Populaire sites tijdelijk onbereikbaar door ddos op DynDNS - update 3 - IT Pro - Nieuws

Een ddos-aanval op dns-provider Dyn verhinderde enkele uren lang dat gebruikers aan de oostkust van de VS terechtkonden op populaire websites als Twitter, Reddit, Soundcloud en GitHub. De problemen hielden al met al ongeveer twee uur aan.

Dyn logo Dyn zelf spreekt op Twitter niet van een ddos-aanval, maar van een 'onderbreking van het dns-netwerk'. In een statement aan verschillende nieuwsmedia, waaronder The Next Web, geeft Dyn wel aan dat het om een ddos-aanval ging. Daarin laat het bedrijf ook weten dat het getroffen gebied beperkt was tot de oostkust van de Verenigde Staten. Het bedrijf heeft zo snel mogelijk mitigation protocols ingezet en heeft het probleem inmiddels verholpen. Het is onduidelijk wie achter de ddos-aanval zat.

Een ddos-aanval wordt uitgevoerd vanaf vele gehackte apparaten, zoals computers, laptops, smartphones maar ook iot-devices, die door de hacker geïnstrueerd worden om allemaal tegelijk naar een bepaald ip-adres of domein op het web te navigeren. Het resultaat is overbelasting van de webservers, waardoor al het verkeer vast komt te liggen, inclusief dat van de gewone gebruikers op de getroffen website. Een dergelijke aanval op een dns-provider, die verantwoordelijk is voor het vertalen van een webadres als tweakers.net naar het ip-adres van de server waar de daadwerkelijke content vandaan komt, maakt de websites die van de dienst gebruikmaken dus onbereikbaar, hoewel ze eigenlijk nog wel online zijn.

Update 18.41 uur: De problemen lijken aan te houden en ditmaal ook Europa te treffen. Dyn schrijft op zijn statuspagina dat er opnieuw ddos-aanvallen plaatsvinden. Gebruikers melden dat websites zoals Twitter en Github, en diensten als Netflix en Spotify niet te bereiken of niet goed bruikbaar zijn.

Update 2 - 20.02 uur: Dyn meldt wederom op zijn statuspagina dat er ddos-aanvallen plaatsvinden. De dns-storing blijft ook diensten in Nederland treffen. Onder andere Buienradar zegt last te ondervinden van de problemen.

Update 3 - 21.13 uur: Voorlopig lijkt er nog geen einde in zicht te komen van de ddos-aanvallen. Dyn meldt wederom dat de infrastructuur van het bedrijf onder vuur ligt. Ook lijken steeds meer diensten bij sommige gebruikers niet te werken. Zo lijken de servers van EA en Sony's PlayStation Network het te begeven. Het is echter niet zeker of dit gerelateerd is aan de aanvallen op Dyn.

Dyn

IT-banen

Reacties (139)

Anoniem: 160587 21 oktober 2016 17:33

https://www.dynstatus.com/incidents/nlr4yrr162t8 daar melden ze gewoon netjes dat het om een DDoS ging.

Update 16:06 UTC: lijkt erop dat Dynect nu ook problemen heeft in Europa (ik werk bij een bedrijf dat een vrij kort lijntje met Dynect heeft, details verschaf ik niet, maar ik verschaf wel wat publiek zichtbaar is).

https://www.dynstatus.com/incidents/nlr4yrr162t8
Investigating - As of 15:52 UTC, we have begun monitoring and mitigating a DDoS attack against our Dyn Managed DNS infrastructure. Our Engineers are continuing to work on mitigating this issue.
Oct 21, 16:06 UTC

Update 2 16:19 UTC: Twitter, Github en andere zijn sinds ongeveer 16:19 UTC offline door Dynect (zie hier boven)

Update 3 17:02 UTC: Dynect lijkt weer te werken en als resultaat werken de eerdere websites met impact weer.

[Reactie gewijzigd door Anoniem: 160587 op 22 juli 2024 17:14]

Tralapo @Anoniem: 160587 • 21 oktober 2016 18:18

Via mijn Ziggo-verbinding heb ik momenteel flinke problemen. Reddit/Twitter/etc onbereikbaar. Zelfs Tweakers gaf net een DNS fout.

Op 4G (KPN) is de verbinding wat hobbelig maar kan ik het meeste wel gewoon bereiken.

lezzmeister @Tralapo • 21 oktober 2016 18:29

Ik kan niet bij Netflix terwijl de rest het prima doet. Spotify hapert. Tumblr laadt niet goed. Skype verliest steeds verbinding.

Rest van wat ik opzoek doet het wel gewoon. Zou dit hierdoor komen?

Slechdt @Tralapo • 21 oktober 2016 20:46

Switchen van Google DNS naar Open hielp voor mij.

208.67.222.222 · 208.67.220.220

[Reactie gewijzigd door Slechdt op 22 juli 2024 17:14]

Barry127 @Slechdt • 21 oktober 2016 21:37

Thanks! die doet het voor mij ook!

Anoniem: 636203 @Tralapo • 22 oktober 2016 08:39

Ik had ook gisteren even problemen met het bereiken van diverse sites. Gelukkig duurde het niet lang.

Superstoned @Anoniem: 160587 • 21 oktober 2016 17:54

Doet me denken aan https://www.schneier.com/...6/09/someone_is_lear.html

"Over the past year or two, someone has been probing the defenses of the companies that run critical pieces of the Internet. These probes take the form of precisely calibrated attacks designed to determine exactly how well these companies can defend themselves, and what would be required to take them down. We don't know who is doing this, but it feels like a large nation state. China or Russia would be my first guesses."

[Reactie gewijzigd door Superstoned op 22 juli 2024 17:14]

laptopleon @Superstoned • 22 oktober 2016 10:14

Dat is helaas niet uniek voor organisaties die het net aan de praat houden. Elke onbetekende Wordpress site die je online zet, wordt die gegarandeerd regelmatig geprobeerd te hacken, laat staan een beetje 'interessant' bedrijf.

Ik heb vorig jaar een webwinkeltje voor een populaire vlogger gemaakt en binnen de kortste keren te maken gekregen met DDOS aanvallen. We moesten een gespecialiseerde dienst in de arm nemen die via DNS alle dataverkeer filtert om de site weer normaal bereikbaar te krijgen en houden.

Het is een complete bedrijfstak geworden de laatste jaren en hij groeit als kool.

280562 @Anoniem: 160587 • 23 oktober 2016 01:35

De laatste feiten, direct van het slachtoffer (Dyn), zaterdag avond:
http://hub.dyn.com/dyn-bl...on-10-21-2016-ddos-attack

At this point we know this was a sophisticated, highly distributed attack involving 10s of millions of IP addresses. We are conducting a thorough root cause and forensic analysis, and will report what we know in a responsible fashion. The nature and source of the attack is under investigation, but it was a sophisticated attack across multiple attack vectors and internet locations. We can confirm, with the help of analysis from Flashpoint and Akamai, that one source of the traffic for the attacks were devices infected by the Mirai botnet. We observed 10s of millions of discrete IP addresses associated with the Mirai botnet that were part of the attack.

[Reactie gewijzigd door 280562 op 22 juli 2024 17:14]

World Citizen @Anoniem: 160587 • 21 oktober 2016 19:03

Paypal doet het weer hier. Dus er komt weer wat online.

Welke hacker is er nou zo een druif dat hij paypal plat legt. Elke ITer leeft toch van Thuisbezorgd en betaald toch met PayPal... ik moet verdorie 30min langer wachten op mijn shoarma.

dolaf @World Citizen • 21 oktober 2016 19:13

We leven met je mee.

aleksandr @World Citizen • 21 oktober 2016 19:18

Sterkte man, Hopen dat de shoarma niet koud is....

YangWenli @World Citizen • 21 oktober 2016 20:31

If it helps: als deze hackers niet staats gesteund zijn en in Rusland/China zitten zullen ze wel gepakt gaan worden.

Anoniem: 221563 @World Citizen • 22 oktober 2016 03:14

Dit is te herkenbaar, alleen was het pizza

johanneslol 21 oktober 2016 17:28

Dit moet dan wel een monsterlijk groot botnet zijn geweest als je zulke servers plat krijgt!

Wel netjes snel verholpen!

Armin

Netwerk en systeembeheer

@johanneslol • 21 oktober 2016 18:22

Tweakers meldt dan ook onjuist: "Een ddos-aanval wordt uitgevoerd vanaf vele gehackte apparaten, zoals computers, laptops, smartphones maar ook iot-devices, die door de hacker geïnstrueerd worden om allemaal tegelijk naar een bepaald ip-adres of domein op het web te navigeren"

Traditioneel worden DDoS aanvallen namelijk juist niet zo uitgevoerd, maar via versterking. Eén client doet een transactie naar een bepaalde server X die door een configuratie fout/eigenschap leidt tot een veel grotere transactie richting server Y. Zo kun je dus met kleine aantalen clients grotere aanvallen uitvoeren op een doelwit Y. Iets wat jou met je clients direct zelf vaak niet lukt.

Ironisch is, dat een zeer veelvoorkomende vorm van deze DDoS aanvallen nu net via DNS servers gaat. Jij doet een speciaal geperparreerde valse request naar een DNS server, die leidt tot die server van het sturen van een antwoord dat veel groter is. Echter omdat ik mijn request vervalst had als zijnde lijkende afkomstig van Y, wordt het antwoord gestuurd naar Y - hetgeen mijn doelwit is. Y wordt dan overspoeld met inkomende paketrjes waar het niet om gevraagd heeft. Meestal loopt dan niet zozeer de server Y vast, maar de netwerk aparatuur die daarvoor zit.

Meestal zijn het verkeerd geconfigureerde DNS servers die hiervoor misbruikt worden, want correct ingestelde zullen dit soort valse paketjes weigeren of corrigeren.

Rechtstreeks aanvallen uitvoeren is iets wat redelijk recent is. O.a. de aanval op Krebs was een van de eerste echte relevante van die vorm. Dan is het ook de server zélf die potentieel vastloopt, want het zijn échte requests, die ook echt door een server uitgevoerd worden (mits het netwerk ervoor niet vastloopt). Anders dan bijvoorbeeld valse DNS paketjes die normaal door de netwerk hardware van de server al gefilterd wordt.

Het is bij mijn weten nog niet duidelijk welke vorm van aanval gebruikt werd hier.

tedades @Armin • 21 oktober 2016 18:33

Ik heb zelf altijd begrepen dat is gestart met dos aanvallen (simpel commando dat veel verwerking genereerd op server), daarna dat overging naar ddos waarbij meerde machines een dos deden waardoor je zelfs met simpelere commando's de server kon overbelasten. Het fine-tunen van die aanvallen via amplification is voor mijn gevoel pas een paar jaar geleden gestart. Het gebruiken van andere apparaten die aan internet hangen is volgens mij ook pas iets van de laatste paar jaar.

Armin

Netwerk en systeembeheer

@tedades • 21 oktober 2016 19:03

Ik heb zelf altijd begrepen dat is gestart met dos aanvallen (simpel commando dat veel verwerking genereerd op server),

Geheel waar. In de nog meer oer-tijd deed men het zo. Maar die aanvallen zijn redelijk moeilijk in tijden van load balancers en caching. Plus men kan individueel clients makkelijk trottelen. Vandaar dat dat soort aanvallen enkel in de 'naieve'

oer-tijd van het internet konden.

Tot voor kort was het vrijwel enkel versterking ("amplification") met o.a. DNS als grootste bron. Nu echter steeds meer ISP's paket spoofing gaan aanpakken, moet men wel overstappen naar nieuwe methoden.

Relevant is ook wat je wilt aanpakken. De oude oer-aanvallen waarbij je dure server commando's gebruikt, zullen net zoals d enieuwe IoT aanvallen de server zélf overbelasten, terwijl DNS-versterking en verwante DDoS vaak de server niet eens bereiken. Echter de rest van het verkeer ook niet waardoor een DDoS toch effectief is.

Erover nadenkend, moet deze DDoS aanval wel zijn gericht op het versturen van bewust onjuiste requests, want direct een DNS request doen, zal vrijwel altijd gecached worden door lagere resolvers. Tenzij men echt bewust request blijft doen naar niet bestaande servers op die DNS root.

temp00 @Armin • 22 oktober 2016 01:28

Er is helemaal niet zoiets als een 'traditioneel' uitgevoerde DDOS aanval maar als je dan toch een techniek als gangbaar moet stellen dan is het wel de techniek die Tweakers beschrijft; Het flooden vanaf een groot aantal apparaten (lees daarom ook Distributed) of het specifiek gebruik maken van service fouten wat namelijk veel gangbaarder is dan de (Dns) amplification attacks waar jij (recent) over hebt gelezen.

Armin

Netwerk en systeembeheer

@temp00 • 22 oktober 2016 01:51

Zoals ik al schreef is het precies andersom dan wat jij zegt!

Mocht je klagen over de term "traditioneel" wil ik je die best geven, maar tot voor kort waren versterkings (amplification) aanvallen via o.a. DNS de meest gangbare norm bij grote aanvallen. Aanvallen rechtstreeks via gehackte clients (zoals IoT) zijn juist iets recents. Precies die IoT aanvallen, waar je recent over in het nieuws hebt kunnen lezen zijn een nieuw verschijnsel.

Waar jij je denk ik mee vergist is, dat evident de aparaten die de spoofed packetjes versturen ook gehackte apparaten zijn. Maar het voordeel van zo'n versterkings (amplification) aanval is dat je met relatief kleine aantallen clients veel schade kunt aanrichten. Nadeel (vooe de uitvoerde van de aanval) is, dat het verkeer makkerlijker te filteren is.

Maar geloof mij niet, maar een van de experts op dit gebied: "Unlike traditional botnets which could only generate limited traffic because of the modest Internet connections and home PCs they typically run on, these open resolvers are typically running on big servers with fat pipes." Ze refereren hier naar de DNS resolvers die als versterker gebruikt worden.

En later specifiek over de in de media gerapporteerde aanval met IoT apparatuur, leggen ze ook uit wat het verschil is tussen de traditionele aanvallen via versterking en deze nieuwe vorm van aanvallen.

Of wijs je vooral naar de term "service fouten"? Ik bedoel daarmee fouten van de webserver zelf. Daarmee DDoS uitveren kan tegenwoordig zelden meer dankzij caching servers en andere front-ends die de klappen moeiteloos opvangen. Als je daarmee verwijst naar fouten in de DNS structuur, dan is dat precies waar ik naar verwijs naar de versterkings aanvallen. Immers een goed deconfigureerde DNS server negeert of corrigeert dit soort invaide paketjes.

CH4OS @Armin • 23 oktober 2016 18:03

Traditioneel worden DDoS aanvallen namelijk juist niet zo uitgevoerd, maar via versterking.

Waar denk je dat de eerste D staat in DDoS?

Hoe je het noemt maakt niet uit, het is dan distributed en zijn er dús meerdere apparaten erbij betrokken. Door de aard (Mirai botnet) is er ook een stuk duidelijker welke apparaten het zouden kunnen zijn, omdat bekend is hoe Mirai te werk gaat of wat voor devices daarvan slachtoffer kunnen worden.

kristofv @johanneslol • 21 oktober 2016 17:44

Je hebt zo van die trucjes om je traffic een factor x te vergroten , zoals DNS amplification
https://blog.cloudflare.c...mplification-ddos-attack/

Daardoor kan een relatief beperkt botnet toch nog voor een grote dreiging vormen.

Het alsmaar meer intreden van IOT helpt natuurlijk ook niet wat ddos aanvallen betreft

280562 @kristofv • 21 oktober 2016 18:05

De laatste tijd zijn het niet amplification-attacks die de oorzaak zijn van de grootte van het probleem. Ik zie vooral "the Internet of Things" genoemd worden.

https://krebsonsecurity.c...s-twitter-spotify-reddit/

Er zijn sinds kort tools om automatisch dingesen te hacken die niet echt computers zijn. Maar toch aan het Internet hangen. Zoals cameras of DVRs. Vorige maand las ik over een attack die 620 Gbps groot was. Dat waren voornamelijk IoT devices. Ik las net dat er sindsdien nog een andere (gerelateerde) attack was die 1 TeraBit/sec groot was.

Wordt nog wat, dat Internet of Things ....

[Reactie gewijzigd door 280562 op 22 juli 2024 17:14]

Iblies @280562 • 21 oktober 2016 19:08

Kwalijke is dat de media het niet oppakt.

Moment dat media mensen aanwijst dat ze bijdragen aan het stopzetten van internet, zal het ze hopelijk tot nadenken zetten.

Joost-n

@Iblies • 21 oktober 2016 19:53

zeker wel
http://nos.nl/artikel/213...antal-grote-websites.html

supersnathan94

@Joost-n • 22 oktober 2016 00:27

Tsja. Omdat teitter, netflix en een paar anderenpopulaire jan met de korte achternaam diensten eruit liggen.

Iblies bedoelt juist het gevaar van IoT netwerken. De recentste DDoS aanvallen waren allemaal IoT botnets met een capaciteit tussen de 500 en 1000gbit/s. En dat waren directe attacks. Zonder dns amplification.

vinkjb @Iblies • 21 oktober 2016 19:10

Is tweakers geen media dan?

Iblies @vinkjb • 21 oktober 2016 19:14

Meer richting NOS, nieuwsuur, MAX, radar, RTLnieuws, dwdd, Pauw, Late Night, telegraaf, Volkskrant.

Nu blijft het een klein artikeltje.

YangWenli @Iblies • 21 oktober 2016 20:34

In Amerika heeft het de mainstream media wel bereikt, maar daar zijn de problemen ook veel groter (tot nu toe).

Hans C @Iblies • 21 oktober 2016 22:18

Wat mij betreft blijft dat ook zo. Media aandacht is nu net de aandacht waar veel van deze types naar op zoek zijn. Naast de chantage types uiteraard.....

laptopleon @280562 • 22 oktober 2016 10:51

Je zou denken dat het vrij eenvoudig moet zijn om er achter te komen welke apparaten daarvoor misbruikt worden, gezien de enorme schaal. Dan kun je in ieder geval met de fabrikanten om de tafel om een oplossing te bedenken.

280562 @laptopleon • 22 oktober 2016 12:44

Tuurlijk kun je daar achter komen. Vandaar dat we weten dat er bv cameras en DVRs tussen zitten.

Maar wat als het tientallen producent zijn ? Of nog meer ? Wie gaat er tijd voor uittrekken om daar mee te praten ?

Wat als die producenten hun software ergens anders kopen, en geen verstand van networking hebben ? Alleen van hun apparaatje ? Windows, Linux, Android, MacOS, iOS, alles kun je makkelijk upgraden. Kun je de software op die goedkope IoT dingen ook makkelijk upgraden ? Is daar bandbreedte voor ? Wat als die dingen geen authenticatie doen bij het configureren ? (Lekker makkelijk, geen passwords intypen. Geen keyboard hoeven aansluiten, etc). Het is de bedoeling dat het IoT ook hele goedkope dingetjes aansluit op het net. Hoeveel budget is er voor security als het goedkoop moet zijn ?

Enz enz. Allemaal praktische problemen.

laptopleon @280562 • 23 oktober 2016 01:12

Vrijwel alles is te updaten qua firmware of software, de vraag is denk ik eerder of de gebruikers de moeite nemen, als ze al weten hoe het moet en vooral: als ze al doorhebben dat hun hardware en internetverbinding misbruikt wordt.

Als we (zowel gebruikers als producenten) willen dat het IoT een succes wordt, is het zaak dit soort problemen aan te pakken.

Anders moet je als gebruiker ook niet vreemd opkijken dat je device geband wordt door je ISP, omdat het niet aan minimum eisen voldoet. En dan kan het goedkoop zijn, maar dan wil geen gebruiker het hebben, dus druk op fabrikanten is echt wel een optie.

Dreamvoid @kristofv • 21 oktober 2016 21:42

In een IPv6 wereld zijn IOT devices op zich wel vrij snel van het internet af te gooien na zo'n aanval, als de ISP tenminste actie onderneemt.

Als dit soort aanvallen vaker voorkomen gaan de providers op een gegeven moment wel ingrijpen, zeker als ze een keer wegens nalatigheid aangeklaagd worden door de slachtoffers van een DDOS aanval.

Providers weten in principe precies waar de zombies zitten, ze doen er alleen niks aan omdat de slachtoffers ergens anders zitten. Ik zie dat vroeg of laat wel gebeuren, het lost het probleem niet helemaal op, maar dan wordt elke aanval tenminste wel een 'zelfmoordaanval' voor een botnet. Zit je IP camera in een botnet, zodra hij actief wordt blacklist je provider het IPv6 adres en werkt je cam niet meer, en moet je zelf ingrijpen.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 17:14]

280562 @Dreamvoid • 22 oktober 2016 03:59

In een IPv6 wereld zijn IOT devices op zich wel vrij snel van het internet af te gooien na zo'n aanval, als de ISP tenminste actie onderneemt.

Wat een onzin.
IPv6 werkt zo in grote lijnen precies hetzelfde als IPv4. Alles wat je met IPv6 kunt doen, kun je ook met IPv4 doen. En andersom. Deze DDoS attacks zijn voor IPv6 net zo'n groot probleem als voor IPv4.

Als dit soort aanvallen vaker voorkomen gaan de providers op een gegeven moment wel ingrijpen,

Dit soort aanvallen zijn er al 20 jaar. Providers doen er al van alles aan. Maar het is gewoon een moeilijk probleem om op te lossen. Het is echt geen kwestie van "binnenkort zullen ze zich er opeens mee bezig gaan houden, en dan is alles zo opgelost".

Providers weten in principe precies waar de zombies zitten

Hoezo ?
En waarom gebruik je het woord "in principe". Het gaat hier niet om principes, maar om de praktijk.

Als een aanval gebruik maakt van source-ip-address spoofing (zoals reflection attacks doen), dan weet je in prinicipe helemaal niet waar de zombies zitten.
En als ze geen address-spoofing doen, maar gewoon 10k zombies overal op de wereld hebben, dan doe je ook niet echt veel. Ik las ergens dat de attacks vorige maand (op Krebs) van ruim 100k devices kwamen. Veel succes met je "in principe weten we waar ze zitten".

Zit je IP camera in een botnet, zodra hij actief wordt blacklist je provider het IPv6 adres en werkt je cam niet meer, en moet je zelf ingrijpen.

Het probleem is dat de zombies overal over de wereld zitten verspreid. En niet alle ISPs overal in de wereld de kennis of tijd of budget hebben om zich hier mee bezig te houden.

Dreamvoid @280562 • 22 oktober 2016 13:24

Natuurlijk weten ISP's waar de zombies zitten, die zien ineens duizenden DNS requests vertrekken vanaf bepaalde IP adressen in hun netwerk. Met NAT (de praktijk met ipv4) weet je niet hoeveel devices er achter een ip adres zitten, maar nu elk device een ipv6 adres heeft is het triviaal om als provider vrijwel direct die devices te blokkeren.

Het probleem is nu dat ze het niet boeit, maar ik zie op den duur wel gebeuren dat de rechtspraak zo'n houding niet meer accepteert.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 17:14]

kristofv @Dreamvoid • 24 oktober 2016 08:18

Het zal nog jaren en jaren duren alvorens ipv6 ook voor thuisnetwerken in voegen is + als consument is er uberhaupt niets dat mij verplicht om dat ook effectief ooit door te trekken naar mijin interne lan.

Elk device een publiek ip is een utopie en terecht, losstaande van het feit dat dit wel zou kunnen met ipv6 is dit vanuit een security standpunt wel het laatste dat we willen doen. Je vergroot de management mogelijkheden dat wel maar ook je attack surface wordt in één klap met een factor x vergoot.

dolaf @johanneslol • 21 oktober 2016 19:17

Het kan snel gaan als je ook CCTV's kan gebruiken om te DDoS'en.

Guru Evi @johanneslol • 21 oktober 2016 21:14

Eigenlijk niet zo groot. Het probleem is dat al die services dezelfde provider hebben: DynDNS. Om een of andere reden gaat Dyn plat en zijn alle services direct uit de lucht. De "cloud", waar alle services op dezelfde computer draaien.

xiphoid @johanneslol • 21 oktober 2016 21:11

Het botnet is relatief klein. Het is oa. door gebruik van IoT en amplified DDoS dat het effectief is. Ik heb enorme hoofdpijn, ik weet niet hoe ik het momenteel anders kan uitleggen. sorry.

280562 @xiphoid • 22 oktober 2016 04:01

In een van de artikelen die hier gelinkt zijn, werd uitgelegd dat de huidige aanvallen geen DNS-amplification attacks zijn.
https://blog.cloudflare.c...-coming-from-iot-cameras/
Het zijn layer-7-attacks. 2 miljoen http requests per seconde. Stel zo'n IoT device kan 100 requests per seconde genereren. Dan heb je toch 20k gehackte devices nodig.

[Reactie gewijzigd door 280562 op 22 juli 2024 17:14]

johanneslol @xiphoid • 21 oktober 2016 23:14

Ik weet vrij veel over dns enz dus ook de mogelijke aanval technieken. Toch moet dit een behoorlijk botnet zijn geweest ondanks die technieken.

Het is jammer dat DNS zo kwetsbaar is.

nullr0ute 21 oktober 2016 17:40

Wat zou de motivatie zijn geweest van de aanvallers?

supertheiz @nullr0ute • 21 oktober 2016 17:49

Op hn stond een link naar dit stukje: https://www.schneier.com/...6/09/someone_is_lear.html

Blijkbaar is iemand aan het oefenen...

Anoniem: 160587 @nullr0ute • 21 oktober 2016 17:50

Een heleboel grote websites / services onderuit helpen? :-) (Twitter/Github/Soundcloud/Spotify etc.)

280562 @nullr0ute • 21 oktober 2016 17:59

Niemand die het weet. Het zou me verbazen als het de Russen of Chinezen hebben. Die hebben 1) wel wat beters te doen, en 2) die gaan geen slapende honden wakker maken. Als je techniek aan het bouwen bent om het Internet down te brengen, dan ga je niet vooraf al laten zien wat je kunt (en hoe je het doet).

Misschien is het afpersing. Misschien is het wraak. Dat gebeurt vaker.

[Reactie gewijzigd door 280562 op 22 juli 2024 17:14]

monojack @nullr0ute • 21 oktober 2016 18:57

Donald Trump is het beu en is in volledige meltdown gegaan?

ToolBee @nullr0ute • 21 oktober 2016 22:55

Misschien gewoon een testrun. Voor een "knop" die "lastige (westerse) websites" uit kan zetten. Een code-knop, danwel.
Genoeg leiders/criminelen (comibi mag ook...) die zoiets willen hebben, en daar dollars/bitcoin aan willen spenderen... veel...
Zou mij, als ik hacker was, ook motiveren...

ManIkWeet 21 oktober 2016 23:35

Ze zouden toch eens moeten proberen een beter alternatief te maken voor DNS servers, dit is namelijk een ''single point of failure" voor het civiele internet...

Een leuk voorbeeld zou de afhankelijkheid van één DNS server vervangen door 10 verschillende servers al een groot verschil kunnen maken... Maarja dan is er het probleem dat de master-server (waar de 10 andere servers van kopiëren) aangevallen kan worden...

Carharttguy @ManIkWeet • 21 oktober 2016 23:49

Het is perfect mogelijk om meerdere DNS servers in te stellen. Het is gewoon een kwestie dat OS'n er wat meer standaard ingebouwd zouden moeten hebben.

ManIkWeet @Carharttguy • 22 oktober 2016 11:57

Ik kan in Windows niet meer dan 2 DNS servers instellen, veel mensen weten niet eens dat het bestaat...

Carharttguy @ManIkWeet • 22 oktober 2016 12:02

Je kan er wel meer dan 2 instellen. TCP/IP -> advanced -> DNS Tab.
Maar je hebt gelijk, dat is geen zorg voor de mensen, daarom dat ik zei dat OS boeren misschien maar wat meer 'standaard' servers moeten toevoegen.

Hoewel dat ook weer veel discussie zal teweegbrengen, want niet iedereen wil bvb de DNS servers van Google gebruiken (ook niet in back-up situaties)

Anoniem: 668730 @ManIkWeet • 22 oktober 2016 08:41

Dyn heeft ook echt wel meer dan 10 servers. Dat je maar een handje vol IP adressen ziet komt omdat ze anycast gebruiken.

ManIkWeet @Anoniem: 668730 • 22 oktober 2016 11:57

Dat snap ik, maar de DNS instellingen liggen voornamelijk bij de eindgebruiker...

The Wizard Moderator Mobile 21 oktober 2016 18:36

Het is een behoorlijke aanval, er is een serieuze dip op de AMS-IX zichtbaar: https://ams-ix.net/technical/statistics en ook bij NL-IX: https://www.nl-ix.net/network/traffic/

De KPN DNS was ook slecht te gebruiken, nu Open DNS ingesteld, nu zijn wel meer sites (maar nog niet alles) goed te bereiken.

WhatsappHack

Internet
Netwerk en systeembeheer
Ddos

@The Wizard • 21 oktober 2016 21:52

Die dips vallen toch heel erg mee? Zo'n 50 a 100GBit. Redelijke traffic dip, maar niet extreem wereldschokkend.

The Wizard Moderator Mobile @WhatsappHack • 21 oktober 2016 21:57

Toen ik dit bericht plaatste was de lijn nog steeds dalende. Daarnaast is het een behoorlijke impact als je er vanuit gaat dat veel devices nog gebruik maakte van hun DNS cache.

monojack @The Wizard • 21 oktober 2016 22:05

Ik zou zelfs zeggen een ongeziene aanval. Zoets heb ik nog niet meegemaakt. Het begint bijna op die South Park aflevering 'Over Logging' te lijken

Terrestrial 22 oktober 2016 01:08

ik snap niet helemaal waarom dit nu zo'n impact moet hebben. We hebben een heel gedistribueerd dns systeem en hoezo hebben ddos aanvallen op een dyndns aanbieder dan impact op het hele dns gebeuren?

Dat kan alleen als Dyn(dns) de DNS beheren voor al die specifieke sites/diensten. Je zou toch verwachten dat zulke kritieke infrastructuur op z'n minst ddos beveiliging heeft. Zeker als het grote klanten betreft. Ook upstream aanbieders kunnen prima dit soort amplificatie attacks blokkeren dus vette dikke knoei boel daar.

Dan nog.. de IP-adressen zitten nog in miljoenen dns-servercache wereldwijd dus je zult er weinig van merken. En dat doe ik ook niet. Want alle genoemde sites werken prima hier.

280562 @Terrestrial • 22 oktober 2016 04:25

ik snap niet helemaal waarom dit nu zo'n impact moet hebben. We hebben een heel gedistribueerd dns systeem en hoezo hebben ddos aanvallen op een dyndns aanbieder dan impact op het hele dns gebeuren?

Grote diensten doen meer met DNS dan alleen maar een ip-adres terug geven. Ze bepalen ook naar welke server je gestuurd wordt. En nog meer complexere dingen.

Als je je DNS-service zelf doet, moet je dat allemaal zelf regelen. Inclusief je secondary name-servers die je eigenlijk verspreid over de wereld moet hebben. Als je voor je DNS een dienst inhuurt, wordt het allemaal makkelijker. En op een bepaalde manier ook robuster. Als je 2 diensten wilt inhuren, dan wordt alles opeens een stuk complexer. Die 2 dienstverleners (die ook nog eens directe concurrenten zijn) kunnen misschien niet eens samenwerken.

Je zou toch verwachten dat zulke kritieke infrastructuur op z'n minst ddos beveiliging heeft.

Makkelijker gezegd dan gedaan. Sommige van de infrastructuur/diensten waar we het over hebben (zoals bv CloudFlare) *zijn* *zelf* de ddos beveiliging.

Ook upstream aanbieders kunnen prima dit soort amplificatie attacks blokkeren dus vette dikke knoei boel daar.

Daar ben ik niet zo zeker van.

Dan nog.. de IP-adressen zitten nog in miljoenen dns-servercache wereldwijd dus je zult er weinig van merken. En dat doe ik ook niet. Want alle genoemde sites werken prima hier.

Klopt. Gedeeltelijk. Maar de meeste TTLs staan op 24 uur. Dus als de attacks door blijven gaan, dan wordt het morgen helemaal lachen. Bovendien, ook als TTLs op 24 uur staan, er is genoeg software (browsers, OS, etc) die helemaal niet naar die TTLs kijken.

280562 21 oktober 2016 18:25

De attack is weer terug.

Alles wat nog in je DNS cache zit, is nog steeds bereikbaar. Maar als het niet in je DNS cache zit, kun je hostnames/urls niet meer resolven naar IP adressen. Ik zag net dat ik bv niet meer naar http://pic.twitter.com kan komen. Als dit meer dan 24 uur aanhoudt, dan zullen DNS servers hun gecachte entries er uit gooien, en geen nieuwe entries meer kunnen installeren.

Meer info:
http://www.latimes.com/bu...-20161021-snap-story.html
Sites die geraakt worden: Twitter, SoundCloud, Spotify, Boston Globe, New York Times, Airbnb, Reddit and Github.

Edgarz @280562 • 21 oktober 2016 20:07

Hmmm, NYT...waren die niet degenen die de video's van Trump's groping bekend maakten? Zou een potentieel doel kunnen zijn....

DarkForce 21 oktober 2016 19:53

De impact is groter dan Dyn eigenlijk naar buiten heeft gebracht via de status updates.

Naast Twitter, Reddit, Soundcloud en GitHub zijn (waren) ook sites als Paypal, HBO Go, CNN, Pinterest etc. onbereikbaar. Bron.

iboowtje 21 oktober 2016 20:11

Gebruik maken van OpenDNS kan gedeeltelijk de problemen verhelpen.
Primair:208.67.222.222
Secundair:208.67.220.220

Zuurpruim @iboowtje • 21 oktober 2016 20:26

Ja, die werken, hier Github onbereikbaar via opennic

hulseman 21 oktober 2016 20:56

Als je de lijst ziet met bedrijven (en dit is natuurlijk pas een selectie van de biggest), dan moeten er nu toch miljoenen zo niet miljarden verdampen? Wat als twitter het hele weekend op zwart gaat, dan lijkt het mij sterk, zeker met de tegenvallende gesprekken met overnames dat ze het einde van het jaar halen..

Ik denk dat dit een van de grootste cyberaanvallen ooit is, in iedergeval kwa impact. Dit laat tevens goed zien hoe kwetsbaar het internet eigenlijk is, maar ook onze hele samenleving, welke steeds meer afhankelijk wordt van internet.

Als ze dit plat kunnen krijgen, dan is het een kleine stap om bijvoorbeeld banken en media plat te gooien

Lijstje met de biggest:

Etsy
Twitter (Tweetdeck is also down)
GitHub
SoundCloud
PayPal
Netflix
Vox Media (Polygon, The Verge, ReCode)
Spotify
Quora
Box
Pinterest (seems to be back up)
Wikia
Shopify.com

En niet te vergeten http://www.rtlnieuws.nl/

Op dit item kan niet meer gereageerd worden.

Populaire sites tijdelijk onbereikbaar door ddos op DynDNS - update 3

Lees meer

IT-banen

Reacties (139)

Sorteer op:

Weergave: