Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Beveiligingsbedrijf Arbor Networks laat in zijn jaarlijkse worldwide infrastructure security report weten dat ddos-aanvallen in het afgelopen jaar tot wel 500Gbps zijn opgelopen. Daar komt bij dat deze aanvallen vaker gericht zijn op specifieke, kwetsbare diensten van een website.

Arbor Networks heeft het rapport opgesteld aan de hand van een enquête, die het in oktober 2015 heeft gehouden onder 354 respondenten bij onder andere isp's, hostingpartijen en mobiele providers. Het voornaamste deel van deze dienstverleners is gevestigd in de VS of de EU. De grootste ddos-aanval, die door een isp werd gemeld en nog verder onderzocht moet worden, was 500Gbps. Deze werd in grootte gevolgd door aanvallen van 450Gbps, 425Gbps en 337Gbps. In 2014 zouden twintig procent van de organisaties aanvallen van meer 50Gbps hebben gemeld, afgelopen jaar zou een kwart van de respondenten aanvallen van meer dan 100Gpbs hebben gemeld.

Darren Antsee, beveiligingshoofd bij Arbor Networks, laat aan de BBC weten dat de grootte van de aanvallen niet het meest opmerkelijke is. Hij geeft aan dat het opmerkelijker is dat er meer kleine ddos-aanvallen zijn, gericht op onderdelen van een site die makkelijker plat te leggen zijn. Aanvallers zouden eerst een analyse van een website maken, voordat zij een aanval uitvoeren. Bij de meeste gevallen zou het volgens Antsee gaan om criminelen die laten zien waar zij toe in staat zijn. Dit was ook te zien in de werkwijze van de DD4BC-groep, waarvan Europol recentelijk twee leden arresteerde.

Het rapport toont verder aan dat de meeste ddos-aanvallen gericht zijn op poort 80, die wordt gebruikt voor http-verkeer. Aanvallen op dns-poort 53 en https-poort 443 volgen respectievelijk op de tweede en derde plaats. In de top tien bevinden zich ook de poorten voor Xbox Live en Minecraft, dit zou aantonen dat aanvallen vaker voorkomen in relatie tot online games. Verder staat de VS op nummer een als het gaat om doelwitten, maar ook als land van oorsprong. Tot slot geeft zeventig procent van de mobiele providers aan te maken gehad te hebben met ddos-aanvallen op hun klanten.

De afgelopen weken zijn er vooral in Ierland merkbare aanvallen uitgevoerd, onder andere op de loterij en op overheidswebsites. Eind vorig jaar vonden er grote aanvallen van korte duur plaats op de dns-root-servers van het internet. Beveiligingsonderzoeker Bruce Schneier plaatste toen een opmerking op zijn blog waarin hij het vermoeden uitsprak dat iemand de kracht van zijn ddos-aanvallen aan het testen was.

ddos aanvallen         pieken in ddos-aanvallen per jaar, volgens Arbor Networks

Moderatie-faq Wijzig weergave

Reacties (43)

Helaas zien veel mensen DDoS aanvallen nog steeds als iets wat 'mag'. Het zorgt echter bij veel bedrijven wel degelijk voor veel schade.

Nu kan je je in theorie verdedigen tegen DDoS aanvallen, maar niet iedereen heeft het budget.

500Gbps aan kunnen vereist gigantische investeringen die vaak niet te rechtvaardigen zijn.

Ik werk bij een ISP en wij moeten ook flink investeren hier tegen. Klanten zijn echter bijna nooit bereid extra te betalen, want het is naar hun idee het probleem van de ISP.

Effectief moet je bij DDoS aanvallen een 10-baans snelweg gaan aanleggen waar eigenlijk een 2-baans weg of misschien een N-weg al zou voldoen. Alleen omdat er af en toe ineens HEEL VEEL ongewenste auto's jouw kant op komen moet je een 10-baans snelweg aan leggen en onderhouden.

Totdat er file staat op de 10-baans snelweg, want je had een 12-baans nodig gehad.

Het is ook van belang dat netwerken hun zaken op orde hebben. Zo is IP-spoofing in een groot deel van de wereld nog steeds mogelijk. Indien iedereen BCP38 zou implementeren zouden reflection attacks e.d. al veel minder gemakkelijk zijn.

Nee, DDoS aanvallen zijn crimineel en veroorzaken wel degelijk veel, heel veel schade.
Indien iedereen BCP38 zou implementeren zouden reflection attacks e.d. al veel minder gemakkelijk zijn.
Waarom wordt dat nou eigenlijk niet geimplementeerd?
Daar zijn meerdere redenen voor. Ten eerste kost het natuurlijk geld om dit te implementeren. Je moet bijvoorbeeld weten welke IP-ranges toegestaan zijn vanuit een bepaald netwerk, en je routers moeten dit ook weten. Ten tweede, en misschien wel net zo belangrijk, zijn er partijen die een groot deel van hun inkomsten uit schimmige bronnen halen die juist baat hebben bij IP-spoofing. Zij snijden zichzelf dus direct in de vingers als ze BCP38 zouden implementeren.

Op de laatste RIPE-meeting waren er meerdere partijen van mening dat BCP38 waarschijnlijk nooit dusdanig wordt uitgerold dat het DDoS aanvallen minder makkelijk gaat maken.
Op de laatste RIPE-meeting waren er meerdere partijen van mening dat BCP38 waarschijnlijk nooit dusdanig wordt uitgerold dat het DDoS aanvallen minder makkelijk gaat maken.
Eigenlijk komt het er dus op neer dat deze partijen hun verantwoordelijkheden niet nemen...
Het is toch een reeel probleem dat alleen maar groter wordt.
Dat is inderdaad zo. Vanuit het standpunt van zo'n partij is het zo dat zij gewoon bandbreedte verkopen, wat jij daar mee doet moet je zelf weten. En als jij meer bandbreedte gebruikt door een DDoS-aanval uit te voeren dan verdienen zij daar feitelijk gewoon geld aan.

Vergeet echter niet dat BCP38 niet de oplossing is voor alle problemen. Een DDoS-aanval kan ook uitgevoerd worden zonder amplification/reflection. Denk daarbij aan botnets en met de opkomst van IoT groeit het aantal kwetsbare, en op het internet aangesloten, apparaten enorm.
Vergeet echter niet dat BCP38 niet de oplossing is voor alle problemen. Een DDoS-aanval kan ook uitgevoerd worden zonder amplification/reflection.
Aan amplification/reflection had ik nog niet eens gedacht. Zonder source spoofing weet je in ieder geval waar het vandaan komt toch? Lijkt mij al een giga verbetering.
en tweede, en misschien wel net zo belangrijk, zijn er partijen die een groot deel van hun inkomsten uit schimmige bronnen halen die juist baat hebben bij IP-spoofing
Zo'n providers zouden door de ISPA en IANA (in mindere mate ook door ICANN) gewoon keihard aangepakt moeten worden.
Waarom wordt dat nou eigenlijk niet geimplementeerd?
Omdat het geld kost en je er zelf niks aan hebt.
BCP38 doe je om anderen te beschermen tegen fouten aan jouw kant. Nogal veel partijen hebben daar geen boodschap aan en willen geen moeite doen voor anderen als ze dat zelf geld kost.

Het is zo iets als je afval netjes afvoeren ipv in de sloot dumpen. Bedrijven doen dat niet tenzij ze worden gedwongen.
Politieke onwil. Je zou het kunnen verplichten, en na een deadline ISPs die zich er niet aan houden afsluiten. Als je dat soort dingen kunt afspreken ivm vliegregels ed. dan kan het ook met regels op het internet.
Verplichten prima... handhaven zie ik als een technologische uitdaging.
Een vliegtuig kan immers worden neergehaald. Het "internet" neerhalen komt neer op het uitzetten,filteren of maskeren, iets wat op grote schaal al reeds gedaan wordt. Ik zie een mooie uitdaging om een mobiel dekkend Tor netwerk op te bouwen in publieke frequenties. ;)
DDoS aanvallen worden meestal ook uitgevoerd met botnets. Het gebruiken/hebben van een botnet levert je in meeste landen celstraf op.
Jammer genoeg blijkt vaak dat dat alleen maar de theorie is. Vrijwel altijd mist de kennis om er echt iets tegen te kunnen doen. Zo doet de politie uiteindelijk vaak vrijwel niks met een aangifte bij DDoS aanvallen, zeker niet als het buitenlandse botnets betreft.
Waar baseer je dit op?

De politie doet wel degelijk veel tegen georganiseerde online 'misdaden', maar het is relatief moeilijk om een geheel botnet uit de lucht te krijgen, vooral als de control servers in een ťťn of ander 3e wereldland staan.
Zulke acties moeten meestal gebeuren met allerlei instanties en dat kost gewoon veel tijd en energie.. het is gewoon niet mogelijk om ad-hoc binnen 24 uur een totaal botnet neer te halen. Dat bekend echter niet dat er totaal niets gebeurt!
Ik baseer dit op eigen ervaringen en wat ik van concullega ISP's hoor. Uiteraard wordt er soms wel wat tegen gedaan, maar over het algemeen wordt er niet eens begonnen aan een onderzoek. Ik snap dat ook wel, voor ons (zeer technische) mensen is het al erg lastig. Maar het zou wel fijn zijn als er in elk geval een soort van statement werd gemaakt door er toch meer tegen te doen, zodat het ook minder aanvoelt alsof een DDoS initiŽren bijna zonder risico is.
Volgens mij zijn DDoS aanvallen niet illegaal in Rusland, tenminste ik weet niet zeker of daar in de tijd nog iets is aan gedaan.
Illegaal of niet, ze zijn gewoon een gigantisch probleem. Kan mij soms woedend maken dat we wťťr een DDoS krijgen van tientallen Gigabits gericht op een 'nutteloze' website.

Je weet vaak ook niet met welke reden de DDoS komt. Je weet alleen dat de telefoon roodgloeiend staat en veel klanten zich afvragen waarom ze offline waren.

90% van de aanvallen filter je vaak probleemloos weg, maar het wordt gewoon steeds een groter probleem waar we allemaal samen aan moeten werken.
Dat ze een groot probleem zijn snap ik ook wel, je lost het probleem een beetje lastig op wanneer een groot land de DDoS aanvallen niet verbied.
Ik weet weinig van dit soort technieken af hoor, maar zou het niet mogelijk zijn om krachten te bundelen? Stel, je hebt een website die gehost wordt om de Amsterdam Internet Exchange. Stel, er zijn nog 999 andere sites die daar gehost worden. Normaal hebben die, zeg, ieder een 2-baans weg nodig, voor een totaal van 2000 'banen'. Nu leggen we er 20 extra aan. Als ťťn van de sites aangevallen wordt, leidt je al dat verkeer voor die site om via die 20 extra banen, ipv de standaard 2. Tuurlijk, je bent nog steeds in de problemen als er meerdere sites tegelijk worden aangevallen, maar de extra kosten zijn met 1% behoorlijk beperkt.

Overigens ben ik het natuurlijk zonder meer met je eens dat DDoS aanvallen soms onterecht als kwajongensstreken worden aangemerkt. Het probleem is: soms is dat het ook. Maar daarmee wordt geen recht gedaan aan de hoeveelheid schade die het teweeg brengt, want die is van een geheel andere orde als bij andere kwajongensstreken...
Dat initiatief is er in Nederland ook al. De NaWas: http://www.nbip.nl/dienst...d-beveiliging-tegen-ddos/

Meerdere providers hebben samen een DDoS filter gemaakt.

Belangrijk om te weten is dat ook de NaWas een maximale capaciteit heeft. 500Gbit had het denk ik niet aan gekund en was daarbij ook onderuit gegaan.
Nawas is inderdaad een zeer mooi initiatief dat door meerdere providers is opgezet. Daarbij moet je wel BGP op je routers hebben draaien om gebruik te maken van Nawas. In tegenstelling tot andere partij zoals Cloudflair die gebruik maken van een DNS oplossing.

Nadeel van Cloudflair is dan ook dat je netwerk goed moet configureren zodat de aanvallen niet je echte publieke IP-adres achterhaalt. Anders kunnen ze je alsnog rechtstreeks het netwerk aanvallen (en omzeilen ze op deze manier Cloudflair).

Mij werd (en dat is alweer enkele jaren geleden) door een medewerker van Nawas medegedeeld dat ze een aanval van 1 TB per seconde met gemak aankonden. Voordeel van Nawas is dan ook dat je certificaten in eigen beheer hebt en niet hoeft af te nemen bij het bedrijf waar je website voor DDos-aanvallen beschermt. Bij Cloudflair is dit namelijk wel een vereiste.

Zelf hoop dat ik dit soorten berichten een prikkel wordt voor vele ISP's om BCP 38 in een netwerk te implementeren. In 2013 werd er al een onderzoek aangetoond dat dit de eerste stap is om DNS amplificatie-aanvallen een flinke halt toe te roepen. Tegenwoordig kost het amper wat om een DDOS-aanval te kopen op de zwarte markt en aangezien internet snelheden steeds sneller worden moet er nu echt iets veranderen.

[Reactie gewijzigd door vali op 27 januari 2016 13:58]

Akamai is daar erg groot mee aan het worden. Belangrijke diensten zoals digi-D electonisch bankieren enz worden al veel gehost bij partijen zoals akamai. De baten wegen op tegen de kosten maar idd goedkoop is het niet.
Ik ben geen fan van ddos aanvallen, maar een demonstratie voor een kantoor/winkel brengt ook schade met zich mee (minder verkoop, reputatie), maar dit is wel legaal, ook het langzaam rijden protest op de snelweg zie ik als een fysieke vorm van ddos.

Nu zeg ik niet dat elke ddos aanval een vorm van demonstratie is, maar we hebben wel bekende aanvallen gehad onder die noemer, zoals op paypal bij het verwijderen en bevriezen van tegoeden van WikiLeaks.
Velen denken niet dat het mag, het probleem is dat je heel makkelijk een ddos aanval kunt uitvoeren.
Als je weet waar je moet zoeken dan kun je tientallen goede bot nets vinden die je voor nog geen 10 euro kunt huren, vooral nieuwe botnets hebben veel vermogen omdat ze nog niet zoveel gebruikers hebben, je kunt dan een aanval uitvoeren van 600 seconden met een vermogen van 50 tot 100 gbit/s.

We hebben zelf 2 bf3 servers, 1 ervan had dagelijks met ddos aanvallen te maken voor 7 maanden lang, ik heb aanvallen gezien van 100mbit tot aan aanvallen van 200 gbit/s toen we
NFO game server provider aan het testen waren.
We zitten nu weer bij NFO en hebben sinds dien maar 2 aanvallen mee gemaakt waardoor de
server werd genulled.
We zien nog steeds dat andere clans geregeld aangevallen worden.

Wat mij is opgevallen is dat er veel hosting bedrijven slecht geconfigureerde servers hebben die voor ddos reflectie worden gebruikt, er staan lijsten met ip's op past bin van lekke servers, ddos tools hoeven alleen die ip's toe te voegen en klaar is hun botnet.
In plaats van hun server park schoon te houden nemen ze hele dure maatregelen om ddos aanvallen tegen te gaan, waarom niet scannen met de zelfde tools die botnet bouwers gebruiken, die zijn gewoon openbaar verkrijgbaar als men weet waar men zoeken moet.
Ik snap niet waarom die aanvallen vaak van korte duur zijn. Of werken hosting providers er om heen?
Waarschijnlijk omdat het uitvoeren van DDOS aanval ook geld kost. Sommige huren bijvoorbeeld een botnet voor een uurtje om een DDOS aanval uit te kunnen voeren. Botnet eigenaars willen misschien ook niet dat hun bots voortdurend bezig zijn omdat dit de kans vergroot dat mensen merken dat hun pc/server deel uitmaakt van een botnetwerk waardoor ze hun bot kunnen verliezen.
Ik zat meer te denken dat het weinig zin heeft om een site een paar uur uit de lucht te halen. Veel mensen verwachten dit en komen dan wel weer terug.

Als een site echter een WEEK uit de lucht is dan zal je zien dan veel bezoekers naar een alternatief gaan zoeken en dat de site dus veel klanten kwijt raakt. Dat kost veel meer maar zal ook veel effectiever zijn.

Ik neem aan dat ik niet de enige ben die dit verzint en ik vraag mij dus af waarom men dit niet doet.

[Reactie gewijzigd door ArtGod op 27 januari 2016 13:33]

Dat staat in het artikel:
"Bij de meeste gevallen zou het volgens Antsee gaan om criminelen die laten zien waar zij toe in staat zijn."
Dan volstaat een uurtje wel. Het slachtoffer zal wel begrepen hebben dat ze er niets tegen kunnen beginnen. De dader zal ook geen onnodige resources willen verbruiken (zie eerder). Daarbij hebben de meeste websites wel piekmomenten en rustige momenten. Als je tweakers.net om 4 uur 's nachts aanvalt, dan zullen er weinig mensen zijn die dit merken. Volgens mij kan je ook meer schade (aan de bezoekers) aanrichten door 10x een uur te ddossen dan 1x 10 uur.
Na die week is je gehele botnet verdwenen. Het valt dan namelijk ook op dat er duizenden computers niet vooruit te branden zijn.
Een paar mogelijke redenen zijn:
1.) Ze demonstreren enkel hun kracht/doen een test
2.) IP dat onder aanval ligt krijgt een null-route (blackhole)
3.) Aanvallers merken dat de aanval niet effectief genoeg is, en breken het weer af om hun botnet te sparen; dat kan inderdaad ook komen door mitigation technieken van de hosting providers.
Ik had thuis een server voor een specifieke community draaien en kan gewoon door gratis services platgelegd worden dat ook het telefoon en tv eruit gaat. Ik heb dus moeten overstappen naar TransIP die gelukkig gratis ' stress tests' mitigeerd of in elk geval kan hebben.

Toch zou ik wel tien euro meer willen betalen bij mijn ISP tegen dit soort gedoe zodat ik lekker weer thuis kan hosten.

[Reactie gewijzigd door Perfectioncss op 27 januari 2016 11:14]

Publieke diensten/servers thuis hosten is IMO ook een no-go. Je provider kan ook boos worden c.q. een schadevergoeding aanvragen als het een grote (>10 gigabit per seconde) aanval is omdat andere klanten in jouw buurt daar ook last van kunnen ondervinden.

Offtopic: volgens mij heeft TransIP bij DDoS (niet DoS dus!) aanvallen ook een 3 strikes = out (al je IP's worden genullroute) beleid. Bij DoS aanvallen wordt de aanvaller in een blacklist gezet
We zijn hier op Tweakers, wat wil je dan doen met een 500Mbit of snellere verbinding? Het hosten van gameservers, Teamspeak een webserver, VPN etc lijkt mij niet zo raar. Dan kan je er tenminste nog iets nuttigs mee doen. Zolang alle services maar goed beveiligd zijn en je de publiek gerichte services in een apart netwerk stopt.

Ik mag volgens het contract gewoon doen wat wil met mijn internet verbinding, als je dan een community mee wilt hosten is het geen probleem. Ik had laatst ook last van een kleine DDoS, maar het maakte KPN helemaal niet uit, zelfs niet nadat ik het abuse team logs had gestuurd.
Is het verkeer van een argeloze gebruiker makkelijk te herkennen als onderdeel van een ddos? Als in; ik ben (on)wetend onderdeel van een botnet en ik bestook een willekeurige website. Kan mijn provider makkelijk zien wat ik doe?
Want als dat het geval is zou je van isp's verwachten dat ze inmiddels wel technologie hebben waarmee ze dat opsporen en de kop indrukken (de gebruiker (tijdelijk) afsluiten). Het lijkt me dat de gemiddelde isp een hoop dure hardware heeft en mensen in dienst die weten wat ze doen, isp wordt je tenslotte niet zomaar.
Een provider mag niet in je verkeer gaan kijken, en kan dus al niet zien wat je exact doet.
Verder kan een DDoS zich in oneindig veel manieren vermommen, als legitiem verkeer (alleen erg veel) of random bytes enz.
Anders krijg je straks een blokade omdat twee mensen in je huis tegelijk Tweakers.net openen :/
Providers mogen wel degelijk ingrijpen als jij overlast veroorzaakt, en dat doen ze ook. Als jij een paar uur een DoS aanval volhoudt, dan heb je opeens geen internet meer.
het komt alleen niet overeen met de gegevens van http://www.digitalattackmap.com/
Dus jij denkt dat elke DDoS hier op te zien is? Als dat zo zou zijn dan weet je ook direct wie de veroorzaker is. Dit is alleen informatie van een bedrijf die zijn attacks tegen ze klanten laat zien, dit staat dus los van de andere DDoS aanvallen die hierdoor niet te zien zijn.
En dan te bedenken dat met IPv6 en IoT de omvang en consequenties van ddos nog vele malen groter gaat worden. Ik vermoed dat het een kwestie van tijd is eer er meer toezicht moet komen op internetverkeer en dat het vrije internet misschien ophoudt met bestaan.
Hoezo? Dat kan je in principe gewoon los van elkaar laten staan. (IoT en regulier internet, bedoel ik dan. IPv6 niet :P)
Dat doen grote providers (zoals KPN, Vodafone, etc.) nu ook met VoIP bijvoorbeeld: er ligt een compleet netwerk naast wat wij kennen als het internet, dat puur en alleen telefonie afhandelt.
Nog 2 interessante sites om aanvallen te kunnen zien zijn deze:

http://map.norsecorp.com/
http://www.digitalattackmap.com
Ik kan me voorstellen dat criminelen je gaan proberen af te persen in de trant van: betaal of ik leg je site plat. Maar zijn er dan nog hobby-attackers die jou niet "leuk vinden" en je dan met beperkte middelen serieus kunnen dwarszitten?
Met DNSSec word de reactie data ook nog eens groter, dus daarmee worden de consequenties ook groter.
Met DNS attacks kan je niet zien wie de bron is omdat het UDP is, (TCP spoofing). Is een groot probleem, DNS over TCP voorkomt dit.
Helaas is dit wel een stijgende lijn. Steeds meer nieuwe snufjes die gehackt kunnen worden gebruikt kunnen worden voor zulke doeleinde. Neem BV de VR brillen. Weer een nieuwe "console" wat gehackt kan worden en gebruikt kan worden voor zulke doeleinde. Zo blijven er nieuwe snufjes komen en worden de aanval groter. Binnen paar jaar kunnen ze al zo groot zijn dat ze hele landen plat kunnen leggen. Hierbij bedoel ik dan het stroomnetwerk, datacenters etc. Oftewel wat we nu allemaal kunnen kan dan niet meer...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True