Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties

De NOS kampte zondagochtend met een storing op zijn website en mobiele applicaties. Oorzaak van de problemen blijkt een ddos-aanval te zijn. Inmiddels zijn de diensten van de publieke omroep weer goed toegankelijk.

NOSDe storing werd aanvankelijk gemeld op het Twitter-account van de NOS, maar er werd toen nog geen oorzaak gemeld. Ongeveer anderhalf uur later waren de problemen verholpen. Na onderzoek blijkt dat een ddos-aanval de oorzaak was van de problemen, die zowel de site als de mobiele applicaties van de NOS moeilijk bereikbaar maakten. Overigens waren ook andere websites van de Publieke Omroep moeilijk bereikbaar.

De NOS heeft maatregelen genomen om de gevolgen van de ddos-aanval tegen te gaan. Op zijn website stelt de publieke omroep dat er 'enkele systemen zijn aangepast'. Wat dat inhoudt is overigens niet verder uitgelegd. Wel is duidelijk dat de website en apps van de NOS dus weer toegankelijk zijn, wat er op wijst dat de maatregelen hebben geholpen. Of de ddos nog gaande is liet de NOS in het midden.

Moderatie-faq Wijzig weergave

Reacties (88)

Ik vraag me af of een klungelig hosting probleem wel eens wordt aangemerkt als ddos aanval. Bewijs wordt hier iig niet geleverd.

Ben overigens benieuwd wat ze doen om 'een systeem aan te passen'. DNS omschakelen?
Ik vraag mij hetzelfde af en dan voornamelijk ivm het tijdstip. Waarom zou je in godsnaam op zondagochtend de NOS gaan DDoSń (even 'omdat het kan' buiten beschouwing gelaten). Het lijkt mij dat je dit doet dat veel mensen hier hinder door ondervinden, bijvoorbeeld tijdens het 8 uur Journaal. Of tijdens een grote newsbroadcast.

Je kan best wel wat tegen DDoS aanvallen doen tegenwoordig overigens. Er zijn meerdere bedrijven die 'DDoS scrubbing aanbieden', waarbij legitiem verkeer doorgelaten word en aanvallers verkeer gedropped word.
Dit kan natuurlijk een test DDOS geweest zijn. Testen, controleren of de test slaagt, stilte voor de storm en daarna de opgeschaalde DDOS.
Wat in jou beleving zondagochtend is, kan bij de DDOS'r zondagavond zijn. Tegen DDOS is weinig meer te doen, er zijn momenteel botnets in opkomst die 150GB/s tot 200GB/s op je netwerk af kunnen sturen. Daar helpt niets meer tegen anders dan wachten tot de storm over is.
Op zondagochtend heb je een minimumbezetiing bij vele bedrijven. Ga je dan een DDoS aanval opstarten zal het vaak langer duren voordat men die onder controle krijgt. Op die manier kan je een dienst langer uit de lucht houden. Het tijdstip is dus zeker niet zo vreemd. Bijkomend verhoog je net de kost voor het slachtoffer omdat zij ineens mensen op zondag moeten gaan oproepen.

DDoS scrubbing is ook geen wondermiddel en ook niet altijd een goede oplossing. Wanneer je met high bandwith toepassingen zit, zoals streaming video, dan is een externe partij er vaak al niet happig op om die te gaan proxyen. Bijkomend overleven die bedrijven ook alleen maar zolang ze zelf voldoende bandbreedte en rekenkracht hebben. Grootste nadeel is dat je de traffiek een extra lange weg moet laat afleggen waardoor de latency verhoogd en je minder controle hebt over wat er uiteindelijk op de pagina van de bezoeker terechtkomt (wie zecht dat die tussenpartij niet gehacked kan worden?).
Je kan best wel wat tegen kleine DDoS aanvallen doen ;)
Maar de grote DDoS aanvallen zoals CloudFlare zegt dat ze hebben gezien met het hele Spamhaus gebeuren van ze kan je niets tegen doen tenzij je een miljoenen budget hebt om de grootste en zwaarste firewalls te kopen met een stuk of tien 100Gb/s verbindingen naar iemand die 1Tb/s kan verwerken (denk dat zelfs AMS-IX daar niet blij van wordt) en dan maar duimen dat de DDoS door een firewall tegen te houden is. 1 voor 1 de IP's intoetsen wordt het namelijk ook niet in zo'n situatie :p
Een DDoS van een paar Mb/s kan iedereen wel afslaan, paar Gb/s begint lastiger te worden omdat niet iedereen het budget heeft om een verbinding van tientallen Gb/s te kunnen veroorloven.
Waarom zou je ooit ddosen kun je je beter afvragen.
Xbox netwerk en die van Sony werden tijdens de kerst platgelegd.
Kan makkelijk... niet iedereen is immers christelijk.
De aanval tijdens kerst heeft weinig met het christelijke geloof te maken, echter is bijna iedereen tijdens kerstmis vrij waardoor er (met name in de doelgroep van de gameconsoles) erg veel activiteit is wat zo dus hard geraakt kan worden.
Yep. Veel "shade". Weinig personeel om het op te lossen. De ideale tijd voor zulke mensen.
...niet iedereen is immers christelijk.
Zie echt het verband niet tussen een aanval en een geloof.

Ja, er zijn in het verleden enkele verstoringen geweest bij partij A of B omdat ze op de een of andere manier bemoeiden met een real life conflict wat zijdelings weer te maken had met geloof. Maar over het algemeen is er geen enkele correlatie tussen een aanval en geloof (bij de ontvanger of de verzender).

Recentelijk heeft Ziggo enkele doordeweekse dagen last gehad van een aanval waarbij DNS voor alle abonnees niet goed werkte. De reden was een "chantage" om het abonnementsgeld van de abonnees naar beneden bij te stellen. Geen enkele correlatie met religie.
Op het moment dat het xbox netwerk en het netwerk van sony werden plat gegooid met een DDoS aanval werd ook door de aanvallers gemeld dat dit gedaan werd omdat iedereen naar familie moest gaan om kerst te vieren.
Toevallig was één van degene die meedeed aan deze aanval (en het grootste werk deed (100.000 Linux machines gekaapt via een netwerk exploit), een ISLAMIET.

Ik heb enkele keren met deze persoon - Vincent Omari - gesproken.

Edit: Typo (Zondagavond).

[Reactie gewijzigd door ONiel op 4 oktober 2015 20:50]

Ik denk dat Imade doelt op dat sommige mensen op zondag ochtend naar de kerk gaa
Ik merkte dat rond 11:00 op meerdere device via de browser. Sinds een uurtje is de laadtijd weer normaal.
De NOS is, zoals in het artikel staat, géén staatsomroep maar een publieke omroep. Een staatsomroep staat ook onder beheer en controle van de regering en beheersen ook het nieuws. De publieke omroep zoals de NOS wordt wel door publiek geld betaald maar staat niet onder controle van de regering. Rusland en noord-korea hebben een staats-, en dus door de regering gecontroleerde omroep, in Nederland gelukkig niet.
Het is een publieke omroep die gefinancierd wordt door de Nederlandse staat, het is dan wel geen staatsomroep in het woord. Maar het heeft veel weg van een staatsomroep (erg onpartijdig zijn ze niet).
En wie is eigenaar van de omroep en bepaald dus wie er in het dagelijks bestuur zit?
Even kijk rond 1:24 is de aanval effectief, rond 3:00 is hij voorbij/gecountert.

In die periode is er niet vaak nieuw nieuws op de site. Wellicht was iemand het archief aan het downloaden? @luckyTV wellicht, om fragmenten te kunnen hergebruiken in een andere montage? ;)

Of is dit een moment dat in een ander land het primetime is en er een bepaald fragment liever niet beschikbaar moest zijn?

Of wilde men testen welke andere infrastructuur/sites er dan ook onder gaan leiden? En of het wellicht invloed zou hebben op het encodingproces, zodat ze later tijdens live streams er tussen kunnen komen?
Begin wel steeds meer de indruk te krijgen dat het toegankelijker wordt met de dag, vorige week nog is onze eigen community continu platgelegd door DDOS aanvallen. Bijvoorbeeld afvangen met Cloudflare werd de das omgedaan door een Cloudscrapper te gebruiken om het computer minigame te omzeilen wat in feite checkt of je wel een unieke bezoeker bent. Het wordt steeds gekker !
Ik ga mij dan ook afvragen hoe je als kleinere site hier iets aan kunt doen, niet iedereen heeft de centen om hier professionele hulp bij in te schakelen.
Wat voor os woord er meestal gebruit bij een ddos aanval?
Zijn het servers met linux erop die niet gepatched zijn, samba ,windows pc etc..
Dat is niet echt relevant, bij een DDOS komt er zo veel verkeer binnen dat het netwerk meestal de beperkende factor is. Zeker met de omvang van de DDOSsen van tegenwoordig, die gaan rustig over meerdere gigabits per seconde. Als het netwerk dat aan kan, dan zijn de achterliggende systemen (o.a. servers) wel het bokje, deze krijgen dan een stevige load te verwerken.
het is relevant als welke os woord het meest gebruikt, en is meestal het kwetsbaarst dus.
Er is weinig tot geen relatie tussen "welk OS is het kwetsbaarst" en "welk OS wordt gebruikt bij een bepaalde DDOS".

In de hedendaagse technologie, is een OS als Windows 3.1 of Linux-kernel 1.6 natuurlijk ondenkbaar om te gebruiken. Neemt niet weg dat met de hedendaagse kennis van OS'en bij "hackers", deze twee OS'en natuurlijk favoriet zouden zijn.

Daarnaast, je gaat ervanuit dat kwantiteit belangrijker is dan kwaliteit. Je hoeft helemaal niet 1 miljoen PC's te hebben met het meest kwetsbare OS om een succesvolle aanval uit te voeren. Alles staat/valt met de bandbreedte aan de kant van het doel en het type aanval; in sommige gevallen kan je uit de voeten met misschien 10.000 machines i.p.v. 1 miljoen en een effectievere aanval uitvoeren. En toevallig was het net makkelijker voor de aanvaller om 10.000 minder kwetsbare machines over te nemen.

Ook is opsporing hierdoor een stukje lastiger; natuurlijk zal men 10.000 machines sneller lokaliseren maar als dit toevallig allemaal machines zijn achter een hele goede firewall, is het neutraliseren van het netwerk / botnet / whatever een stuk lastiger dan als het 1 miljoen machines zijn die plain, zonder krachtige beveiliging, direct aan het internet hangen.
Ik snap de focus op het OS even niet. Een aanval op een netwerk komt als eerste bij je firewall aan, en bij aanvallen van tegenwoordig is dat al een bottleneck. Bij een beetje website bestaat de backend uit meerdere servers die de site kunnen hosten en indien goed ingeregeld best wat kunnen hebben.

Bij sommige aanvallen bereikt het verkeer de back-end niet eens meer.
De discussie gaat over het OS dat misbruikt wordt door de aanvaller, niet over welk OS het slachtoffer gebruikt.
De hele OS discussie is eigenlijk nog irrelevant, het blijft toch voornamelijk een netwerk ding. Als botnet beheerder hebt je graag zoveel mogelijk machines die minimaal een aantal uur per dag online zijn, een redelijk snelle internet verbinding hebben en niet al te kundige beheerders hebben. Dat je dan bij een bepaald OS uitkomt is meer een optel sommetje en zegt verder niet zoveel over dat OS.

Aan de kant van het slachtoffer is het OS nog minder relevant. Het afslaan van een DDoS aanval is vooral een kwestie van zorgen dat het verkeer je backend niet bereikt. Als alleen het legitieme verkeer je backend nog bereikt maakt het verder weinig uit wat daar draait. Het ene OS is er misschien wat beter bestand tegen dan het andere, maar zonder een degelijke vorm van 'traffic scrubbing' gaat alles uiteindelijk wel onderuit.
Als de botherder technieken zoals fastflux toepast wordt het nog lastiger om de zombies op te sporen.
Die 2 zaken zijn niet gerelateerd. Het is niet omdat een OS vaak gebruikt wordt, dat het kwetsbaar is of omgekeerd.
Die 2 zaken zijn niet gerelateerd. Het is niet omdat een OS vaak gebruikt wordt, dat het kwetsbaar is of omgekeerd.
Naarmate een OS meer gebruikt wordt zijn de kwetsbaarheden die in dat OS gevonden worden meer waard. Dat betekent dus dat er een stuk meer energie/mankracht gestoken zal worden in het vinden van die kwetsbaarheden waardoor er toch een bepaald verband is tussen populariteit en kwetsbaarheid.

Als je het hebt over de kwaliteit van het OS op zich dan wordt die inderdaad niet beter of slechter met de populariteit, dat zou natuurlijk onzin zijn. Theoretisch zou een kwalitatief hoogwaardig OS dus ook bij grote populariteit onkreukbaar blijven, maar in de praktijk blijkt eigenlijk ieder stuk software dat zwaar onder vuur komt te liggen wel een aantal kwetsbaarheden te bevatten.
dus als je via een kwetsbaarheid van een os een doss aanval kan doen dan is het niet gerelateerd?
Een (D)DoS aanval voer je niet uit 'via' een kwetsbaarheid. Het creëren van een botnet wel. Daar komt bij dat de meeste servers buit worden gemaakt door slechte wachtwoorden, het open hebben staan van poorten voor het publiek en applicaties zoals Wordpress.
dus de route of origin is een os dat kwetsbaar is.
want de botnet stuurt de aanval toch?

agja ik hou het erbij moet mij meer verdiepen hoe een DDOS aanval werkt.
https://en.wikipedia.org/wiki/Denial-of-service_attack :)
Het botnet voert de aanval uit, de C&C stuurt de bots aan.
Indirect voer je een DDoS uit via kwetsbare systemen ja. Veelal is het echter niet het OS zelf maar applicaties zoals Wordpress en Joomla. Daar zitten verreweg de meeste lekken in. Welk OS er op staat maakt vrij weinig uit.
Een ddos zit meestal anders in elkaar.
Vaak wordt er vanaf een willekeurig os een speciaal gefabriceerd pakketje verstuurd naar bijvoorbeeld een server of een router. Vanwege fouten in o.a. het netwerkprotocol gaat de server of router dan heel veel data sturen richting een target.
Meestal wordt er geen misbruik gemaakt van het OS zelf maar van specifieke netwerksoftware die daar bovenop draait.
Zijn het servers met linux erop die niet gepatched zijn, samba ,windows pc etc..
Ja.
Het OS wat gebruikt wordt is alleen relevant als je er van uitgaat dat een aanval door gehackte computers. Dat is echter niet altijd het geval. Een goed voorbeeld is het gebruik van LOIC door samenwerkende personen.
Centos zou niet persé kwetsbaarder zijn dan ubuntue/debian/red hat/windows server o.i.d. Het is de netwerkapparatuur (met name de firewall) die het zwaar te verduren krijgen doordat alle pakketjes gecontroleerd worden. De servers doen (zeker bij nieuws sites) ontzettend veel aan (ramm)caching gezien het pure tekst is ipv allemaal dynamische dingen zoals een groot forum (waar continue input is zoals GOT, alhoewel zelfs daar goede caching mogelijk is)

Het OS van een server is zo marginaal qua load op dit soort websites dat het niet relevant meer is, op kleine (vps) servers (lees <100k pageviews per maand) kan het echter wel een groot verschil gaan uitmaken, daar is de netwerkapparatuur vaak ruimschoots genoeg terwijl de vps zelf de limiterende factor is/word.

Tenzij je op de bron van de DDOS doelt, in de zin van een botnet, dan is vaak windows het target gezien het het meest gebruikt word, echter zijn mac OS X en android/ios sterk in opkomst (met name de laatste 2) gezien ze amper beveiliging bieden (android vooral) tegen dit soort zaken. Bijna iedereen (met name android gebruikers) accepteerd klakkeloos al die rechten die nodig zijn. Die zijn er niet voor niets. Wat zou een nieuws app met je agenda moeten bijvoorbeeld?

[Reactie gewijzigd door aadje93 op 4 oktober 2015 14:24]

Hoeft niet het meest kwetsbaarst te zijn, je kan een OS van bijvoorbeeld 1miljard gebruikers niet vergelijken met 1tje van 1duizend.
Een DDoS heeft niks met OS te maken, omdat de servers van je slachtoffer/doel bij een 'goede' en grote DDoS al bij de firewall afgekapt worden omdat die overbelast raakt.
Die servers erachter staan gewoon te ontspannen en wat stroom te besparen omdat er geen data binnenkomt.
Op de servers van de aanvaller is het OS ook niet relevant, elk OS kan een simpel tooltje draaien.
Het zal eerder een aanvaller met een laptop oid zijn die een aantal servers heeft weten te hacken, daar heeft de aanvaller ook niet een keuze in OS ;)
Onlangs een presentatie/document gelezen van een leverancier voor DDOS mitigation. 95% van de aanvallen zit onder 1Gbps.
Van alles en nog wat, maar vooral Windows.

Het is nooit 1 computer, dat zou te zwak zijn voor een aanval op grote jongens zoals Ziggo tijdje terug en nu NOS.
Met een NTP/DNS spoof aanval kun je met enkele computers een kleine DNS provider aardig laten zweten door zijn grote broer te spoofen.
Met enkele computers kan je alsnog niet veel, met 20Mb/s (Even snel gegoogled naar de gemiddelde internet snelheid NL) heb je wel heel wat meer dan 'een paar computers' nodig, zelfs met amplification door DNS/NTP enz ;)
Maar 1 of een paar servers, met een Gb verbinding, kan via NTP of DNS amplification het iemand flink lastig maken met relatief weinig resources.
Met ntp heb je snel ern amplification factor van 300+ dat betekend dat jouw 20mb lijntje een 6gbit attack kan veroorzaken
Als het netwerk BCP38 toevallig niet heeft geimplementeerd en niemand zulk hoog verkeer opmerkt ;)
Maar met SNMP zou in theorie al een aanval 650x vergroot kunnen worden, en dat zal iemand zeker gaan merken, de discussie of een enkele computer of een klein aantal een nuttige aanval kan doen hangt uiteindelijk vooral af van het doel wat aangevallen wordt.
Zal in ieder geval een groot probleem worden als LINX al een probleem had met 300Gb/s en daar al bijna van onderuit ging...
Vanalles. Gehackte computers van consumenten thuis, vooral met Windows dus, en in mindere mate servers met Linux of andere systemen.

Vaak wordt een DDoS attack ook nog vergroot door misbruik te maken van DNS servers. Door al die computers in een botnetwerk een DNS query te laten doen op publieke DNS servers met zogenaamd het IP adres van het doel (hier dus het IP van nos.nl), wordt de server bestookt met de antwoorden van die DNS servers. Op die manier is het nog lastiger om de afkomst te achterhalen, maar wordt de aanval ook nog vergroot, omdat het antwoord op een DNS query vele malen groter kan zijn dan de oorspronkelijke "vraag".
Inderdaad. Ben de afgelopen maand meerdere keren op ip's van gameservers bestookt door dns amplification. Je ziet miljoenen connecties binnen komen met source tcp/53. De ip's zijn van de dns servers en niet van de aanvallers. Je verbinding loopt vol. Het geheugen/cpu van de firewall loopt vol (heel druk met packets droppen). Zelfs mijn provider kwam bij me klagen omdat zij er last van hebben. Ik zie dat ddossen als een groot toenemend probleem en een behoorlijke bedreiging voor het functioneren van het internet in zijn geheel. Ik denk dan ook dat het goed zou zijn dat mensen verplicht worden om gebruik te maken vam de provider dns en dat open dnsen niet meer worden toegepast.
Opzich is dat niet zo'n raar idee. Maar providers hebben hun DNS servers niet altijd even goed op order plus deze worden al heel gauw gebruikt voor censuur.
Any OS.
Zolang je daar de attack client / bot er maar op kan krijgen.
Dat zal in de verhouding zijn zoals de meeste OS-en worden gebruikt in de wereld...
Ik heb haast de indruk dat sommige organisaties een ddos gebruikt als excuus. Dus er is iets aan de hand, maar ze hebben geen zin om uit te leggen wat precies. Dus dan zeggen ze dat het een ddos geweest moet zijn. Mooi extra voordeel, een ddos kun je niks aan doen, dus het is niet je eigen schuld.

Vooral dat ze maatregelen genomen hebben waar ze niet op in willen gaan. Een echte ddos kun je amper maatregelen tegen nemen die de ddos in z'n geheel stoppen.
Natuurlijk komt het voor dat een DDoS als excuus gebruikt wordt, maar de NOS is toch een vrij grote speler op dit gebied en heeft over het algemeen zijn zaken wel op orde. Aan de andere kant hebben ze nog al eens zwaar onder vuur gelegen als de dienstverlening door hun eigen schuld tekort schoot, dus zou het wel verleidelijk zijn om een mislukte migratie op een zondagmorgen af te schuiven op een DDoS aanval.

Overigens ligt de waarheid ook nog wel eens in het midden en zijn zowel een DDoS aanval als de slechte configuratie van de host het probleem. Ik ben hier nog wel eens een kleine analyse tegengekomen van een website die plat ging door een DDoS aanval, maar die het de aanvallers ook wel erg makkelijk had gemaakt door elke voorzorgsmaatregel achterwege te laten. Maar goed, daar ga ik in het geval van de NOS dus niet van uit.
Enkel omdat het slachtoffer een grote naam betreft vindt ik niet dat je hiervan uit moet gaan. Zeker omdat dit soort werk vaak wordt gemanaged door een externe partij. En in dit soort situaties bestaat de kans dat het overzicht zoek raakt.
Zoals het er staat klinkt het misschien als een makkelijke veronderstelling, maar ik heb een aantal jaren geleden wel eens het een en ander van collega's gehoord over de capaciteit die men daar beschikbaar heeft, dus ik weet een beetje waar ik over praat. De NPO heeft daarnaast zelf ook een aantal publieke (?) pagina's die meer inzicht geven in hun IT infrastructuur.

Daarnaast zou de NOS/NPO waarschijnlijk dagelijks uit de lucht zijn als ze erg gevoelig waren voor DDoS aanvallen, er is altijd wel iemand die ontstemd is over de berichtgeving van de NOS en door de bekendheid is het waarschijnlijk ook een populair doelwit om media aandacht te krijgen.
U bedoelt zoals de downtime van o.a. http://rijksoverheid.nl welke door het gepruts van Prolocation uren heeft geduurd. Met als uit eindelijke uitleg, dat het een DDOS aanval was?

Idd, bedrijven gebruiken DDOS te vaak als excuus.
Tot dat je dagelijks ddos aanvallen te verwerken krijgt op bv je game server.
Ik heb ddos aanvallen gezien van 100 mbit to 200 mbit/s en toen we bij NFO
zaten 150 gbit/s zodat onze server steeds 4 uur een null route kreeg.

Het is veel te makkelijk om een booter te huren, heb ze gezien van 1 gb/s to 60 gbit/s per
aanval en dat voor 10 euro in de maand en 600 sec.
Er zijn private botnets die 100 tot 200 gbit/s doen en de eigenaar hiervan voert dan een
aanval van max 1 uur voor 10 euro aan bitcoin.

Het wordt tijd dat de bron wordt aangepakt en dat zijn vooral hosting bedrijven die servers slecht laten configureren door de huurders zodat ze gebruikt worden voor reflectie.
Ook huivesten ze de bron van de aanval, het is namelijk een gehuurde server die de aanval uitvoert, 1 gbit server is genoeg om een aanval van 50 gbit te creeren middels reflectie.

DDOS makers gebruiken scan middelen om lekke servers te vinden, waarom gebruiken hosters dit niet?
Ik heb hier 100mbit liggen, een DNS request is een handvol bytes, het antwoord kan enkele kB zijn.
Ik zou een scriptje kunnen downloaden, of zelf timmeren, dat DNS requests verstuurt met een valse afzender. Die afzender is mijn doelwit. Door het gespoofde pakketje te versturen naar een lijst van vele duizenden DNS servers vergroot ik de hoeveelheid data die ik vanaf huis kan versturen enorm.

Als er voor elke 256B die hier naar buiten gaat er 64kB naar de target gaat dan vergroot ik mijn slagkracht met een factor 256. Theoretisch krijgt degene die ik onder aanval neem dan een goede 2Gbit te verwerken, genoeg om flink overlast te veroorzaken voor gebruikers als de server of een firewall of loadbalancer niet door de knieen gaat.
https://www.openminds.be/...n-wat-kan-ik-ertegen-doen

De link legt uit wat er precies mis is met slecht geconfigureerde dns servers.
Zeker, al is er als hoster (met dus DNS-servers), maar zoveel wat je kan doen.
Ik zal toch echt antwoord moeten geven op requests voor domeinen die bij mij gehost zijn.
Klopt maar je hoeft ze niet 1000 keer per seconde naar 1 adres te sturen.
Je gaat ook niet blij worden als jouw dns server 10mbit aan request verstuurd.

Wat men nu doet is symtoom bestrijding, het kost handen vol geld om
ddos aanvallen tegen te gaan.
Als men de bron aanpakt zijn een groot deel van de botnets die reflectie gebruiken waardeloos, het scannen van hosters eigen server park is
goedkoper dan de anti ddos maatregelen die ze gebruiken.
Klopt. Er zal ook een of andere detectie mee draaien.
> like 100 opvragen in 1 uur van 1 IP => block
Ik heb thuis een Gbit lijn loiggen en ik hoop dat mijn provider controleerd of de afzender wel uit het goede subnet komt voordat ze het 't internet opslingeren.

Het wordt tijd dat IPSpoofing tegengegaan wordt, het wordt steeds erger met dit soort aanvallen. Bij m'n vorige bedrijf hadden we ook last van een DDos die de hele 20gbit dicht gooide met NTP stat replies van servers over de hele wereld. Die werd ingekocht door iemand voor een tientje. En de bron is ontraceerbaar (in dit geval versprak iemand zich vroegtijdig op twitter). Inmiddels hangen al die servers achte Akamai die ze filterd, maar eigenlijk licht het grootste probleem bij IP spoofing, dat maakt ze ontraceerbaar. Bij een botnetwerk heb je tenminste nog een lijst van besmette pc's.
Inderdaad! Dit zou al heel veel schelen. En die bots die beginnen te spammen zonder pardon van het net gooien.
Dit noemt men Amplified DOS. Computerphile heeft hier een leuk filmpje van op youtube.

ADDOS is wel iets om schrik van te hebben daar dit zo ver geschaald kan worden dat je er hele delen van het internet mee kan plat leggen. Misschien zelfs een heel continent.

Want jij kan je slagkracht 256x vergroten. Dat kan je natuurlijk ook met een heel botnet en dat is schrikwekkend, vind ik. Zeker als je weet dat je er eigenlijk weinig aan kan doen buiten, zoals puzzlesolver zegt, iets aan die ipspoofing doen. Maar dat kun je als gewone gebruiker niet.
Wat volgens mij enorm zou helpen is als providers en datacenters nou eens hun routers zo configureren dat ze verkeer met verkeerde afzender IP adressen niet doorlaten. En met verkeerd bedoel ik dan bijvoorbeeld IP adressen die niet in het netwerk van die provider of het datacenter zitten. Volgens mij is dat het bronprobleem bij veel reflectie attacks zoals de DNS relection / amplification attacks. Klanten met een ADSL / kabel verbinding horen alleen IP pakketten te versturen met dat IP adres als afzender. Al het andere kun je gewoon weggooien want is volgens mij per definitie rommel en zou een trigger moeten zijn om een mailtje naar die klant te sturen dat er iets niet klopt.
Als je je DNS geen ANY's meer laat uitvragen (ik neem aan dat je dat bedoelt met "reflectie", een amplification attack) dan is je DNS server niet meer RFC compatible. RFC compatible zijn brengt soms goeie voordelen met zich mee t.o.v. andere partijen. Het is dus niet zo eenvoudig als dat het lijkt.
En al als je beveiliging niet op orde hebt, dan roep je gewoon dat je gehackt bent door China.
En al als je beveiliging niet op orde hebt, dan roep je gewoon dat je gehackt bent door China.
Tenzij je Chinees bent, dan ben je gehackt door de VS of Rusland.
Als jij de middelen hebt, is dat wel te doen... gewoon DNS adres changen.
Op zijn website stelt de staatsomroep dat er 'enkele systemen zijn aangepast'.
Ze hebben vast het NOS-kraantje wat verder opengedraait :Y)
Tarik Z had er al schriftelijk ervoor gewaarschuwd O-) :+
Lijkt erop dat ze nu OV-Chipkaart.nl als doelwit hebben. Aan de response-time te zien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True