Akamai stopt hosting bekend beveiligingsblog na grootschalige ddos-aanval

Met GRE kan je AnyCast niet omzeilen, AnyCast is onderdeel van BGP, wat op layer 3 draait. GRE draait daar net weer boven, een soort van layer 3+

Het heeft niets met betalen te maken, het werd gesponsord. Wat nog ergers is voor Akamai.

Het heeft alles met betalen te maken, je kan niet oneindig gratis producten uitgeven; zo simpel is het.

Je maakt hiermee een statement, als Akamai iets host wat je niet aanstaat kun je gewoon trachten het weg te ddossen.

Als je GRATIS door Akamai gehost wordt, dan bestaat die kans ja.
Wat nogal logisch is. Het zegt alleen niets voor de klanten die wél betalen.

Door nu zo te handelen gaan Apple, Microsoft en overige grote klanten toch eens (voorzover ze dat niet al reeds hebben gedaan) naar concurrent kijken.

Je had het hiervoor over irrationele beslissingen.
Zowel het vorige citaat waar ik op reageerde als het citaat waar ik nu op reageer zijn voorbeelden van irrationeel denken van jou kant.

Zo werkt het namelijk helemaal niet in de zakelijke wereld. Apple is zeer goede klant van AKAMAI, is dat al jaren; en zijn altijd voorzien van een zeer goede dienst met uitermate hoge uptime en (D(RD)oS-)resistentie. En die gaat dit echt niet heroverwegen omdat een klant die gratis gehost werd de deur wordt gewezen nu er een drastische wijziging heeft plaatsgevonden in de situatie waar het om gaat.

Wat je over het hoofd blijkt te zien is het volgende, dus ik draai het eens om naar Apple toe:
Stel Apple sponsort een goed doel, en zegt "Al jullie medewerkers krijgen een telefoon van ons, om jullie te ondersteunen". Er werken 100 mensen bij de organisatie. Dit kost Apple, en dan ga ik foutief even uit van de verkoopprijs van een iPhone, 100 * 769 = €76.900.

De organisatie krijgt opeens een toelage en krijgt steun van meerdere overheden voor uitbreiding in meerdere landen. Er komen nu opeens 2500 mensen te werken. Als ze al die medewerkers ook moeten gaan voorzien kost het ze €1.922.500 als ze doorgaan.
Maar de situatie is veranderd, dus kan Apple heroverwegen: gaan we dit nog wel doen. Geen haan die er naar kraait als Apple besluit dat de initiele 100 gesponsorde toestellen wel genoeg waren, en echt niet iedereen van een gratis iPhone gaat voorzien. Dat is volstrekt logisch, een begrijpelijke zakelijke beslissing. Volgens jou zouden dan alle afnemers van Apple echter opeens moeten heroverwegen om nog wel toestellen bij Apple te kopen, want het blijkt dat ze een organisatie met 2500 medewerkers niet van telefoons kunnen voorzien. Maar dat is niet waar: ze kunnen het wel, maar ze besluiten om dat niet GRATIS te doen. Aan een betalende klant leveren ze uiteraard wel! Het is dus geen kwestie van KUNNEN wij dit gratis leveren, maar een kwestie van WILLEN wij dit gratis leveren. Dat kan je niet, zoals jij nu onterecht doet, 1 op 1 doortrekken naar betalende klanten.

Nu komen we dus terug bij AKAMAI. AKAMAI heeft gratis hosting aangeboden, en heeft dit ook, ondanks vele grootschalige DDoS aanvallen, prima gedaan en woord gehouden.
Nu verandert de situatie opeens: een gewijzigd type aanval genereert zo achterlijk veel verkeer dat het daadwerkelijk een risico gaat vormen tenzij ze flink gaan uitbreiden.

AKAMAI heroverweegt: gaan wij die klant nog steeds voorzien van gratis hosting, of moeten we het helaas afblazen omdat het nu teveel geld en resources gaat kosten om te blijven onderhouden; terwijl we er niets voor terug krijgen? Dat is wederom een afweging tussen "KUNNEN wij dat" en "WILLEN wij dat". Ze kunnen het vast wel, maar of ze het gratis willen doen? Dat is even de vraag. (Nee dus. Logisch.)

Dat is *volstrekt* logisch, en grote bedrijven snappen dat prima. De toezegging voor gratis hosting is gedaan in Situatie A, nu ontstaat Situatie B; en in Situatie B willen ze er niet langer mee doorgaan. Prima zakelijke beslissing, en een logische beslissing. Maar heeft totaal geen relatie met het feit of AKAMAI dat ook zou doen bij een betalende klant... Welnee, want ze hebben wel vaker opgeschaald voor hun grote *betalende* klanten. Die zijn dus prima voorzien... Je snapt toch wel dat er een verschil zit tussen betalende klanten en klanten die de spullen gratis krijgen?

Jij vind het blijkbaar erg vervelend dat ze de hosting niet doorzetten, en op basis daarvan maak je een irrationele niet-objectieve beoordeling van hetgeen AKAMAI nu heeft gedaan... Objectief en zakelijk bekeken is het echter een prima reactie van AKAMAI, ze hebben hun woord lange tijd gehouden en alle kosten en aanvallen geabsorbeerd: maar nu het te gek voor woorden wordt, dankzij een nieuwe generatie aanval, trekken ze de stekker uit die sponsoring. Logisch, niets meer niets minder.

Dus nee, Apple en Microsoft gaan niet vanwege deze volstrekt logische en voor de hand liggende zakelijke beslissing van een professioneel bedrijf opeens zeggen "Oh jee, nu zijn wij ook in gevaar! Dat wij wel miljoenen aan AKAMAI betalen, dat vergeten we maar even voor het gemak. Fuck het onbetrouwbare AKAMAI!!1!" ... No way.

Als je eerst DDoS had afgeslagen structureel had doen verminderen en dan in goed overleg klant de deur had gewezen, had je en één aanvaller gehad die weet dat je Akamai beter niet kunt aanvallen en had je 1 PR ramp minder gehad.

Er is hier echter geen sprake van een PR-ramp.

Gezien je tweede deel van je reactie heb je kennelijk nog nooit in een organisatie gewerkt waarin ze procedures hebben voor o.a. dit soort gevallen.

Want het is geen kwestie van technische keuzes, maar een duidelijke keuze van management die niet overziet wat de consequenties is.

*grinnik*
AKAMAI weet niet wat de consequenties zijn van een gevoelige site gratis hosting bieden. Ik denk dat AKAMAI dat dondersgoed weet, en destijds ook wist. Echter is het speelveld nu veranderd. Dat kan je echt niet zomaar incalculeren, en op een bepaald punt moet je gewoon een grens trekken. Dat hebben ze nu, terecht, gedaan.

Ik ken nog wel wat organisaties waar ze SIEM operators zoeken met interne opleiding.

Top

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 22:46]

Nee hij zegt letterlijk piekmomenten.

Dat hong kong niet bij Japan hoort heeft iemand anders ook al aangegeven. Mijn fout, had ik moet weten. Wel raar dat dit via google naar boven kwam. En ja ik weet hoe groot Japan is ongeveer de helft van frankrijk als we het op vierkante KM's bekijken. Kijken we naar inwoners dan heeft Japan echter 2 keer zoveel inwoners. De bevolkingsdichtheid is dan ook 4 keer zo groot als in frankrijk. En france-IX doet op piekmomenten ook ongeveer 600Gbit/s.

Vind je het dan raar dat ik van Japan verwacht dat ze hoger zouden zitten? Ze hebben een van de snellere verbindingen liggen (gemiddeld nog steeds sneller dan nederland) en toch halen ze per dag net zoveel binnen als frankrijk wat de helft minder inwoners heeft.

Waarom zou transit enkel ingekocht kunnen worden bij kabel/DSL providers? Een partij als Akamai kan dit net zo goed inkopen bij een grotere partij zoals bijvoorbeeld een Level3, NTT, Telia of nog een van de andere grote jongens.

http://as-rank.caida.org/...o&mode1=as-table&as=20940

Hierin is te zien dat Akamai van een heleboel verschillende partijen transit geleverd krijgt. Nu weet ik dat deze statistieken niet zonder fouten zijn, maar dat Akamai transit inkoopt weet ik wel met vrij grote zekerheid.
Akamai heeft CDNs over de hele wereld verspreid staan en heeft hier (vrijwel) geen eigen netwerk tussen, dus die maken gebruik van andere netwerken om te zorgen dat deze CDNs gevuld blijven.
De enige manier waarom je dit kunt doen is door transit relaties met partijen aan te gaan, want bij peering is de afspraak (nee, geen technische limitatie, maar zoals het algemeen is afgesproken) dat je verkeer van een peer niet doorzet naar een andere peer, dus dat zou betekenen dat Akamai ofwel een eigen backbone zou moeten bouwen, ofwel elke individuele CDN van een full mesh aan tier 1 peers zou moeten voorzien. Dit is niet haalbaar natuurlijk.

Overigens vwb PNI's: Over het algemeen zitten de meeste grote providers wel in de grotere datacenters bij elkaar, en vaak ook wel in meerdere datacenters in de grotere steden (Londen, Frankfurt, Amsterdam etc), dus over het algemeen is het lang niet zo lastig als je doet voorkomen om een PNI aan te leggen tussen 2 partijen die willen peeren. Het is in mijn ervaring nog maar heel erg zelden voorgekomen dat een partij wilde peeren maar niet in een datacenter zat waar wij ook zaten. Zeker bij een grotere partij als Akamai komt dat eigenlijk niet voor (die zorgen wel dat ze hun CDNs opbouwen in datacenters waar de gewenste upstreams/peers zitten).

Mbt abuse:
Verwerken van abuse is 1 ding, maar wat wil je precies dat hiermee gebeurt? Dat een klant afgesloten wordt? Wil je dan alle klanten die deelnemen aan een DDoS gaan afsluiten? Daar moet je dan enorm veel accessnetwerken voor gaan aanschrijven, waarvan je nu al gegarandeerd bij een heleboel netwerken gewoon niet thuis krijgt. En bij de hogere transportnetwerken kun je al helemaal niet aankloppen, want die zitten er gewoon tussenin en doen helemaal niets met individuele host-IP's, die werken enkel met gehele prefixes (en die kun je al helemaal niet blokkeren).
De transportnetwerken bieden vaak wel blackholing mogelijkheden (dus verkeer met als bestemming jouw server droppen ze dan op jouw verzoek). Hiermee is de DDoS in feite geslaagd, host is onbereikbaar, maar de rest van je klanten worden dan in elk geval niet benadeeld door het verkeer.
Algehele blackholing biedt vrijwel elke netwerkprovider. Fijnmazigere controle is wat minder algemeen aanwezig ("blokkeer alle verkeer van buiten NL"), met name omdat het vaak lastig signaleren is waar verkeer vandaan komt, enkel waar het je netwerk binnen komt. Dit werkt dus vaak wel, maar is niet perfect. Er zijn echter wel enkele netwerkleveranciers die deze mogelijkheid bieden.

Als je echt scrubbingdiensten bedoelt, dat is weer een hele andere tak van sport en ook meteen vele malen duurder (en ondoenlijk in de hogere tier transport netwerken. Dit kun je dus eigenlijk alleen reëel aan de edge doen. Aangezien een DDoS vrijwel niet te detecteren is aan de sturende kant zal dit dus moeten gebeuren aan de ontvangende kant. Nadeel hiervan is dus echter wel dat je dit pas in je eigen netwerk kan doen, of hooguit bij je directe upstream, maar die moet dan wel redelijk lokaal een scrubbing doos met voldoende capaciteit hebben (en zeker bij een aanval als deze zal het enorm duur zijn om deze capaciteit aan te kunnen).

Wat eigenlijk Dreamvoid hierboven ook al aanhaalt: Het is toch echt grotendeels een kwestie van vertrouwen en hoeveel moeite je erin wilt steken. Akamai heeft hier last van. De upstream provider over het algemeen een stuk minder omdat de aanval gedistribueerd binnenkomt, en zeker als het om peering zou gaan dan kan ik me voorstellen dat een netwerkprovider niet snel geneigd zal zijn om allerlei processen te gaan optuigen om dit te gaan regelen. Er zijn de nodige blackhole (nullroute) faciliteiten beschikbaar, en daar zul je het over het algemeen mee moeten doen (en die zijn inderdaad vaak geautomatiseerd en kun je zelf mbv een BGP community activeren).

_{Achtergrond: Ik werk zelf al zo'n 10 jaar in de IP transit wereld bij een tier 1 netwerk, waarvan ik de laatste 5 jaar als technisch peering coordinator heb gewerkt. Ik weet natuurlijk niet de inhoudelijke details van Akamai, maar vanuit het perspectief van transportnetwerk-leverancier zie je genoeg}

[Reactie gewijzigd door TheKmork op 23 juli 2024 22:46]

Als je Anycast routing gebruikt hebben alle servers de zelfde IP adressen, dan kan je wel van uit Rusland de US gaan DDOS'en maar dan kom je gewoon in Moskou uit en blijft de US gewoon doordraaien.

Daarnaast heeft Cloudflare itt Akamai geen data, het enige wat ze doen is een reverse proxy aanbieden. Daar heb je maar een paar servers per PoP voor nodig.

Misschien even lezen wat CF nou echt doet ipv lange posts te typen met zinloze datacenter informatie en internet geschiedenis?

[Reactie gewijzigd door GrooV op 23 juli 2024 22:46]

Deze aanvallen gebruiken amplification methodes, geen henk en ingrids meer