DDOS uitvoert", maar goed mogelijk dat die op hun beurt ook weer gejat zijn...

Verwijderd @mkools24 • 13 juli 2015 13:27

Toevallig van de week een mail gehad van Leaseweb, hier een klein stukje copy/paste wat jou stelling genoeg ontkracht.

As we have recently informed you, the various LeaseWeb companies have jointly developed a brand new system that will further streamline the abuse notification handling process.

This new Abuse Handler tool is live as of today and it is much more efficient and user friendly for all parties.

2Dutch 13 juli 2015 12:25

Fighting back would‘ve been a little easier, if the abuse departments in most of the mentioned companies didn’t process requests 9-5, Mon-Fri only. (Hours more befitting a scuba-diving shop in Vatican.)

Met een vleugje humor gebracht, maar wel niet iets van deze tijd: kantoortijden voor je abuse-afdeling? Alsof mensen met minder goede bedoelingen na 17:00 zeggen: neh, nu ff niet, heb weekend

Jheroun @2Dutch • 13 juli 2015 12:50

Dan ben je het verkeerde product af aan het nemen. Sorry hoor maar dit is te makkelijk, eerst op zoek gaan naar de goedkoopste hostingvorm bij de goedkoopste hoster en dan klagen dat je geen support krijgt. You get what you pay for.

Douweegbertje @Jheroun • 13 juli 2015 13:00

Het heeft helemaal niets te maken of je nu klant bent of niet.. Je neemt contact met een abuse afdeling op als het bedrijf (via zn klanten) jou kapot loopt te 'spammen' zoals nu gebeurde.

Asteryz @Douweegbertje • 13 juli 2015 13:30

Precies, dit is de grap. Omdat anderen de shitgoedkoopste hosting nemen kun je geen contact krijgen met de provider waar de aanvallende servers staan.

Armin

Netwerk en systeembeheer

@Jheroun • 13 juli 2015 18:36

eerst op zoek gaan naar de goedkoopste hostingvorm bij de goedkoopste hoster en dan klagen dat je geen support krijgt. You get what you pay for.

Telegram is geen klant, maar slachtoffer van misdragingen van een klant. (Of waarschijnlijker een groep klanten is gehacked en Telegram meldt dit omdat zij er last van ondervinden.)

Jheroun @Armin • 14 juli 2015 10:36

Als telegram bij problemen met een DDOS afhankelijk is van de abuse afdeling van een ander bedrijf hebben ze zelf ook een hoster met maar weinig mogelijkheden. Dat komt dan doordat telegram ofwel bij een hoster zit die dit uberhaupt niet op kan lossen ofwel een goedkoop pakket heeft bij een hoster die wel DDOS bescherming kan bieden.

Er zijn voldoende wereldwijde DDOS beschermingsmogelijkheden (Akamai, Versign), maar die zijn wel prijzig. Ik kom op de site van telegram weinig tegen over bij wie ze hun diensten afnemen maar het zal wel een of andere cloud toko zijn.

De bots waar een DDOS meestal uit komt leven nou eenmaal logischerwijs in netwerken die zelf wat minder aandacht voor hun security hebben, en dat is vooral een kostenoverweging. Dus nogmaals: heb jij een dienst die kwetsbaar is voor DDOSsen (en dat geldt voor bijna iedere dienst) en is dat heel erg, dan moet je in protectie investeren want mitigeren door contact op te nemen met tig desks van tig hosters en ISP's gaat je (als ze al reageren) sowieso nooit snel helpen.

arjankoole @2Dutch • 13 juli 2015 12:34

[...]

Met een vleugje humor gebracht, maar wel niet iets van deze tijd: kantoortijden voor je abuse-afdeling? Alsof mensen met minder goede bedoelingen na 17:00 zeggen: neh, nu ff niet, heb weekend

kosten-baten.

je abuse afdeling wordt heel groot als je daar 24x7 actieve bezetting moet hebben. Bij ons zouden bij een aanval als deze de alarmbellen wel afgaan en dan gaat de dienstdoende engineer kijken, en indien nodig opschalen naar een collega binnen wiens expertise dit meer valt als nodig.

Blokker_1999

Netwerk en systeembeheer

@arjankoole • 13 juli 2015 12:43

Maar je tech support laat je dan weer wel 24/7 draaien. Die zouden evengoed al eens naar de abuse mails kunnen kijken om het kaf van het koren te scheiden en te zien of er inderdaad dringend actie moet ondernomen worden.

Het kan toch niet zijn dat ik van mijn hoster een geautomatiseerde melding krijg dat mijn server word aangevallen terwijl de aanvallende kant dit niet kan detecteren?

Verwijderd @Blokker_1999 • 13 juli 2015 13:11

Het kan toch niet zijn dat ik van mijn hoster een geautomatiseerde melding krijg dat mijn server word aangevallen terwijl de aanvallende kant dit niet kan detecteren?

De aanvaller is vaak "een van vele" en hoeft individueel op geen enkele manier opvallend gedrag te vertonen. Een goed georganiseerde aanval is daarom niet te detecteren aan de aanvallende zijde.

YopY @2Dutch • 13 juli 2015 14:57

Ja precies; zeker als er een DDOS vanuit jouw servers komt wil je dat die binnen een paar minuten afgekapt wordt - aan de andere kant kan een bedrijf duizenden euros kwijtraken doordat een hoster ervoor kiest om hun abuse afdeling maar een paar uurtjes per dag te laten werken.

Ik had voor m'n site ook een DDOS vanuit een of ander serverbedrijfje uit de VS; ik had sowieso alle IPs al geblokt via iptables, maar ook een mailtje erachteraan gestuurd naar hun abuse adres. Duurde twee weken ofzo voordat ik antwoord kreeg; ik weet niet of de aanval zolang duurde, maar als de reactietijd twee weken is...

kevinkrs 13 juli 2015 13:09

Misschien een beetje offtopic. Maar gebruiken jullie Cyanogenmod op die screenshot? Hoe komen jullie aan die batterij meter?

Ontopic: Ze zeggen altijd dat DDos attacks een van de zieligste aanvallen is dat je maar kunt gebruiken.

SampleUser @kevinkrs • 13 juli 2015 13:31

Het heeft een hoog scriptkiddie gehalte

sfranken @kevinkrs • 13 juli 2015 14:02

Zit in stock android ook. Instellingen -> statusbalk -> accu percentage veranderen naar "in het pictogram"

kevinkrs @sfranken • 13 juli 2015 15:05

In stock Android heb je toch helemaal geen pecentage? Dat is eigenlijk een van de redenen waarom ik geen stock android draai op mijn HTC m8... Ik heb die instelling ook nog nooit gezien op stock.

sfranken @kevinkrs • 13 juli 2015 16:07

Klopt, my bad. Ik draai CM12S (Oneplus One). Daar zit het op de plaats waar ik beschreef.

calvinturbo @kevinkrs • 13 juli 2015 18:09

Klopt, zit er pas standaard in vanaf Android M (5.2)

vlc @kevinkrs • 13 juli 2015 14:04

offtopic: alstu http://forum.xda-developers.com/showthread.php?t=2296698

Op dit item kan niet meer gereageerd worden.

Telegram: ddos-aanval kwam onder meer van LeaseWeb- en NFOrce-servers

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: