Onderzoeksjournalist waarschuwt voor 'censuur' via ddos-aanvallen

Beveiligingsonderzoeker en onderzoeksjournalist Brian Krebs heeft in een blogpost gewaarschuwd voor censuur die het gevolg is van grote ddos-aanvallen. De blog van Krebs werd vorige week getroffen door een grote ddos-aanval, waarna zijn hostingpartij stopte met het hosten van de site.

De onderzoeker schrijft dat hij ddos-aanvallen met censuur gelijkstelt, omdat het duur is om zich ertegen te verdedigen als kleine partij. Daarmee doelt hij onder andere op journalisten. Na de grote ddos op zijn blog claimde zijn hostingprovider Akamai dat het miljoenen zou kosten om zijn site tegen dat soort grote aanvallen te beschermen. Tot aan de aanvallen deed het bedrijf dat gratis, maar dit was door de hoge kosten niet meer mogelijk. Sindsdien heeft Google de hosting van het blog KrebsOnSecurity op zich genomen onder het 'Project Shield'. Daarmee wil de onderneming onafhankelijke nieuwssites beschermen.

Krebs meldt in zijn blogpost dat hij al langer met het idee speelt om een non-profitorganisatie op te zetten, die internetjournalisten moet bijstaan om zich tegen ddos-aanvallen te beschermen. In zijn post refereert Krebs ook aan een artikel van cryptograaf Bruce Schneier, waarin hij beschrijft dat er aanwijzingen zijn dat een 'nation state actor' manieren aan het testen is om het internet 'plat te leggen'. Schneier beroept zich daarin op anonieme bronnen binnen bedrijven die kritieke internetdiensten leveren. Volgens hen worden er steeds meer ddos-aanvallen uitgevoerd die erop zijn gericht om de verdedigingsmaatregelen van deze bedrijven op de proef te stellen.

De aanval op de site van Brian Krebs was niet de enige grote ddos die vorige week plaatsvond. Zo liet Octave Klaba, oprichter van het grote hostingbedrijf OVH, weten dat er verschillende ddos-aanvallen op zijn dienst waren uitgevoerd die samen bijna 1Tbit/s bereikten. In latere tweets ging hij ervan uit dat het daarbij om een botnet ging dat bestaat uit ongeveer 145.000 ip-camera's en digitale videorecorders. Het is onduidelijk waarop hij deze conclusie baseert. Ook de aanval op de site van Krebs leek door een dergelijk botnet te zijn uitgevoerd en bereikte op het hoogtepunt ongeveer 620 Gbit/s.

Volgens Krebs moeten dit soort aanvallen als een signaal aan de internetcommunity gezien worden dat er actie nodig is tegen deze praktijken. Hij verwacht echter dat dit alleen zal gebeuren na een aanval die levens in gevaar brengt, kritieke infrastructuur verstoort of invloed heeft op verkiezingen. Hij suggereert dat er een soort 'internet industry association' nodig is om het verkopen van internet-of-thingsapparaten met onveilige instellingen, zoals voorgeprogrammeerde wachtwoorden, tegen te gaan. Ook zouden er mogelijkheden moeten zijn om isp's zover te krijgen om veilige best practices te implementeren. Daarbij doelt hij op BCP38, dat ertoe dient om internetverkeer te filteren om de kracht van ddos-aanvallen te verminderen.

IT-banen

Reacties (80)

Overlord2305 26 september 2016 11:55

Wat mij vooral opviel was het stuk over het door ISPs filteren van internet verkeer.
Ik mag dan wel geen expert zijn maar ik weet wel genoeg dat op het moment dat ISPs internet kunnen filteren het hele principe van net neutrality het raam uitgaat.

hcQd @Overlord2305 • 26 september 2016 12:02

Het gaat daar over BCP-38, waar ISP uitgaand verkeer filteren dat gespoofde source IP-adressen gebruikt. Dat heeft niets met netneutraliteit te maken.

Overlord2305 @hcQd • 26 september 2016 12:11

Maar hoe weet je zeker dat ISPs daadwerkelijk gespoofde source IP-adressen filteren en niet gewoon IP-adressen van jantje omdat hij het niet eens is met bijv een tarief dat zij hebben?
Verder zouden er dan wetten opgesteld moeten worden met wat gespoofde IP-adressen zijn volgens de wet om allemaal loopholes tegen te houden

mkools24 @Overlord2305 • 26 september 2016 12:30

Een filter om attacks te blocken lijkt mij sowieso een tijdelijke maatregel. Bovendien kun je vaak alleen bij UDP paketten IP-adressen spoofen bij TCP is dat al veel lastiger en aangezien het hier om een layer 4 attack lijkt te gaan dus een UDP flood kun je supereenvoudig de juiste paketten blokkeren om de aanval te stoppen zolang je maar genoeg bandbreedte hebt (Gespoofte UDP pakketen hebben vaak een afwijkende packet size en zijn zo eenvoudig te filteren uit legitiem verkeer).

Wat deze blogger ook had kunnen doen is een site bij OVH hosten voor een paar euro per maand, of als hij dat geld zelfs niet heeft blij Cloudflare een gratis account openen dan was hij beschermd geweest tegen dit soort aanvallen dus ik begrijp dit nieuwsbericht niet zo, er zijn allang voldoende goedkope oplossingen om je website tegen DDoS aanvallen te beschermen, zeker een simpele aanval als deze. Het wordt lastiger wanneer het layer 7 wordt maar dan kost het de hoster vaak geen bandbreedte meer.

hcQd @mkools24 • 26 september 2016 12:42

Gespoofte UDP pakketen hebben vaak een afwijkende packet size en zijn zo eenvoudig te filteren uit legitiem verkeer.

Gespoofde UDP-pakketjes worden grootschalig gebruikt bij DNS amplification. Op de DNS-server zijn die niet te onderscheiden van legitime aanvragen dus BCP-38 zou hier behoorlijk helpen.

mkools24 @hcQd • 26 september 2016 12:50

Klopt maar de DNS amp attack is zo grootschalig gebruikt inmiddels dat deze methode aan het uitsterven is of al uitgestorven is, vandaar dat men nu vaak weer nieuwe methodes gebruikt. Eerst was het DNS, toen NTP, daarna SSDP en nu is er vast wel weer iets nieuws/

En het is inderdaad lastig om dat verkeer te onderscheiden maar je zou wel kunnen kiezen bijv. om DNS alleen toe te staan op het main/primary IP van je server en niet op je additionele/virtuele IPs waar de websites op draaien (en die dus toch niet worden gebruikt om DNS te resolven). Zo kun je een DNS amp attack eenvoudig blokkeren (filter inkomend UDP 53 op je virtuele IPs) en dat geldt ook voor NTP en SSDP.

Dus met de juiste setup zijn ze eenvoudig tegen te houden. Ik run een game server bij OVH die was ook vaak slachtoffer en daar pas ik hetzelfde toe, main IP bij niemand bekend doet alles qua resolving, NTP etc. en game servers draaien op virtuele IPs met inkomend enkel de game server poort toegestaan.

Het grote nadeel voor de DDoSser mbt amplificaiton is dat hij het enkel ook naar poort 53 op je server kan sturen en dus niet zelf een random poort kan kiezen.

hcQd @mkools24 • 26 september 2016 13:13

En het is inderdaad lastig om dat verkeer te onderscheiden maar je zou wel kunnen kiezen bijv. om DNS alleen toe te staan op het main/primary IP van je server en niet op je additionele/virtuele IPs waar de websites op draaien (en die dus toch niet worden gebruikt om DNS te resolven).

Voor DNS amplification kun je authoritative servers gebruiken, iets als

dig any microsoft @ns1.msft.net

levert een response van bijne 900 bytes op voor een query van een paar bytes.

Het grote nadeel voor de DDoSser mbt amplificaiton is dat hij het enkel ook naar poort 53 op je server kan sturen en dus niet zelf een random poort kan kiezen.

Nee, het gaat om de response van de server, en die kun je naar een willekeurig IP/poort sturen.

[Reactie gewijzigd door hcQd op 23 juli 2024 07:54]

mkools24 @hcQd • 26 september 2016 13:19

Willekeurig IP klopt maar het antwoord van een DNS server zal altijd als source poort 53 hebben, dus kun je daar eenvoudig op filteren. Het verkeer wat van de DNS server naar het victim IP gaat heb je als aanvaller geen invloed meer op. Je kunt als aanvaller enkel het IP spoofen waar de DNS server het antwoord heen moet sturen.

Power2All @mkools24 • 27 september 2016 18:20

Hij heeft het over de response, DNS client kan ook op andere poort draaien.

kozue @mkools24 • 29 september 2016 08:58

Je kunt source port 53 niet blokkeren want dan werkt DNS-resolutie niet meer voor al je clients. De aanvraag komt niet van poort 53 dus daar kun je niet op filteren.
Het probleem is juist dat het (zonder IP spoofing bescherming) niet te onderscheiden is van normaal DNS verkeer.

mkools24 @kozue • 29 september 2016 11:34

Ik bedoel inkomend verkeer met source poort 53. Niet 53 uitgaand bij jezelf. En je blokkeert inkomend enkel op je virtuele IPs, niet je main IPs dus DNS resolutie blijft dan gewoon werken. Hetzelfde doe je voor NTP etc. als het goed is kent de aanvaller je main IP toch niet zolang je daar tenminste geen diensten op draait.

Marty007 @mkools24 • 26 september 2016 12:46

Vraagje van een leek op dit gebied..
Kunnen ze het document niet hosten op bijvoorbeeld Google docs en die embedded in een site ofzo?
Dan zou het simpeler zijn om meerdere sites te hebben die het nieuwsbericht kunnen plaatsen terwijl Google dan met de afhandeling van de ddos zit (lijkt me dat die er beter tegen opgewassen zijn dan de kleinere hosts)

TheKmork @Marty007 • 26 september 2016 13:03

In dit geval werd de website gehost bij Akamai wat een van de grootste CDN hosters ter wereld is, dus op zich qua schaalgrootte kunnen die het wel aan. Het probleem is echter dat ze ook moeten betalen voor de enorme hoeveelheid verkeer die naar ze toe komt, en eventjes 650 Gbps aan *extra* verkeer verstouwen is voor geen enkele partij triviaal.

Wat betreft je idee, dit gaat helaas waarschijnlijk niet werken. Ik heb weinig inhoudelijke ervaring met webhosting, maar volgens mij gaat het dan zijn dat het Google docs bestand de aanval wellicht wel overleeft, maar de pagina waar je deze embedded hebt niet. Deze laatste moet toch ergens op een server draaien en als die platgegooid wordt door een DDoS dan kunnen mensen alsnog je bericht niet lezen. Als alternatief kun je de link naar je Google docs bestandje verspreiden onder allerlei nieuwssites, maar dan krijgen die sites de kijkers en komt er niemand op jouw pagina kijken.

[Reactie gewijzigd door TheKmork op 23 juli 2024 07:54]

Marty007 @TheKmork • 26 september 2016 20:17

Als alternatief kun je de link naar je Google docs bestandje verspreiden onder allerlei nieuwssites, maar dan krijgen die sites de kijkers en komt er niemand op jouw pagina kijken.

......

Ja. Mee eens.. dat eerste was dan ook mijn insteek gebaseerd op de post elders in deze reacties wat oa ging over belangrijk nieuws wat mogelijk de mond gesnoerd werd... Dit kan je dus dan inderdaad via links ook delen ja.

Wat betreft de gemiste bezoekers.. ff niet aan gedacht dat ook journalisten natuurlijk op geld uit zijn (en hun bazen uiteraard )

Bedankt voor jullie reacties

mkools24 @Marty007 • 26 september 2016 12:57

Je zou het inderdaad ook op Goole+ of Facebook kunnen zetten oid dan is het hun probleem. Embedden gaat niet want dan nemen ze je site waarin je het embed onder vuur en die zal dan ook niet meer laden. En wat ze ook vaak doen is de DNS servers van je site onder vuur nemen zodat je website voor niemand meer resolved en niet meer te bereiken is.

Maar er zijn zeker voldoende mogelijkheden, je zou het gewoon op Goolge+ kunnen posten en de link tweeten. Geen enkele DDoSser zal waarschijnlijk ooit de moeite nemen om Google of Facebook aan te vallen. Dat is waarschijnlijk niet alleen kansloos maar die targets zijn ook te high profile en de FBI etc. gaat zich er dan mee bemoeien.

Maarja een beetje journalist wil natuurlijk wel een eigen website hebben. Die kunnen mensen bookmarken en terug bezoeken.

Overlord2305 @mkools24 • 26 september 2016 13:08

Interessant, zoals ik al zij ben ik zelf geen expert dus is het ontzettend interessant om te lezen hoe zoiets werkt, immers je bent nooit te oud om te leren.
Over je tweede punt dan wel, beschermen dit soort goedkope oplossingen ook tegen 'grootschalige' aanvallen, ik kan me inbeelden dat er bij een budget oplossing een limiet is aan de hoeveelheid data die er verwerkt kan worden per seconden etc.

mkools24 @Overlord2305 • 26 september 2016 13:17

Er zijn tegenwoordig zat goedkope oplossingen die je kunnen beschermen. OVH verspreid bijv al het DDoS verkeer over hun verschillende data centers. Dus als een DDoS pakket vanuit de VS komt wordt hij in Canada gefilterd, vanuit Europa in Frankrijk etc. hierdoor hebben ze echt een enorme filtercapaciteit. Een servertje bij OVH heb je al vanaf 2 euro per maand en ze bieden allemaal gratis die bescherming. Cloudflare is de populairste gratis en betaalde oplossing, daar kom je al heel ver mee.

Dat gezegd hebbende ik heb zelf jarenlang met een hardnekkige,professionele ddosser te maken gehad en als ze je echt pijn willen doen en ze hebben de middelen is het heel lastig om aanvallen af te slaan. Je hebt niet persee bandbreedte nodig om je site onbereikbaar te maken, een Denial of service attack werkt soms ook goed, bijv. je webserver verzuipen onder een grote hoeveelheid legitieme verzoeken. Of wat ik meegemaakt heb je server naar 100% cpu tillen door een bepaald soort aanval waardoor je plat gaat.

Er zijn tal van mogelijkheden en die ddos kiddies hebben iets wat jij vaak niet hebt: heel veel tijd. Jezelf verdedigen kost ook altijd veel meer tijd en geld dan een aanval doen en je moet constant paraat staan een aanval te weren. Het blijft kat en muis en zal het altijd blijven. Er komen altijd nieuw soort aanvallen.

Wat wel verandert is is de mentaliteit, vroeger was een aanval standaard jouw schuld, je zal het wel uitgelokt hebben. Nu is dat niet meer zo, nu is niet de vraag of je wordt aangevallen als je populair bent maar wanneer.

Overlord2305 @mkools24 • 26 september 2016 13:20

Domme vraag, maar zou je een aanval niet gewoon terug kunnen sturen? (Ja, alle data, daar zullen ook onschuldige 'slachtoffers' bij vallen)

mkools24 @Overlord2305 • 26 september 2016 13:26

Nee want jou server heeft een connectie van laten we zeggen max 1 gbps. Als de aanval dan 650 gbps is wat ga je dan doen. Bovendien zijn de machines die de aanval sturen van onschuldige mensen die geen idee hebben dat hun machine wordt misbruikt.

Je hebt zelf nooit de capaciteit om 14.000 IP adressen terug aan te vallen en genoeg bandbreedte die kant op te veroorzaken zodat de aanval bij jou stopt.

Overlord2305 @mkools24 • 26 september 2016 13:29

Goed punt, al moet ik zeggen dat ik het probleem niet snap wat betreft het terug sturen van de data, wel dat dit niet mogelijk is omdat je daar de verbinding niet voor hebt.
Maar meer vanuit een moraal standpunt, immers die mensen kunnen op dat moment toch niks (lijkt mij dat bij zo'n aanval de volle 100% gebruikt van wat je hebt) dus de verbinding van die onschuldige mensen is toch al naar de klote.

mkools24 @Overlord2305 • 26 september 2016 13:37

Ja maar jij kunt zelf ook niks meer, als je zoveel binnenkrijgt gaat er ook niks meer uit. En inderdaad de aanvalsmachine is dan vaak toch al down dus alles wat je terugstuurt zal waarschijnlijk nooit aankomen.

Wat je beter kunt doen is de ISP inlichten. Er zijn zelfs mensen die dit automatisch doen bijv: http://www.webhostingtalk.com/showthread.php?t=1160824

Als maar genoeg mensen dat zouden doen en de ISPs zouden dat soort servers snel afsluiten dan is het zo klaar, maarja ISPs in China enzo die kijken niet zo nauw.

aadje93 @Overlord2305 • 26 september 2016 16:04

reken je even mee? 650gbit

Iedereen 1mbit, dan zijn dat dus ~650.000 computers, telefoons, ip-camera's, printers oid.

Dat is zo geregeld wereldwijd, en vooral in west europa valt een stroompje data van 1mbit amper op

Overlord2305 @aadje93 • 27 september 2016 09:13

Dat klopt, maar ging het hier niet eerder om rond de 14000 machines, is toch even wat minder, ik kom uit op een kleine 46mb (al is wiskunde niet mn sterkste vak dus alvast excuses voor eventuele fuck ups)

Correctie, het ging om 145.000 apparaten, dat is alsnog een kleine 4.4 mb, dan denk je dat merk je niet, maar stel je hebt de gemiddelde Nederlandse internet snelheid (15,3mbps) en je zit daar met je gezin op, dan ga je 4.4 mb wel merken.

[Reactie gewijzigd door Overlord2305 op 23 juli 2024 07:54]

aadje93 @Overlord2305 • 27 september 2016 16:38

Een DDOS reken je in wat binnenkomt, dus dat is upload van de bots

Overlord2305 @aadje93 • 28 september 2016 09:10

Ja, dat snap ik, en dat klopt ook, maar dan gebruikt hij alsnog je verbinding

aadje93 @Overlord2305 • 28 september 2016 16:18

een mb upload merk je amper als dat verbruikt word, gezien een paar DNS requests amper bandbreedte vragen, de download's van webpaginas gaat veel meer data kosten

Verwijderd @mkools24 • 26 september 2016 13:25

Toch niet tegen 620 Gbit/s.

Cloudflare heeft m wel aangeboden om z'n site te hosten, maar hij heeft voor Google gekozen.

Tevens heeft deze meneer verstand van wat hij doet.

mkools24 @Verwijderd • 26 september 2016 13:28

OVH had toen ze net begonnen met hun DDoS filter iets van 540 gbps capaciteit maar dat is jaren geleden ik neem even aan dat dat inmiddels al flink uitgebreid zal zijn naar boven de tbps.

SwiftPengu @mkools24 • 26 september 2016 15:22

Ik vraag me af hoe goed overprovisioning van de bandbreedte eigenlijk werkt. Er hoeft maar een exponentieel schalende amplification attack te zijn, en je dure routers zullen het alsnog begeven.

Blokker_1999

Netwerk en systeembeheer
Ddos
Security

@Overlord2305 • 26 september 2016 12:26

Dat kan je zeer snel nagaan. Wanneer een site enkel voor een bepaalde ISP onbereikbaar is weet je direct waar de oorzaak licht.

Een gespoofd IP adres is heel eenvoudig te herkennen en te definiëren. Daar heb je echt geen wetgeving voor nodig. Met stricte wetgeving loop je net het risicos dat je loopholes gaat maken omdat er fouten in de wet kunnen zitten.

hackerhater @Overlord2305 • 26 september 2016 13:44

Als ISP kan je heel makkelijk packets weigeren te routen met een source-adres die niet binnen je netwerk valt (van je klanten dus).

gekkie @Overlord2305 • 26 september 2016 12:04

Dat hangt er nogal vanaf waarop die ISPs (mogen) filteren.
BPC 38, gaat alleen over het filteren van gespoofde ip-adressen zodat ISPs pakketjes met gespoofde (dus niet echte behorende tot dat netwerk) verder routen het internet op.

Dit heeft derhalve ook niets te maken met filteren op het niveau van content dan wel een bepaalde service, waar net-neutraliteit over gaat.

Delichon @Overlord2305 • 26 september 2016 12:07

net neutrality != censuur/filtering. Dit zijn twee compleet verschillende onderwerpen.

net neutrality betekend dat websites/streaming/IP-telefonie/whatsapp berichtjes/vpn verkeer identiek moet worden behandeld. Het mag niet zijn dat het ene mag worden afgeknepen ten opzichte van de ander.

censuur/filtering betekend dat bepaalde dingen niet worden doorgegeven of worden geblokkeerd. zoals (kinder) porno. Of dat bovenstaande nou via websites, streaming of torrents gaat maakt niet uit.

Overlord2305 @Delichon • 26 september 2016 12:12

Klopt, heb in al mijn 'enthusiasme' de verkeerde term gebruikt!

kwikstaart 26 september 2016 11:57

Ik begrijp DDOS aanvallen, dat dit een website plat kan leggen. Maar stel ik heb m'n eigen blog gehost bij een normale provider hier, en die wordt platgelegd. Willen ze dat dan continu volhouden? Als ze stoppen is de boel weer bereikbaar.

Nu met Krebs kostte het waarschijnlijk veel geld, en dit lijkt me meer een staaltje van blufpoker, wetende dat ze deze publicatie toch niet tegen konden houden, maar wat is het meer dan dat?

biglia @kwikstaart • 26 september 2016 12:03

Maar stel ik heb m'n eigen blog gehost bij een normale provider hier, en die wordt platgelegd. Willen ze dat dan continu volhouden? Als ze stoppen is de boel weer bereikbaar.

Sommige nieuwsberichten van journalisten zouden zo belangrijk kunnen zijn dat ze binnen de 24 uur gelezen moeten worden. Bijvoorbeeld bij oorlogsverslaggeving of politieke berichten. Hij heeft wel een punt om over na te denken, hoor.

Zoop @biglia • 26 september 2016 12:18

Of wat simpeler, dat ze een scoop missen ofzo, toch vrij lullig als de concurrentie je steeds kan aftroeven door je site te ddossen.

Jeroen73 @biglia • 26 september 2016 13:01

De censuur zit niet alleen op een enkel bericht, maar ook dat je journalisten (of dissidenten/klokkenluiders/oproerkraaiers) in zijn algemeenheid het werk onmogelijk kunt maken doordat geen provider ze nog op hun platform wil hebben als je ze maar structureel DDOSt.

gekkie @kwikstaart • 26 september 2016 12:08

Nu met Krebs kostte het waarschijnlijk veel geld, en dit lijkt me meer een staaltje van blufpoker, wetende dat ze deze publicatie toch niet tegen konden houden, maar wat is het meer dan dat?

Diegene die een DDOS uitvoerd betaald uiteraard niet netjes voor de gebruikte bandbreedte, die wordt immers in kleine hoeveelheden van een heleboel mensen gestolen (en met flatfee meestal ook nog indirect). De kosten zitten hem in de malware en het opzetten en onderhouden van het botnet (die je zelf maakt, of als je er eentje inhuurt) en dat zal een fractie zijn van de kosten van alle bandbreedte en apparatuur die je dus uiteindelijk gebruikt.

Verwijderd @kwikstaart • 26 september 2016 12:27

Kijk recentelijk eens naar protonmail, mail service, die lagen ook plat door hele zware ddos aanvallen. Die hebben nu extreme kosten om zich daar tegen te beschermen.

De hosting ligt volledig plat en dat vinden ze niet leuk, dus zodoende stoppen ze het van een speler. Dat is goedkoper, dan je volledig er tegen te beschermen.

sleeperzzz @kwikstaart • 26 september 2016 13:06

Het probleem met een DDOS is niet beperkt tot 1 site/slachtoffer.
Ook is het probleem niet direct weg na een DDoS. Zo kunnen servers gewoon crashen of vastlopen door dergelijke aanvallen waarbij reboots en dus werkkrachten nodig zijn om alles terug actief te krijgen.

Om het maar even voor te stellen. Je bent een hosting bedrijft en beheert 50 servers met 50 sites/server en huurt de server racks + internet in een datacenter van 2000 machines.
Je site wordt slachtoffer van een DDoS dus in best case scenario krijgen ze maar klachten binnen van die 50 klanten op die 1e server die is stilgevallen en geen connectie meer aanvaard.
En zelfs al BSOD de server dan nog is dit maar 1 server nakijken.

Stel nu even de worst case voor.
Dus je site wordt aangevallen.
Eerst gaat je server down. Daarna wordt de router van het datacenter overbelast met trafiek en valt het datacenter terug op 50% internet capaciteit rekening houdende dat men wel redundant is. Maar intussen gaan de sites trager want die router verliest niet echt zijn connectie maar wordt gewoon overbelast.

Dus moet het datacenter al manueel finetunen om het probleem te verhelpen.
En intussen de overvloed aan connecties blocken.
Stel dan dat ze overschakelen en ook de 2de internetroute wordt overbelast dan valt het datacenter plots in red alert modus en moeten ze er dus voor zorgen dat de andere 2000 servers niet het slachtoffer worden en zit men dus met man en macht het internet stabiel te houden.

Intussen regent het klachten binnen en worden er vele klanten pissed-off voor de downtime.
Reken daar dan ook nog bij dat andere servers beginnen haperen en switches/routers overbelast geraken en dan heb je een echt ramp scenario.

Doet er niet toe dat die aanval maar 20 minuten duurt dit wil wel zeggen dat je voor 8uur werk hebt om alles terug recht te krijgen.

En ik kan meespreken dat de facturen niet mals zijn.
Zelf tegen gekomen met 5 servers die werden aangevallen door iemand die gebanned was van een server. Gevolg tot 2x 2000€ factuur in de bus van de verstookte data en werkuren van personeel in datacenter.

Dusja zelfs als kleine speler ben je vlug weggekeken van elk datacenter vooral als je niet hun grootste pakket kiest van bescherming. want er bestaan wel middels om de impact te beperken niet echt tegengaan maar wel ervoor zorgen dat andere spelers geen last hebben van de DDOS maarja goedkoop zijn deze packs dan niet. Aparte server,aparte internetlijn 24h monitoring dat soort packs.

Dusja DDoS is inderdaad censuur en moet veel strenger worden aangepakt als men als gewone gebruiker in een botnet zit.

Verwijderd @kwikstaart • 26 september 2016 15:36

Als jij je site hebt gehost bij een normale provider. En die krijgt een vlinke ddos voor zijn kiezen, hebben vaak al zijn overige klanten er ook last van. 9 van de 10 hosters kicken je er dan mooi af met je blog of website. Dit om de overige klanten te beschermen. Staat ook vaak in de voorwaarden. De impackt is nl niet alleen voor jouw maar ook de rest van de hostee.

Tk55 26 september 2016 11:57

Het is niet onlogisch dat Akamai heeft besloten de website van Krebs niet meer te hosten, zeker wanneer het ze veel geld kost en hij op een gratis hosting versie zat.

Maar... Krebs noemt een interessant punt, dat je je als kleine speler nauwelijks kunt beschermen. Dit verschijnsel is natuurlijk al langer aan de gang, waarbij de grootste partijen op het internet alsmaar groter worden en de kleinere er voor onderdoen. Een Google, Facebook of in dit geval is een haast niet te stoppen partij, met enorm veel macht. Hun grootte zorgt bijna alleen maar voor voordelen en dit maakt ze zeer machtig. Akamai trekt de stekker eruit, Google neemt het over. Maar wat als Google het ook te veel gedoe vindt? Blijven er dan nog hosters over? Daar zit je dan als individu met onmogelijk te hosten blog. En dat is nou precies het probleem.

Pietervs @Tk55 • 26 september 2016 12:14

Het is wel onlogisch dat een grote partij die zich graag beroept op de grootte van hun omgeving en bereikbaarheid bij de eerste de beste ddos-aanval meteen een kleine blogger vraagt te vertrekken.
Ik kan me voorstellen dat de servers van Akamai veel meer aanvallen te verduren krijgen, bijvoorbeeld omdat ze de updates van Microsoft verspreiden. Akamai had hier een uitgelezen kans om te bewijzen hoe robuust hun netwerk werkelijk is. In plaats daarvan schoppen ze een blog eruit...

In die zin is de reactie van Krebs dan ook volkomen terecht: als de grote bedrijven zoals Akamai uit angst voor ddos-aanvallen blogs gaan sluiten, is het eind zoek natuurlijk.

Blokker_1999

Netwerk en systeembeheer
Ddos
Security

@Pietervs • 26 september 2016 12:34

Het blog werd gratis gehost en ze hadden meer dan 600Gbit aan inkomend verkeer. Begin de kosten maar te berekenen. Akamai staat nu ook niet bekend als een dienst die beschermd tegen DDOS, maar als een CDN.

Hun netwerk kon het perfect aan, maar de kosten lopen wel op en dan is het na een tijd ook gewoon gedaan. Je kan geen miljoenen uitgeven om 1 kleine blogger te gaan beschermen.

supersnathan94 @Blokker_1999 • 26 september 2016 16:15

Nou dat valt wel mee hoor. Binnen de cloud security is DDOSs mitigation het eerste punt waar ze op hameren. Kona DDOS defender is een belangrijk product binnen hun strategie.

Met hun klanten bestand (zie about akamai -> facts and figures) moet dat ook wel. Aangezien de gehele US military, 9/top 10 grootste kranten, 16/top 20 banken,8/top 10 online publishers en een derde van de Global500 bedrijven bij Akamai zit.

Reken maar dat je dan DDOS mitigation op no.1 hebt staan. Dat ze bekend staan als CDN is leuk. Maar DDOS protectie is daar een enorm onderdeel van.

The Zep Man

Netwerk en systeembeheer
Security

@Pietervs • 26 september 2016 12:34

Het is wel onlogisch dat een grote partij die zich graag beroept op de grootte van hun omgeving en bereikbaarheid bij de eerste de beste ddos-aanval meteen een kleine blogger vraagt te vertrekken.

Het is onlogisch dat betalende klanten worden benadeeld door een niet-betalende klant, wanneer ook hun sites niet bereikbaar zijn. Akamai kan zoiets niet aan hun klanten verkopen.

Ik kan me voorstellen dat de servers van Akamai veel meer aanvallen te verduren krijgen, bijvoorbeeld omdat ze de updates van Microsoft verspreiden. Akamai had hier een uitgelezen kans om te bewijzen hoe robuust hun netwerk werkelijk is. In plaats daarvan schoppen ze een blog eruit...

Hosting gaat niet om prestige, maar om uptime en vertrouwen in die uptime. Als een gratis website afsluiten voor een stabiele situatie zorgt, dan is er geen reden om dat niet te doen vanuit een bedrijfsvoeringsperspectief. Akamai werkte al op goodwill voor Krebs. Zij hebben geen enkele verantwoording om hiervoor meer kosten te maken.

In die zin is de reactie van Krebs dan ook volkomen terecht: als de grote bedrijven zoals Akamai uit angst voor ddos-aanvallen blogs gaan sluiten, is het eind zoek natuurlijk.

Krebs kan natuurlijk ook betalen voor een account, net als anderen. Ook hoef je je zegje niet via een enkel platform te publiceren.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 07:54]

Pietervs @The Zep Man • 26 september 2016 14:47

@Blokker
Enige vorm van overleg en het opnemen in de voorwaarden dat blogs afgesloten kunnen worden bij excessief verkeer lijkt mij toch het minimale wat je als hoster kan doen.
Nu komt het redelijk lukraak over.

@The Zap Man:
Dus als hij een tientje per maand zou betalen zou je wel vinden dat Akamai het inkomende verkeer zou moeten filteren?
Daarnaast: Akamai is geen kleine jongen: inkomend verkeer kunnen ze filteren zodat andere klanten daar geen tot nauwelijks last van heeft, lijkt me
Daarnaast vind ik je opmerking dat men zijn zegje niet via 1 platform hoeft te publiceren nogal makkelijk: je kiest voor een blog bij een grote partij, met de verwachting dat die in de lucht blijft. Dan ga je niet nog eens hetzelfde verhaal op twee, drie andere sites publiceren. Of ken jij bloggers die dat wel doen?

(Overigens, voor de volledigheid: Krebs neemt Akamai niks kwalijk, maar kreeg slechts 2 uur de tijd om zijn site te migreren!)

jozuf @Tk55 • 26 september 2016 12:10

Een DDOS aanval is ook maar een aanval, geen permanente blokkade.
Dus het is nou ook weer niet zo extreem, hij had gewoon bij Akamai kunnen blijven en een bericht via twitter e.d. de lucht in te slingeren die excuseert en uitlegt.
Elke dienst is wel is down, al dan niet door eigen toedoen. Met een dergelijk blog zal daar vast begrip voor zijn bij de potentiele lezers.
Ik weet het, niet ideaal, maar het is ook niet het einde van de wereld en direct voorgoed onbereikbaar.

[Reactie gewijzigd door jozuf op 23 juli 2024 07:54]

Blokker_1999

Netwerk en systeembeheer
Ddos
Security

@jozuf • 26 september 2016 12:32

Een DDOS kan men als men wenst zeer lang aanhouden. Zolang er voldoende bots en aanvalsmethodes zijn mag je de DOS aanvallen zoveel tegengaan als je wenst, je blijft het niet de baas. Zeker niet als het om enkele honderden Gb aan verkeer gaat.

En wanneer je die aanval dagen lang te verduren krijgt kost het je rechtstreeks al heel veel geld. Daarnaast heb je vaak ook nog een hoop nevenschade door sites/diensten van andere klanten die ook onbereikbaar worden en die hebben vaak veel minder begrip. Dus wat doet de hoster? Die beëindigt je overeenkomst. Ga je dan naar een ander kan je op enkele uren tijd hetzelfde probleem krijgen. Je enige uitweg is dan je site permanent offline halen.

Zo kan een DDOS dus wel degelijk een vorm van permanente blokkade worden. Alles wat er nodig is, is een aanvaller die het lang genoeg kan en wil volhouden.

MauriceEnschede @Blokker_1999 • 26 september 2016 13:10

Een punt wat ook erg belangrijk is en vaak over het hoofd wordt gezien is dat er nu veel meer iot devices gebruikt worden.
Vroeger als je met een botnet een ddos aanval opzette werd de aanval na verloop van tijd zwakker omdat mensen bijvoorbeeld worden gewaarschuwd door hun provider of hun pc bijvoorbeeld uitzetten.
Nu met de opkomst van het internet of things/vulnerabilities zijn het steeds vaker ip cams, dvr's of misschien zelfs koelkasten die in het botnet zitten en die zetten mensen niet uit.
Hierdoor zal de aanval niet zomaar in bandbreedte afnemen en worden die aanvallen steeds vervelender. Zeker omdat het heel makkelijk is om een groter botnet op te bouwen omdat die iot devices steeds meer aan het internet hangen en erg makkelijk zijn om toe te voegen als je een exploit hebt.

Wat er nu erg hard nodig is is dat providers meer stappen ondernemen om aanvallen hun netwerk niet uit te laten komen zoals meer geroepen wordt hier maar ook zeer belangrijk is dat de veiligheid van iot devices steeds meer aangescherpt wordt.

Ik heb zelf nog mijn eigen netwerk gechecked en het lijkt er op dat mijn wasmachine en droger gelukkig niet hebben meegedaan aan een aanval.

NLsandman @jozuf • 26 september 2016 17:32

Akamai is niet down gegaan door die aanval, krebs website bleef gewoon online.
Stel dat akamai hem had geholpen dan was de volgende aanval 1 Tbit/s geweest en ovh is al met 1,2 Tbit/s aangevallen.

https://twitter.com/olesovhcom/status/778019962036314112

Verwijderd 26 september 2016 12:32

DDoS aanvallen zijn niet mogelijk als er geen geïnfecteerde computers zijn en dat is mogelijk als wij technologische verbeteringen maken aan computer software en hardware.

Ik heb al vaker geopperd dat we kunnen beginnen door bound-checking in te bouwen in C / C++ compilers (inclusief pointer arithmatic) en garbage collection te gebruiken. Ook zouden we meer digitale handtekeningen kunnen gebruiken bij het installeren en updaten van software.

Tribits @Verwijderd • 26 september 2016 13:01

Dan zit je nog steeds met de categorie trojans. Je merkt dat nu het aantal browser exploits daalt de distributie van trojans toeneemt.

Verwijderd @Tribits • 26 september 2016 13:07

Je zou een lockdown van een OS moeten doen waarbij alleen maar specifiek digitaal ondertekende software nog als root kan draaien of geïnstalleerd kan worden. De normale gebruiken zou net als bij Android nooit software mogen installeren of draaien als root.

Tribits @Verwijderd • 26 september 2016 13:23

Op zich draait het meeste DDOS spul ook wel onder een normale user account, al is het een stuk makkelijker te verwijderen zonder root access. Verder wel mee eens dat het een stuk zou schelen als er meer met whitelists en signatures gewerkt zou worden.

Zer0 @Verwijderd • 26 september 2016 12:56

DDoS aanvallen zijn niet mogelijk als er geen geïnfecteerde computers zijn en dat is mogelijk als wij technologische verbeteringen maken aan computer software en hardware.

Anon heeft al bewezen dat een botnet van geinfecteerde computers niet perse noodzakelijke is. Als je genoeg "volgers" hebt is het ook te doen met bijvoorbeeld LOIC

Verwijderd 26 september 2016 12:23

Is het dan niet mogelijk dat ze een soort van model maken ala wikileaks qua mirroring ? Er draaien op dit moment 1010 mirrors van Wikileaks. Dan zou zo`n DDoS aanval eigenlijk qua effectiviteit afnemen. Desalniettemin zal niet elke elke mirror achter een goede anti ddos provider staan. Maar daar zou je dan ook iets mee moeten doen.

http://wikileaks.openanthropology.org/Mirrors.html

Freekers @Verwijderd • 26 september 2016 12:28

Dat betekend ook dat je een synchronisatie mechanisme moet hebben, om zowel content als eventuele comments te synchroniseren. Daarnaast zijn vrijwel alle Wikileaks mirrors die ik geprobeerd heb op die pagina down.

CivLord

@Verwijderd • 26 september 2016 13:30

Zo'n structuur is verre van gratis. En de blog was gratis gehost.

MvandeK

26 september 2016 12:07

Naar aanleiding van dit artikel wilde ik zijn website bezoeken, maar die lijkt op dit moment niet te reageren. Zou er weer een aanval bezig zijn?

Edit: Hij reageert weer..

[Reactie gewijzigd door MvandeK op 23 juli 2024 07:54]

biglia @MvandeK • 26 september 2016 13:21

Die man plaatste dit bericht 8 uur geleden op zijn facebook:

My first story after the site was knocked offline for a few days from a 620 Gbps DDoS attack. Site's now up under Google's Project Shield https://krebsonsecurity.c...ratization-of-censorship/

MvandeK

@biglia • 26 september 2016 13:29

Klopt, vandaar dat ik ook benieuwd was of de website weer online was nu deze bij Google is ondergebracht. De eerste keer dat ik de site wilde bezoeken kreeg ik een 502 Bad Gateway error na lang wachten.

Somoghi 26 september 2016 11:56

Voor een klein bedrag kun je een ddos aanval huren. Enige manier om dit tegen te gaan is het in de wet verankeren van dit soort zaken. We weten allemaal hoe snel dit zal gaan.

Het is net als een mes, verkeerd gebruik is strafbaar.

Zoop @Somoghi • 26 september 2016 12:05

Toch zijn dit soort dingen vrijwel per definitie strafbaar, ongeacht hoe het gebruikt wordt, want het zijn botnets die grotendeels bestaan uit machines waar onrechtmatig gebruik van gemaakt worden en er al tal van wetten zijn overtreden tijdens het hacken van die machines.

Dit soort botnets worden echt nooit voor legitieme doeleinden gebruikt aangezien het botnet zelf al niet legitiem is.

Dus daarom vind ik je vergelijking met een mes een beetje vreemd.

Somoghi @Zoop • 26 september 2016 12:11

Oneigenlijk gebruik, dus niet het gebruik wat de fabrikant voor ogen had. Ik refereer met het mes naar het apparaat, niet naar het botnetwerk.

Uiteraard is het hebben van een botnetwerk niet toegestaan, als er een 10x zo zware straf op zou staan, de pakkans ook 10x zo groot zou zijn, zou er dan nog zoveel geddossed worden?

Edit ( om een conversatie te voorkomen )
Uiteraard kun je de ddos opdrachtgevers niet aanpakken, daarom de hypothetische vraag of als de pakkans en strafmaat omhoog gaat er nog wel een botnetwerk zal zijn om de ddos uit te voeren.

[Reactie gewijzigd door Somoghi op 23 juli 2024 07:54]

Iblies @Somoghi • 26 september 2016 12:23

Wie of wat ga je straffen?

Een botnet bestaat uit verschillende computers uit verschillende landen dat door een enkeling wordt aangestuurd.

Je hebt die ene persoon nodig, rest van het botnet kun je vaak niet eens bereiken zonder buitensporig veel moeite in te steken.

Zo nu en dan hoor je een reactie waarbij een provider aangeeft dat die bepaalde personen willen aanspreken omdat de computer in een botnet staat verbonden,
alleen gebruik ik bijvoorbeeld mijn email-adres van de provider niet eens, post krijg ik ook niet behalve bij een sporadische wijziging.

Makkelijkste manier zou zijn om een keer toegang te blokkeren waarbij je een scherm krijgt net zoals bij WiFi met de melding dat je netwerk waarschijnlijk wordt gebruikt door een botnet en dat je die een keer moet laten controleren, en dat je akkoord moet klikken dat je de boodschap hebt ontvangen.

Druppel op een gloeiende plaat,
maar veel mensen beseffen niet eens dat hun computer deel uitmaakt van een botnet.

Somoghi @Iblies • 26 september 2016 12:44

De command and control server waarmee verbinding wordt gemaakt voor instructies, of waaruit de instructies komen moet toch niet zo moeilijk te achterhalen zijn?

Als je die hebt is het toch mogelijk om het financiële spoor te volgen of ben ik nu te naief?

Tribits @Somoghi • 26 september 2016 12:57

C&C servers gotten vaak achter een Tor achtig netwerk. Bovendien zijn de meeste botnets zo geprogrammeerd dat ze overschakelen naar een andere C&C server op het moment dat je er een neerhaalt.

Zoop @Somoghi • 26 september 2016 12:17

DDOSen zelf straffen en handhaven is juist heel erg lastig, het komt van tig verschillende machines vandaan, je komt er vrijwel nooit achter wie je nou aan het DDOSen bent tenzij iemand de actie opeist. Daarom moet sowieso die bot netwerken aangepakt worden (gebeurd ook wel, maar ze worden alleen opgeruimd, er wordt vrij zelden iemand voor aansprakelijk gesteld). Het is een redelijk safe manier van hacken, gewoon wat machinetjes pakken die hun security niet op orde hebben, en die weer gebruiken om andere te hacken tot je in no-time een netwerk van honderden, zo niet duizenden heb.

Dus een 10x zo ware straf doet weinig als de pakkans klein blijft. Die zie ik niet zo maar 10x zo groot worden namelijk.

cariolive23 @Somoghi • 26 september 2016 12:52

Enige manier om dit tegen te gaan is het in de wet verankeren van dit soort zaken.

Je wilt een wet maken die het criminelen verbiedt om criminele activiteiten uit te voeren? Geen idee van welke planeet jij komt, maar er is geen enkele wet die ooit een crimineel heeft tegengehouden in zijn criminele activiteiten.

Criminelen moet je opsporen, oppakken, vervolgen en straffen. En bij herhaling een strafverdubbelaar toepassen, na een paar veroordelingen hebben ze zichzelf levenslang aangedaan. En dat is dan hun eigen keuze. Criminelen stop je niet met een wet.

Somoghi @cariolive23 • 26 september 2016 19:30

Nee maar opsporingsdiensten handelen volgens wat? onderbuikgevoel?

cariolive23 @Somoghi • 26 september 2016 20:54

Ze kunnen nu al handelen, daar zijn geen nieuwe of aangepaste wetten voor nodig.

Niet dat het iets verandert aan het probleem, maar dat is een ander issue.

locke960 26 september 2016 12:43

Google's 'Project Shield' en Krebs zijn idee voor non-profitorganisatie, die internetjournalisten moet bijstaan om zich tegen ddos-aanvallen te beschermen, zijn beide non-oplossingen.

Het laat de rest van de mensen namelijk in de kou staan. Wie valt er onder noemer internetjournalisten en wie niet? Ik denk dat we er wel vanuit kunnen gaan dat de echt impopulaire en controversiële meningen en standpunten niet door deze projecten gedekt gaan worden.

Tribits @locke960 • 26 september 2016 13:05

Op zich misschien niet correct, maar als je machtige organisaties aanvalt met beperkte steun van medestanders is het ook weinig verrassend dat je niet succesvol zal zijn.

judgewooden 26 september 2016 12:32

Eerder dit jaar had Steve Gibson (grc.com) ook al last van DDOS aanvallen. Hij heb besloten zich niet te schuilen achter DDOS protectie want hij bied diensten aan die juist proxy vrij moeten blijven en wil zijn security keys niet uit handen geven. Iets wat Krebs wel doet met Project Shield. Dus grc.com is in uit de lucht alleen als de DDOS aanvaller(s) vind dat het bereikbaar moet zijn.

Ben toch benieuwd wat hij vind van deze zaak.

Firefly III 26 september 2016 13:25

Dit is natuurlijk kletskoek. Tenzij DDoS aanvallen zo gemeengoed worden en zo vaak voorkomen dat het bijzonder vaak voorkomt dat blogs down gaan. En als dat gaat gebeuren zal elke fatsoenlijke journalist zijn blog op drie of vier locaties hosten.

Tot nu toe heeft elke DDoS gezorgd voor meer (legitiem) verkeer naar het slachtoffer toe, die dus meer aandacht kreeg voor zijn zaak dan daarvoor.

DDoS aanvallen zijn eerder een aandachtstrekker ("er is een DDoS, gauw lezen wat ze proberen te verbergen") en zorgen voor een gigantisch Barbara Streisand effect.

Ik zie in dit thread ook geen realistische voorbeelden van censuur door DDoS aanvallen. Hooguit wat hypotetische en vergezochte voorbeelden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (80)

Sorteer op:

Weergave: