Storing door ddos-aanval treft na ABN Amro en ING ook Rabobank - update - IT Pro - Nieuws

Na ABN Amro werd ook ING zondagavond getroffen door een ddos-aanval. Inmiddels zijn de aanvallen voorbij en zijn de apps en sites van alle grote banken weer beschikbaar, zo melden zij. Ook Tweakers kreeg te maken met de grootste ddos-aanval tot nu toe.

Nadat ABN Amro vanaf zaterdagochtend met een aanval te maken kreeg, gingen de site en apps van ING, de bank met de meeste klanten in Nederland, op zondagavond ook offline. De bank liet al snel via Twitter weten dat het ook ging om een ddos-aanval. De storing was even na middernacht voorbij.

Het is onbekend waar de ddos-aanval vandaan kwam en waarom de aanvaller of aanvallers het had voorzien op de sites en apps van banken. Klaas Knot, directeur van De Nederlandsche Bank, zei in tv-programma Buitenhof dat zulke aanvallen elke seconde plaatsvinden. Het is niet duidelijk wat de aanval op ABN Amro en ING onderscheidde van andere ddos-aanvallen, waardoor deze wel succesvol was.

Ook Tweakers kreeg te maken met de zwaarste ddos-aanval tot nu toe. De aanval kende pieken, waarbij het verkeer 25Gbit/s bereikte. Tweakers kan door de aanval vanuit het buitenland nog af en toe slecht bereikbaar zijn, maar was zondag vanuit Nederland wel goed te bereiken.

Update, 10:49: Rabobank heeft maandagochtend problemen, erkent de bank. De bank zegt dat het om een ddos-aanval gaat.

Lees meer

IT Banen

Deel je skills voor jouw droombaan Meld je aan!

Reacties (186)

B00st3r
29 januari 2018 12:41

Belastingdienst is ook getroffen door een DDoS aanval.

https://nos.nl/artikel/22...fen-door-ddos-aanval.html

53645714n
29 januari 2018 07:16

Wat ik eng en raar vind is dat we bijna nooit horen wie of wat erachter zit, om van het waarom nog maar niet te spreken.
Is het terreur? Is het oorlogvoering? Doen “wij” dit ook?

Het begint wel beangstigende vormen aan te nemen.

JurGor
@53645714n • 29 januari 2018 09:51

Niet doen. Niet bang worden. Er wordt voortdurend ge-ddost, in kleinere en grotere omvang, op oudere en nieuwere manieren. Door jochies op kun kamertje, door kwaadwillende volwassenen en ja, ook door groepen in dienst van landen.

Ik denk niet dat terreurgroepen zich heel actief met doss bezig houden, want achter een toetsenbord wordt je toch geen martelaar en er vloeit geen bloed bij een dddos, dus tja... boeiuh? Terreurgroepen vinden het internet volgens mij vooral interessant als propagandamiddel en communicatiemogelijkheid.

Maar ddos-en gebeuren 24/7, 365/jr, de hele tijd. En dus wordt er continu tegen bewaakt. Alleen al het simpele gegeven dat digitale diensten als banken eigenlijk altijd werken geeft aan hoe succesvol dat bewaken is. Maar ja, soms gebruiken ddos-ers een nieuw techniekje of tappen ze een nieuw extra groot botnet aan en dan hikt het even. Sleutelwoord: even. In dit geval kan je nou eens -wel- vertrouwen op marktwerking. Want reken maar dat Rabobank er nu alles aan gelegen is om de digitale dienstverlening weer stabiel te krijgen.

En die groepen in dienst van landen, die houden elkaar zo goed in de gaten. Soms weten ze zelfs exact waar de ander mee bezig is (zie laatste succes AIVD). Maar sowieso herkennen ze elkaars hand in dingen. Dus iedere groep past er wel degelijk voor op om iets te doen wat politieke/diplomatieke consequenties heeft voor het land. Je laat wel bommenwerpers die kernbommen kunnen vervoeren langs een land vliegen, maar geen kernbom op het land zelf vallen, dat idee. Dreigend gedrag kan net, echte aanval kan niet. In elk geval niet zonder hele vervelende consequenties. Actie = -reactie.

Als je je bang laat maken, is de volgende stap dat je maatregelen gaat vragen van onze regering die uiteindelijk jouw en mijn privacy verminderen. Dat is nogal wat. Vraag je af of dat echt nodig is, vanwege een avondje dat je even je bankzaken niet zo soepeltjes kon regelen.

Barcht
@JurGor • 29 januari 2018 13:25

Je definitie van 'terreur' is nogal beperkt. Het gaat bij terreur niet in de eerste plaats om het vloeien van bloed maar juist om het zaaien van angst.
En daar slagen de daders van deze aanvallen dus best in gezien de post van @53645714n waar je op reageert.
Op dit moment zijn het niet alleen de banken, maar heeft de Belastingdienst het ook moeilijk. Dit is eersterangs pesten, en valt wat mij betreft ook binnen de definitie van terreur. Als ze kans zien om op zo'n forse schaal belangrijke economische spelers te treffen, is dat best wel het vertoon van spierballen.

JurGor
@Barcht • 29 januari 2018 13:57

Het gaat bij terreur inderdaad om het zaaien van angst. En bij een hele bevolking doe je dat door het laten vloeien van bloed, liefst van zoveel mogelijk onschuldige burgers in een prominente hoofdstad. Met dit ddos-en maak je geen hele bevolkingen bang. Terreur laat ook altijd zijn gezicht zien, onthult zijn identiteit: "dit is gedaan uit naam van". Dus ik blijf erbij: dit is volgens mij geen terreur.

Kunnen het aan Rusland gelieerde groepen zijn? Kan, bij wijze van plaagstootje. Maar het kan net zo goed een over de pis gehaalde cybercrimineel zijn, die zwaar onder de korrel ligt en nu NL terugpakt. Of een gefrustreerde meer dan gemiddeld handige IT-er met een psychisch complex of een schurfthekel aan banken die zich eventjes God wil voelen.

Of het nou echt vertoon van spierballen is. Hmm... Daarvoor weet ik te weinig van de manier waarop deze aanvallen plaatsvinden. De belastingdienst had het er nu even moeilijk mee. Maar de nadruk ligt toch echt op even. Ging om 10 minuutjes slechte bereikbaarheid. Niet eens 10 minuten volledig plat. Eerlijk gezegd verbaast het me dat dit in het nieuws komt. Is dat echt nieuwswaardig? Volgens de woordvoerder van de Belastingdienst zijn dit soort storingen in elk geval niet uniek.

Ik zou zeggen dat de aanval op de Belastingdienst van een andere, kleinere orde is en niet samenhangt met de wat stevigere aanvallen op de banken. Die waren wel degelijk van wat grotere orde. Niets nieuws onder de zon, want in 2013 was er al eerder zo'n aanval. Maar zwaar genoeg om de banken te bewegen om een tandje bij te zetten.

batjes
@JurGor • 29 januari 2018 14:04

Als kritieke diensten zoals betaaldiensten of overheidsdiensten plat komen te liggen. Reken maar dat een groot deel van het land acuut in paniek raakt.

Gezien meerdere banken en de overheid geraakt worden, zal het me niets verbazen als er een buitenlandse groepering achter zit en dat ons land momenteel getest wordt op onze internet beveiliging.

Of het is een afleiding.

Juliuth
@JurGor • 29 januari 2018 14:04

Wat een onzin, tuurlijk maak je wel een groep mensen bang nu. Er zijn ook zat mensen die in ik zeg wat Limburg wonen en dan geen fuck geven als er een of andere gekkie in Amsterdam om zich heen aan het steken is. Ik denk dat het op lange termijn evenveel (dan wel niet meer) angst kan zaaien dat mensen niet meer bij hun geld kunnen dan als er 50km+ verderop mensen aangevallen worden. Dit is een landelijk iets in plaats van regionaal.

JurGor
@Juliuth • 29 januari 2018 14:18

Bang voor wie? Als je aan die terreur geen duidelijke daders kan koppelen, is het toch lastiger vrezen hoor.

En inderdaad, een groep mensen wordt bang van deze gebeurtenissen. Slechts een groep, meer niet. Ik moet de eerste witte mars nog zien die gehouden wordt voor een ddos. Terreurdaden raken mensen op een ander niveau, meer door alle lagen van de bevolking heen, dieper in de onderbuik. De reacties op terreur zijn dus ook van een ander niveau, heftiger, emotioneler.
Nogmaals, dit was volgens mij geen terreur.

Juliuth
@JurGor • 29 januari 2018 16:23

Volgens mij ben jij ook iemand die ontkent dat het terreur is, als na een aanslag zoals in Las Vegas, geen organisatie het claimt. Dit is wel degelijk terreur. Ik snap dat dit van een totaal ander kaliber is en niet perse te vergelijken met de angst die mensen voelen na een bloedbad o.i.d, maar naar mijn mening kan ook dit onder de noemer "terreur".

Barcht
@JurGor • 29 januari 2018 14:41

Nee, heus, bloed is geen noodzakelijk ingrediënt van terreur. Ook hoef je beslist het 'gezicht' van de dader er niet bij te krijgen. Denk bijvoorbeeld aan het laten verdwijnen van mensen, zonder enig spoor, zonder een briefje waarin een of ander ploegje de daad 'opeist'. Dat is terreur in optima forma.
Het zaaien van angst is het enige werkelijke kenmerk van terreur. Zinloos bloedvergieten kán een middel daartoe zijn, maar het is echt geen noodzaak.

kajdijkstra
@JurGor • 29 januari 2018 12:13

Misschien is het ergens zelfs goed, want moet je voorstellen dat dit soort aanvallen nooit zouden worden gedaan op deze kleine tot middelmatige schaal. Dan zou een grote (terroristische) aanval als donderslag bij heldere hemel een desastreuze werking kunnen hebben. Soms is het goed dat we een beetje bang worden gemaakt.

JurGor
@kajdijkstra • 29 januari 2018 14:06

Angst is een slechte raadgever.
De banken zijn ook niet ineens geschrokken nu. Die wisten dat deze dag eraan zat te komen. Het is een digitale wapenwedloop en op een gegeven moment ga je aan de beurt komen.
Dit weekend was het zover. En de digitale dienstverlening van de banken kraakte en piepte behoorlijk. Maar ging niet helemaal kopje onder. Aanval afgeweerd. Eigenlijk wellicht dus best een aardige prestatie van de banken? Tuurlijk, geen perfecte verdediging, maar toch.

SLC
@JurGor • 29 januari 2018 12:04

Hmm, het is de afgelopen week toch wel een graadje erger dan gemiddeld, wat dus nogal opmerkelijk is qua timing. Neem daarbij het feit dat Putty inmiddels opmerkelijk veel overlast begint te krijgen vanuit het mini Nederland (MH17 / Oekraïne / AIVD) en een geëxtrapoleerde conclusie kan zomaar zijn dat hij nu onze bankjes aan het terug pesten is.....(je weet wel je tegenstander treffen daar waar het pijn doet $$$).

0xygen500
@JurGor • 29 januari 2018 12:50

Leuk dat je AIVD succes aanhaalt, maar dat is volgens mij gewoon propaganda van NL voor de sleepwet.

JurGor
@0xygen500 • 29 januari 2018 14:01

Denk jij dat de AIVD voor hun succes een sleepnet hebben gebruikt dan?

Ik denk van niet. Als een sleepnet het geheim van dat succes was geweest, hadden de Amerikanen waarschijnlijk dit succes behaald en niet wij.

0xygen500
@JurGor • 29 januari 2018 14:05

Ik denk het niet, maar dat wil meneer rutte ons wel doen geloven dat we die wet nodig hebben.

jpsch
@JurGor • 29 januari 2018 19:26

Grote test gaan natuurlijk de IoT apparaten worden.
Straks hangen miljarden apparaten aan internet.
IoT moet goed over nagedacht worden.

Ursamajor
@53645714n • 29 januari 2018 07:22

Dat is ook lastig te onderzoeken. De connecties komen vaak uit verschillende landen van verschillende machines en hebben ook niet echt een bepaald kenmerk om het te herkennen.
Voor hetzelfde geld heeft jouw pc ook dmv besmetting meegedaan aan de aanval. Wie zal het zeggen...

MCP cloud
@Ursamajor • 29 januari 2018 07:45

'Goede DDoS-aanval bijna niet te voorkomen'

https://www.bnr.nl/player/audio/10076591/10338846

mkools24
@MCP cloud • 29 januari 2018 08:32

Hoe doen de Google's en Facebooks van de wereld dit dan, ik kan me voorstellen dat dat grote doelwitten zijn. Of hebben die gewoon belachelijke servercapaciteit waar niets tegen te beginnen is.

Hoe dan ook zeker de banken zouden voldoende geld moeten hebben om zich hier tegen te wapenen. De technologie om er iets tegen te doen is er allang maar de investeringen worden vaak niet gedaan.

EdvanAl
@mkools24 • 29 januari 2018 08:35

---
De technologie om er iets tegen te doen is er allang maar de investeringen worden vaak niet gedaan.
---

huh???

mkools24
@EdvanAl • 29 januari 2018 09:09

Hoezo huh? Er zijn genoeg providers oa. OVH en Cloudflare die vrijwel niet plat te krijgen zijn.

xbeam

@mkools24 • 29 januari 2018 09:44

Een dienst als cloudflare gaat een bank NOOIT gebruiken. Ze geven dan ook hun beveiligings certificaten uithanden en kunnen dan nooit gerarenderen dat je veilig kan betalen.

mkools24
@xbeam • 29 januari 2018 10:38

Je kunt wel je eigen certificaten gebruiken Bij Cloudflare, maar ik haalde het meer aan als voorbeeld dat er wel degelijk oplossingen zijn tegen DDoS aanvallen en OVH en Cloudflare zijn hele goede voorbeelden dus zoiets is in Nederland ook wel op te zetten. Banken zouden zoiets bijv gezamenlijk kunnen doen.

Somoghi
@mkools24 • 29 januari 2018 11:43

Zodra de oplossing minder kost als de schade zal er wel toe overgegaan worden. Betalingen wil je graag zelf in de hand houden, daar moet geen cloudflare of andere cdn tussen. Statische data heb je met de betalingen an sich natuurlijk ook niet. Ik mag aannemen (zou wel heel slecht zijn als het anders is) dat ze de opties die jij hebt op je enkele server, allang bekeken hebben.

mkools24
@Somoghi • 29 januari 2018 12:16

Daar ga je dan vanuit, maar huren ze bijv zelf ook booters om aanvallen te simuleren? Of kopen ze ddos diensten op darknet? Dat zijn dingen die ik allemaal heb gedaan. Dus meer preventief. Ik kan er niks van zeggen he, maar ik heb het idee dat het vaak bij DDoS aanvallen zo is van ok zolang er geen is hoeven we ook niks te doen en komt het dan zien we wel verder, dus een beetje symptoombestrijding.

Je moet je ook bedenken dat de infrastrucuur van banken vrij complex is dus je bent niet zo flexibel om zo maar even wat firewalls aan te passen of bijv Apache te vervangen door nginx, ik noem maar iets. Vaak is er change management en zijn er procedures.

Maar als je gewoon de aanval kopieert, of zelf aanvallen initieert op een geisoleerde omgeving kun je al heel veel leren en heel veel preventief oplossen.

EdvanAl
@mkools24 • 29 januari 2018 09:17

Tuurlijk joh.
Ik laat het er maar even bij want jij bent er van overtuigd dat het allemaal te voorkomen is met jouw genoemde oplossingen en dat het dus onwil is van in dit geval banken om geen investeringen te doen ???

En dat tooling goed voor een provider ook de juiste is voor een financiële sector. (Niet dus)

En dat na deze investeringen dit soort gebeurtenissen tot het verleden behoren?

De meeste aanvallen worden ook afgeslagen middels tooling. Echter...
Het is niet zo eenvoudig om dit voor 100 procent op te lossen zoals jij doet vermoeden

Daarbij ben je er dus ook al van overtuigd dat banken hier geen investeringen in willen doen en al hebben gedaan

[Reactie gewijzigd door EdvanAl op 29 januari 2018 10:16]

mkools24
@EdvanAl • 29 januari 2018 10:39

Ik spreek idd uit ervaring want ik word al 5 jaar lang geddost. Ik host bij OVH en die hebben een prima DDoS oplossing. Verder heb ik een iptables script en firewall settings waar je eng van wordt, die zo'n beetje elke aanval detecteren en afvangen en sindsdien word ik ook niet meer geddost omdat de aanvallers weten dat het toch geen zin heeft.

Het is maar net hoeveel tijd, geld en moeite je erin steekt maar voor alles is een oplossing. Maar banken willen er geen geld in steken, ze wachten eerst tot het vaak genoeg fout gaat en gaan dan pas iets doen.

EdvanAl
@mkools24 • 29 januari 2018 10:44

Stuur je zo een PB

Wel eens gedacht dat het minder interessant is om jouw als provider dwars te zitten dan de 3 grootste banken van Nederland?

Geloof me als ze willen dan zijn jouw scriptjes ook niet voldoende

Enig idee hoeveel van dit soort aanvallen wel succesvol worden afgeslagen??

[Reactie gewijzigd door EdvanAl op 29 januari 2018 11:43]

Tombastic
@mkools24 • 29 januari 2018 11:43

"Verder heb ik een iptables script en firewall settings waar je eng van wordt, die zo'n beetje elke aanval detecteren en afvangen en sindsdien word ik ook niet meer geddost omdat de aanvallers weten dat het toch geen zin heeft." Dit is nutteloos, aangezien je met een DDoS-flood je machine direct bereikt. Het kan helpen tegen een kleine DoS.. Je bent afhankelijk van de spullen die vóór je server staan en zijn geconfigureerd.

Het voordeel van OVH is udp L7 protectie, ze kunnen inderdaad veel meer aan dan alle andere datacenters en netwerken wereldwijd. OVH ziet dit namelijk als een verplichting. We kunnen op dit moment niet meer zonder DDoS bescherming in de zakelijke wereld. Vorig jaar zijn de prijzen van de meeste servers hiervoor aangepast en dus verhoogd.

Dit zou een oplossing kunnen zijn voor banken.. Overal Tilera, Arbor of Arista spul neerplanten en een groot 10tbit netwerk creeren. Maarja, het is niet goedkoop

ook voor banken niet.

[Reactie gewijzigd door Tombastic op 29 januari 2018 11:51]

mkools24
@Tombastic • 29 januari 2018 12:22

Op een endpoint zelf ga je inderdaad niet veel kunnen doen, maar het is erg lastig om een L7 aanval uit te voeren die ook nog eens heel je bandbreedte opslokt. Dus een soort L4/L7 combinatieaanval is vrij complex. Meeste L7 tcp is dus wel redelijk eenvoudig te blokkeren met bijv fail2ban of connectielimieten in te stellen in je webserver software of een combinatie daarvan.

Voor Layer 4 moet in principe je pijp gewoon dik genoeg zijn, meer niet of moet je het wegfilteren voor het jouw infrastructuur bereikt maar dat bestaat in NL ook al (DDoS wasstraat).

Ik ben wel benieuwd wat je verstaat onder Layer 7 udp?

Tombastic
@mkools24 • 29 januari 2018 12:34

Ik versta onder UDP, exploits op applicatielevel. Denk aan gamingservers, hostingproviders etc. met foutieve code. Het is een tijd terug, maar UDP kan geen garantie geven dat de packets ook echt aankomen, maar door te filteren op het kritieke stukje (hex)code kun je de problemen voorkomen. Een DDoS hoeft dus ook niet echt een lijn vol te stampen, het kan natuurlijk ook een applicatiebug zijn.

Update:
OVH maakt dit op maat zoals je misschien weet voor de gaming series. Dit is puur gericht op de incoming packets (TCP/UDP).

[Reactie gewijzigd door Tombastic op 29 januari 2018 12:36]

mkools24
@Tombastic • 29 januari 2018 12:51

Ik doe dit zelf handmatig met iptables, filteren op hex codes en kmp algortime en de OVH variant staat uit anders leer ik zelf niks

Ook filter ik op raw level en zet ik connection tracking uit voor UDP paketten in die range anders staat je cpu constant op 100%.

Maar UDP L7 geldt dus enkel voor game servers, bij een bank gaat het om web servers en die kun je enkel aanvallen met TCP L7 en dat is een heel stuk eenvoudiger te filteren omdat TCP vrijwel niet te spoofen valt. Dus dan zet je er een connection limiter in of je blackholed IP adressen die naar jouw mening iets te vaak verbinding maken met bijv fail2ban dus die worden genulled voor ze jouw web server kunnen overbelasten.

En de grootste TCP layer 7 aanval die ik gezien heb op mijn systemen was ongeveer 200 mbit. Dus het is erg lastig om met TCP veel verkeer te veroorzaken vaak is het enkel UDP.

Tombastic
@mkools24 • 29 januari 2018 13:01

OVH heeft hier hardware voor en jij niet. Een hexcode in iptables toevoegen is niet zo spannend, daarnaast moet je bij zo'n dergelijke aanval alsnog het verkeer kunnen herleiden, dat kun jij ook niet. Het is wel leuk, die 2% extra bescherming van je machine. Maar dit is vaak wel iets groter...

Ik zou niet durven zeggen wat voor aanvallen dit zijn bij de banken, maar het lijkt eerder op een flood, dan een exploit. Dus bandbreedte, dus weer layer 4.

TCP-spoofing is gewoon mogelijk, afhankelijk van het protocol daarboven.

[Reactie gewijzigd door Tombastic op 29 januari 2018 13:04]

mkools24
@Tombastic • 29 januari 2018 13:06

Ik gebruik ook OVH voor de Layer 4 aanvallen, maar L7 filter ik op de machine, tot zo ver gaat dat prima maar voor het de machine bereikt filteren is natuurlijk altijd beter maar het probleem is dat ik niet kan zien wat die OVH game firewall allemaal doet ik vertrouw liever op mezelf.

En ik denk niet dat het Layer 4 is dan hadden ze dat al wel gestopt toch? Het zal wel een combi zijn van slowloris, L7 en L4. Vaak sturen die aanvallers alles erheen wat ze hebben.

Tombastic
@mkools24 • 29 januari 2018 14:15

Slowloris is voor kiddies. Dit gaat over botnets.

mkools24
@Tombastic • 29 januari 2018 14:16

Het is één van de technieken. En dit zijn kiddies, feit dat ze hysterisch switchen van ING naar ABN naar Rabo naar de belastingdienst zegt al genoeg. Verveelde pubers hunkerend naar aandacht.

Kees
@mkools24 • 29 januari 2018 09:18

De enige manier om je er tegen te beschermen is gewoon een dikkere pijp te hebben dan de aanvaller of de aanval heel snel eruit kunnen filteren (maar daar heb je ook een dikke pijp voor nodig)

GrooV
@Kees • 29 januari 2018 11:23

Nee de enige manier om je er tegen te beschermen is om je netwerk serieus te nemen en dit ook te testen.

Dit doe je door inderdaad een dikke pijp te hebben maar ook een geografisch netwerk te hebben met bijvoorbeeld Anycast. Fatsoenlijke ratelimiting te hebben op je webservers en absoluut GEEN serverside gegenereerde plaatjes te hebben (zoals de rabo heeft bij het inloggen).

Als dit allemaal te ingewikkeld is dan moet je dit gewoon uitbesteden, er zijn zat Europese hosters die DDoS bescherming kunnen bieden. En ook als je genoeg investeert kan je het zelf, kijk naar OVH wat eigenlijk een budget hoster heeft maar wel een met een van de beste DDoS bescherming

De grote jongens zoals Netflix, Facebook en Google hebben hele teams die de hele dag bezig zijn met het netwerk onderuit te halen, van binnenaf en buitenaf.

Dat een bank misschien Cloudflare niet wil gebruiken kan ik me voorstellen maar zet dan met alle Nederlandse banken zo'n dienst op, desnoods met hulp van een grote partij in de NL hosting wereld. En als het dan nog te duur is, kijk dan naar Europa.

[Reactie gewijzigd door GrooV op 29 januari 2018 11:29]

JoannisO
@GrooV • 29 januari 2018 11:38

File serving hoeft niet een significante impact te hebben. De Linux kernel kan veel gevraagde bestanden cachen, bij voorbeeld. En via `sendto` kun je zonder de data te kopieren naar userspace het bestand serveren aan een client.

Mijn laptop kom laatst zo'n 2.5GB/sec aan files door het systeem pompen. Dit kostte bijna geen CPU power en maakte gebruik van `sendto`.

GrooV
@JoannisO • 29 januari 2018 11:45

Ik denk dat je zelf geen Rabobank gebruikt, de rabo genereerd een soort van zelf bedachte QR code wat een combinatie is van je rekeningnummer, pasnummer en tijd welke je dan moet scannen met je Reader apparaatje. Dit is dus niet te cachen omdat alles uniek is en cpu intensief omdat er een algoritme achter zit. Het hebben van plaatjes is inderdaad niet cpu intensief opzich, alleen heeft de Rabo het zichzelf moeilijk gemaakt. Dit is dan ook not done voor high traffic sites

[Reactie gewijzigd door GrooV op 29 januari 2018 11:46]

JoannisO
@GrooV • 29 januari 2018 11:58

Oh, dat plaatje

I stand corrected.

Kees
@GrooV • 29 januari 2018 19:47

Geografisch netwerk met anycast is gewoon een manier om van meerdere pijpen een hele dikke pijp te maken.

Serverside generated media kan prima, mits het snel is, je bij kan schalen en je het een periode cached.

mkools24
@Kees • 29 januari 2018 09:21

Bandbreedte is vaak geen probleem meer, Layer 4 aanvallen zijn redelijk makkelijk te herkennen en te filteren. Het zijn juist de Layer 7 aanvallen die het lastigste zijn, dat hoeft niet eens veel traffic te zijn maar ze zijn vaak direct gericht tegen de web servers en bedolven die onder wat allemaal lijkt op legitieme verzoeken.

Kees
@mkools24 • 29 januari 2018 09:23

Dat versta ik ook onder een dikkere pijp. En ook dat is vaak prima te filteren, ik ben nog geen ddos tegengekomen die niet te herkennen was.

xbeam

@Kees • 29 januari 2018 09:50

Wat hij zegt is juist tegen een slowlora ddos doe niets met dikkere pijp. Daarme kan een 128kbs internet verbinding een 10gbit server uit de lucht halen puur omdat het zorgt voor het vol lopen van het het server geheugen. Wat je dan doet is juist extreem langzaam contact houden met de server en dan echt op het randje van een time-out. En je zet netzo veel extreem langzame verbindingen op tot je aan de max van het aantal verbindingen zit dat de server software (layer7) aan kan.
Tegen een slowlora kan je niets doen alleen hopen dat je server niet de max uitvoerbare processen aan tikt

[Reactie gewijzigd door xbeam op 29 januari 2018 09:52]

Kees
@xbeam • 29 januari 2018 10:31

Er is genoeg tegen slowloris aanvallen te doen. En het is ook vrij makkelijk te detecteren aangezien dat soort aanvallen meestal maar vanaf een paar ip's afkomen.

mkools24
@Kees • 29 januari 2018 12:38

Slowloris is enorm lastig tegen te verdedigen. Maar ik zou om die reden altijd nginx gebruiken die er vrjwel niet vatbaar voor is.

JoannisO
@xbeam • 29 januari 2018 11:36

Niet correct. Een slowloris aanval kun je wel zeker tegenhouden, alleen inderdaad niet met een dikkere pijp. Dit doe je dan ook op applicatie niveau en vereist veel werk. In Vapor 3 werken wij hier bijvoorbeeld aan met een combinatie van reusable eventloops en reactive streams.

Voor elke virtuele core op je processor krijgt jouw applicatie een thread met een eventloop. Deze kan continu gebruikers verwerken en krijgt dan ook constant nieuwe clients aangewezen om voor te zorgen, zo ga je het thread limiet tegen.

Reactiveness gaat niet de gehele slowloris aanval tegen, maar wel een gedeelte er van. In plaats van te wachten op data, laten we de data op zijn natuurlijke tempo door het systeem stromen. Hierdoor word er ongeacht de data grootte 1, 2, 100 of 10'000 bytes gelezen, net zo veel als we binnen krijgen. Deze data verwerken we dan tot zoverre mogelijk, en we gaan verder bij het volgende packet.

De "ultieme" uitdaging is om een slowloris aanval te detecteren en de pijp helemaal 'dicht te knijpen' door de connectie te sluiten. Maar dit is een grotere uitdaging dan het waarschijnlijk waard is.

De bovengenoemde methode is niet perfect uitgewerkt, maar kan een behoorlijke aanval aan op mijn Raspberry Pi.

marteltor
@xbeam • 29 januari 2018 11:36

timeout setting korter instellen?

ApexAlpha
@mkools24 • 29 januari 2018 11:49

Kan een bank niet gewoon alle buitenlandse IP adressen over een apart netwerk sturen? Dan moet je, om het helemaal eruit gooien met een Nederlands botnet gaan werken en dat lijkt me sowieso al een stuk lastiger.

tweakradje
@ApexAlpha • 29 januari 2018 12:24

Heeft geen zin. Er worden bijvoorbeeld ook vaak lokale (time-)servers ingezet. Je kan je wel als land wapenen door servers die misbruikt worden buitenlands IP nummers te laten blokken. Zo zouden ook alle nederlandse time servers verbindingsverzoeken van buitenlandse IP nummers moeten droppen.
Om maar een voorbeeld te noemen.
Analyse van de aanval is belangrijk. Daar zou je iets mee kunnen doen. Mogelijk zelfs landelijk.

ApexAlpha
@tweakradje • 29 januari 2018 12:50

time server & DNS ip's kun je toch standaard droppen om amplified attacks tegen te gaan?

SSDtje

@mkools24 • 29 januari 2018 11:42

Dat heb je goed als ik de korte reactie van ABN Amro zelf erop na lees.
"During the weekend of January 27th, ABN AMRO has dealt with a number of DDoS attacks. During a DDoS attack an internet site is being flooded with large volumes of data requests, causing the server overload. De last attack has been countered and services like Mobile Banking, iDEAL and Internet Banking are available for clients. As usual the bank continues to monitor the availability of all systems and with additional attention after the attacks of this weekend. ABN AMRO apologies for all inconvenience caused.
Security of the payment infrastructure and client data has never been compromised in any form."

Voor zover ik verder kan zien is de ABN wel een gezonde bank als ik de cijfers er zo op na lees. De cijfers zijn vanaf september tot 31 december van afgelopen jaar, en zijn deze cijfers 19 januari van dit jaar naar buiten gebracht:

ABN AMRO Bank N.V. Key Figures:
(Mil. €) 2017

Adjusted assets: 404,041.0
Customer loans (gross): 274,825.0
Adjusted common equity: 18,458.0
Operating revenues: 6,605.0
Noninterest expenses: 3,929.0
Core earnings: 2,055.3

Zie het als een soort van eindejaarsopgave van een bank, en betreft in dit geval de ABN.
Data van ook de jaren daarvoor zijn hier te vinden voor de liefhebbers.

[Reactie gewijzigd door SSDtje op 29 januari 2018 12:32]

Tombastic
@mkools24 • 29 januari 2018 11:59

Bandbreedte is vaak nog wel het probleem, dat blijkt uit de IoT-aanvallen van vorig jaar! Layer 4 is net als Layer 7 nog steeds een probleem. Als je de spullen en capaciteit niet hebt, kun je de load niet verdelen en gaat het gewoon plat op de ouderwetse manier.

Mellow Jack
@mkools24 • 29 januari 2018 08:49

Denk dat je zwaar onderschat hoe vaak een bank word aangevallen... Je hoort het natuurlijk alleen als er iets offline gaat

bbob1970

Netwerk en systeembeheer

@mkools24 • 29 januari 2018 09:45

De server en netwerk capaciteit van facebook google is vele malen groter dan die van een bank, weet de verhouding niet eens maar bedenk zelf maar hoeveel gebruikers heeft een bank, paar miljoen en google/facebook, over de miljard.

xmenno
@mkools24 • 29 januari 2018 11:06

Zo doet Facebook dat:
https://www.usenix.org/co...rogram/presentation/shuff
Alleen een bank zit te klooien met F5 load balancers omdat de vendor ze heeft verteld dat ze dat nodig hebben met heel veel licenties en nog meer doosjes als ze meer capaciteit nodig hebben (is mijn mening, met wat ervaring). En na vele reorganisaties en outsourcen weten ze zelf ook niet meer wat ze doen.
Een bank is natuurlijk niet zo groot als een Facebook en met een wat beperktere doelgroep, maar hetzelfde idee zou je toe kunnen passen (als je opnieuw zou kunnen beginnen met ontwikkelen van alle applicaties

mkools24
@xmenno • 29 januari 2018 12:55

Interessant, F5 kom ik ook veel tegen ja en dan frons ik ook altijd even m'n wenkbrauwen als ik die oplossing zie.

Dat is het probleem met standaard oplossingen in niet-standaard omgevingen. Dat werkt gewoon niet.

xmenno
@mkools24 • 30 januari 2018 00:08

Het is op zich niet slecht, maar het schaalt beter als je het niet nodig hebt en gewoon ECMP op de switch kan doen.
Maar veel bedrijven hebben speciale scripts op die load balancers draaien waardoor je er niet makkelijk vanaf komt. Voor een bank zou het voor het grote publiek op zich niet zo moeilijk moeten zijn want je maakt de app en de website ook zelf. Dus dan kun je daar ook healthchecks inbouwen of dingen die je normaal in een iRule zou doen.

Byron010
@mkools24 • 29 januari 2018 16:16

Naast het feit dat ze enorm veel capaciteit hebben en ook de middelen om veel fake server request eruit te filteren, is het netwerk van google en facebook en andere enorme bedrijven zo opgesteld dat als je bijv google hier in nederland zou ddos'n, het overal in de wereld nog wel werkt. Het zijn eigenlijk lokale netwerken waardoor je dus eigenlijk onmogelijk HEEL google of facebook kunt ddos'n.

Edgarz
@Byron010 • 29 januari 2018 20:18

Een groot gedeelte van het Google netwerk tussen geografisch gespreide datacenters is daarnaast een intern netwerk dat met proprietary protocollen beveiligd is.

Edgarz
@mkools24 • 29 januari 2018 13:15

Dat soort partijen hebben niet te maken met de regels die voor Nederlandse banken gelden en hebben hun server en datacapaciteit globaal verspreid. Banken in NL kunnen dat helaas niet zo inrichten. Wettelijke beperkingen.

mkools24
@Edgarz • 29 januari 2018 13:23

Ik haalde het aan als voorbeelden maar dat schijnt toch ontzettend lastig te begrijpen te zijn voor sommige mensen. Je kunt toch de techniek die zij toepassen ook op je eigen systemen toepassen, ik zeg niet dat je daar moet gaan hosten. Ik snap ook wel dat een bank dat niet kan

Edgarz
@mkools24 • 29 januari 2018 17:04

De 'techniek' is juist fysieke geografische spreiding en daarop toegespitste infrastructuur. Dus licht dan eens toe hoe een bank dat, met inbegrip van de van toepassing zijnde regelgeving, zou kunnen gebruiken...

mkools24
@Edgarz • 29 januari 2018 17:40

Dat is één oplossing er zijn er meer. Maar je kan bijv je web servers geografisch spreiden zolang je data dan maar in Nederland staat.

Edgarz
@mkools24 • 29 januari 2018 20:15

Regelgeving betreft niet alleen dataopslag. Ook via welke kanalen het getransporteerd wordt. Dus no go....

Als het zo makkelijk was, hadden banken dit allang gedaan.

[Reactie gewijzigd door Edgarz op 29 januari 2018 20:16]

mkools24
@Edgarz • 29 januari 2018 20:45

Blijkbaar ken jij de regels van buiten. Dus mag ik ook in de VS niet op mn bankaccount in NL inloggen?

Edgarz
@mkools24 • 29 januari 2018 20:47

Ja hoor dat mag gewoon. Maar daar zijn de regels ook niet op van toepassing. Da's geen bank infrastructuur.

En ja, ik ken de regels aardig.

mkools24
@Edgarz • 29 januari 2018 20:54

In dat geval zou je load balancers in DCs door heel NL moeten zetten zodat de aanval verdeeld wordt maar dat wordt wel een heel kostbare oplossing.

Hoe gaat het filteren nu dan, gewoon IPs blocken bij de uplink provider?

Edgarz
@mkools24 • 29 januari 2018 21:06

Weet je hoeveel een DC kost?

Nog afgezien van hef feit dat LB geen oplossing is tegen zulke hoeveelheden data en aanvalsvormen. Die hoeveelheden knallen simpelweg je CPU's eruit. En 1000 webservers neerzetten is ook geen realistisch oplossing: er is altijd een andere bottleneck. 'Volume' is slechts één van de vele attack vectors.
Mooi begrijpelijk overzicht: https://www.arbornetworks.com/research/what-is-ddos

En buitenlandse IP 's blocken gebeurt idd. Maar zelfs daar zijn sophisticated ways voor om dat deels te omzeilen.

[Reactie gewijzigd door Edgarz op 29 januari 2018 21:10]

mkools24
@Edgarz • 29 januari 2018 21:14

Ok als je nou 2 websites maakt? eentje die enkel toegankelijk is vanaf Nederlandse IPs, in het geval van een aanval zet je dan DNS om. Mensen buiten NL kunnen dan even niet bankieren maar die in het binnenland gewoon wel. Dat zou de impact al flink verlagen. Buitenlanders kunnen desnoods nog via een VPN.

En ik heb het niet over DCs he een paar webservers per DC is al voldoende desnoods een rack. Of moet je ook een eigen DC hebben als bank?

[Reactie gewijzigd door mkools24 op 29 januari 2018 21:18]

Edgarz
@mkools24 • 29 januari 2018 21:18

Internet_protocol_spoofing: https://nl.m.wikipedia.org/wiki/Internet_protocol_spoofing

Too easy

[Reactie gewijzigd door Edgarz op 29 januari 2018 21:19]

mkools24
@Edgarz • 29 januari 2018 21:21

Ja met UDP, maar dat drop je dan sowieso tijdens een aanval. Web traffic is toch tcp only.

Het hangt dan natuurlijk wel af van de grootte van de UDP aanval maar met zo'n maatregel vang je al 99% van de verveelde ddossende pubers af.

[Reactie gewijzigd door mkools24 op 29 januari 2018 21:22]

Edgarz
@mkools24 • 29 januari 2018 21:33

Spoofing gaat via TCP. En TCP is nu eenmaal nodig voor een connectie. En alle verdedigingsmaatregelen kosten een berg CPU. Dit soort aanvallen zijn geen simpele scriptjes die wat syndrome floods genereren. Deze aanvallen zijn layered en 'goed' in elkaar gezet.

Zo'n mechaniek was ook onderdeel van de ABN AMRO DDoS aanval overigens.

mkools24
@Edgarz • 29 januari 2018 21:40

TCP is lastig te spoofen hoor, je hebt het nu wel over extreem geavanceerde aanvalsmethodes waar je en het IP moet spoofen en ingewikkelde Layer7 aanvallen moet uitvoeren die zo goed lijken op legitiem verkeer dat je ze zelfs op applicatieniveau niet meer kunt blocken.

Je gaat mij niet vertellen dat al die random aanvallen van vandaag dat soort technieken gebruiken maar als je doorgaat is er natuurlijk altijd wel een doemscenario te verzinnen waar je uiteindelijk niet tegen bent opgewassen.

100% veiligheid kan natuurlijk nooit maar als je het grootste percentage weet af te stoppen scheelt dat al een hoop downtime. Niet alle storingen worden overgiens ook veroorzaakt door een DDoS dus downtime heb je sowieso.

Enneh alle ddos slachtoffers worden volgens de woordvoerder altijd gepakt met de meest geavanceerde methodes, dat scheelt ook gezichtsverlies in de media. Je gaat natuurlijk niet zeggen dat je moeite hebt om wat standaard floods te blokkeren.

[Reactie gewijzigd door mkools24 op 29 januari 2018 21:42]

Edgarz
@mkools24 • 29 januari 2018 22:33

Dit zijn geen script kiddies geweest. En helaas, gezien de attack vectors, zijn deze technieken echt gebruikt. Banken zijn script kiddies en amateurs al zo lang gewend, dag in dag uit. Dus als je diverse banken (en haar vendors /leveranciers) op zo'n grote schaal weet te raken is er aardig wat firepower gebruikt, qua tactiek/techniek.

mkools24
@Edgarz • 30 januari 2018 08:18

De vraag is natuurlijk, was dit één aanvaller. Of zien anderen ABN in het nieuws komen en denken hey wij willen ook het nieuws halen en gaan vervolgens booters huren en ook wat random targets pakken, copy cats dus. Kijk maar hier op Tweakers voor elke aanval wordt een nieuw nieuwsbericht aangemaakt.

Dus het lijkt dan een harde aanval met veel fire power maar als het meerdere script kiddies zijn is het ook lastig jezelf te verdedigen.

Edgarz
@mkools24 • 30 januari 2018 12:27

1 of 100 script kiddies maakt niet zoveel uit. Veelal dezelfde soort patronen die redelijk mitigeerbaar zijn. Maar je kunt niet uitsluiten dat dit meerdere partijen waren.

raceeend9
@Ursamajor • 29 januari 2018 07:50

is er ook een manier om te kijken of jouw/mijn machine mee doet?

Ursamajor
@raceeend9 • 29 januari 2018 07:56

Geen idee, ik denk dat een goede virusscanner en een up-to-date besturingssysteem al een heleboel scheelt. Maar er zijn genoeg mensen die nog op een oude versie van Windows draaien, oude browser enz.
Je weet zeker dat je machine niet meedoet als ie uit staat

t link

@raceeend9 • 29 januari 2018 09:35

Nee, nietecht. je kan wireshark openen of de ip adressen waar verbonding mee wordt gemaakt volgen om te kijken of er een patroon is met DDOS aanvallen, maar dat lijkt me erg veel werk en best lastig, overigens geeft het ook geen heel accuraat uitsluitsel. Een goeie virusscanner is het meest haalbaar als beveiliging ertegen.

bbob1970

Netwerk en systeembeheer

@raceeend9 • 29 januari 2018 09:43

Zul je een soort portscanner moeten installeren die kijkt welk uitgaan verkeer je hebt.
Ze de scanner aan sluit alle programma's dan kun je zien of er verkeer is.

vj_slof
@bbob1970 • 29 januari 2018 10:43

ze kunnen de malware zo schrijven dat als Wireshark of soortgelijke software actief in het werkgeheugen staat gewoon ff niks doen.

ArtGod
@53645714n • 29 januari 2018 07:46

Ik denk dat we dankbaar mogen zijn dat de aanvallen maar kort aanhouden. Als de banken voor een week plat liggen dan hebben we echt een probleem, als land zijnde, en misschien wel als wereld.

[Reactie gewijzigd door ArtGod op 29 januari 2018 07:46]

mkools24
@ArtGod • 29 januari 2018 08:35

Het is een kat -en muisspel. Je filtert de ene aanval waarna de aanvaller vervolgens overschakelt op een andere methode, die moet je weer filteren etc etc en zo kun je een paar dagen of langer zoet zijn tot de aanvaller zijn methodes uitgeput zijn.

Het ligt er dan ook aan met wat voor aanvaller je te maken hebt, is het een kiddie die booters gebruikt of is het iemand met wat meer kennis, maar het is hoe dan ook lastig om een aanval een week lang continue aan te houden. De beheerders van de geinfecteerde PC's merken vaak op een gegeven moment ook wel dat er iets mis is, of hun ISP sluit ze bijv af.

ArtGod
@mkools24 • 29 januari 2018 08:49

Ik heb nog nooit gehoord dat een ISP een geinfecteerde computer afsluit, althans niet in NL.

RemiR
@ArtGod • 29 januari 2018 08:58

Jazeker, xs4all deed dit actief

mkools24
@ArtGod • 29 januari 2018 09:03

Ja hoor ik ken iemand met Ziggo die was afgesloten.

HADES2001
@mkools24 • 29 januari 2018 10:38

dan mag ik hopen dat ziggo tegenwoordi wel wat harder erop gaat want lang geleden (1999/2000 ofzo) door een virus verstuurde mijn computer non stop mails en kreeg een mail van ziggo dat ik 7 dagen de tijd had dit op te lossen.
Als zometeen heel het ziggo netwerk geinfecteerd word en elke gebruiker 7 dagen non stop kan ddossen voordat ze van internet geweerd worden heeft het ook niet zoveel nut.

krietjur
@ArtGod • 29 januari 2018 09:04

Zelf meegemaakt bij Ziggo

RADRIGUZ
@ArtGod • 29 januari 2018 09:43

Jahoor, wij hebben een abonnement bij Solcon, op het moment dat er een pc was geïnfecteerd werd de verbinding direct afgesloten met de melding dat er een geïnfecteerde pc in ons netwerk bevond. Je kunt dit gewoon weer aanzetten, maar bent je wel bewust dat je stappen moet ondernemen.

Arator

@ArtGod • 29 januari 2018 10:41

Toen ik, begin tot midden jaren 2000, op de helpdesk van Skynet werkte, werden er al verbindingen afgesloten van (mensen met) geinfecteerde pc's. Dit had dan vooral te maken met spamservers die op die verbindingen draaiden.
Dan kreeg je die mensen aan de lijn omdat "ze geen internet hadden". Als je dan hun profiel opvroeg, zag je dan staan dat ze waren afgesloten wegens soamservers. Enigste manier om terug online te geraken was een ondertekend document binnen te brengen in een winkel of een fax te sturen waarin ze verklaarden dat ze hun pc hadden vrijgemaakt van ongewenste programma's (of ze dit nu deden of niet speelde geen rol). Bij een volgende keer waren we niet meer zo lief.

spNk
@ArtGod • 29 januari 2018 11:11

XS4ALL, KPN, Ziggo, allen sluiten je zo af.
Vrijgegeven worden is een stuk lastiger, die abuse afdelingen zijn vaak alleen via de mail bereikbaar welke 1x per x tijdeenheid gelezen wordt.

Yucko
@ArtGod • 29 januari 2018 11:56

xs4all sloot je in het verleden af en je moest zelf aangeven welke malware je had aangetroffen op 1 van je computers binnen je netwerk (XS4All geeft die info nl. niet in eerste instantie) en welke maatregelen je getroffen had om herhaling te voorkomen.

Abom
@53645714n • 29 januari 2018 07:46

Het gebeurt wel, maar je hoort er niet veel van. Ik vermoed dat er niet heel veel energie wordt gestoken in het onderzoeken van een enkele DDoS-attack, wanneer de attacks aanhouden waarschijnlijk wel.
Heel lang geleden heb ik wat vrijwilligerswerk gedaan voor een IRC-netwerk, die werden ook weken/maanden geteisterd door een script-kiddy die DoS of DDoS attacks uitvoerde op de servers. Hij is uiteindelijk door de FBI opgepakt, het bleek een 15 jarige jongen te zijn.

[Reactie gewijzigd door Abom op 29 januari 2018 07:47]

Uriel99
@53645714n • 29 januari 2018 09:25

Inderdaad, inmiddels ligt ook de Rabobank plat... ik denk dat de Amerikanen iets teveel hebben gezegd over de hulp van de AIVD onlangs... Damn Ruskies! 🤪

Tjahneee
@Uriel99 • 29 januari 2018 11:08

Precies nu word er gedaan alsof deze inlichtingen een of ander jacht troffee is. Hadden ze beter gewoon stil kunnen houden om achter de schermen verdere akties te ondernemen.

Edgarz
@Tjahneee • 29 januari 2018 13:17

Puur speculatief. Het is niet voor het eerst dat de banken getroffen worden door DDoS.

iAR
@53645714n • 29 januari 2018 09:59

Ja, ik denk dat dit ook lastig is te achterhalen.
Ik had vroeger naast macOS nog een Windows XP installatie lopen voor een aantal zaken die niet op macOS konden, niet alles was daar even netjes zeg maar. Ik kreeg op een gegeven moment van (toen nog) Telfort een mail dat er vrij veel verkeer over de lijn ging. Bleek dat mijn installatie besmet was, dus ook ik was wellicht onderdeel van zo'n netwerk.
Nu je steeds meet IoT-apparaten hebt kan theoretisch je Nest en Hue Bridge meewerken aan dit soort aanvallen. Hoe check je dan wie dit aanstuurt?

m4ikel
@53645714n • 29 januari 2018 09:46

Tuurlijk doen "wij" dit ook. http://map.norsecorp.com

kakanox
@m4ikel • 29 januari 2018 10:27

Ik had eigenlijk wel meer stipjes in het grootste land ter wereld verwacht

Kevinp
@53645714n • 29 januari 2018 10:34

Ik vind het vooral raar omdat ik nooit weet of de banken niet liegen. Zeker als het maar om één bank gaat. Ze kunnen makkelijk zeggen dat het een ddos is terwijl ze eigenlijk zelf aan het rommelen zijn geweest.

Waarnemer
@Kevinp • 29 januari 2018 12:46

Nee dat weet je ook niet. Maar het is te moeilijk om te liegen. Er zijn te veel mensen op een IT afdeling die praten kunnen..... dus het komt te makkelijk uit als er een leugentje wordt verspreid...

KeepowOne
@53645714n • 29 januari 2018 13:08

De Russen natuurlijk!

Cybergamer
29 januari 2018 06:57

Is het niet mogelijk voor banken om ddos aanvallen sneller te blokkeren?

BouncingBalls
@Cybergamer • 29 januari 2018 08:28

Ik weet zelf helemaal niks van digitale beveiliging of ddos-aanvallen, maar het leek mij altijd een mooi idee om gewoon al het buitenlandse verkeer onmiddellijk te blokkeren bij een aanval. Geen Nederlands IP-adres is geen toegang. Balen voor de Nederlanders in het buitenland, maar die kunnen nu ook geen gebruik maken van de diensten.

Ik ga er vanuit dat het niet mogelijk is, als het zo snel op te lossen zou zijn had iemand anders dat wel verzonnen. Maar ben wel benieuwd waarom het niet zo kan.

robvanwijk

Netwerk en systeembeheer

@BouncingBalls • 29 januari 2018 09:52

Geen Nederlands IP-adres is geen toegang.

Stel dat ik op vakantie ben en ik wil pinnen, maar mijn betaalrekening is leeg. Normaal gesproken is het dan heel snel en eenvoudig om wat geld van mijn spaarrekening naar mijn betaalrekening over te boeken, maar dat verzoek komt dan wel van een buitenlands IP-adres. Jouw voorstel zou dat keihard blokkeren. Met slechte bereikbaarheid kan ik het (afhankelijk van hoe hard ik extra geld nodig heb) blijven proberen, net zolang totdat ik geluk heb en er doorheen kom.

MadEgg

Netwerk en systeembeheer

@robvanwijk • 29 januari 2018 10:01

Tsja, door dat 'blijven proberen' veroorzaak je nog meer load, dat maakt het niet makkelijker voor de technici bij de bank om de problemen op te lossen. Bij een overload kun je beter een paar uur later weer proberen.

Ik snap dat dat héél vervelend is als je in het buitenland staat zonder geld, maar @BouncingBalls heeft wel een punt dat zonder een dergelijke blokkade het ook al niet werk bij een DDOS-aanval. Er vanuitgaande dat een dergelijke blokkade voor buitenlands verkeer ASAP wordt opgeheven zodra de aanval afgewend is.

In het buitenland zorg ik altijd zelf voor een extra backup betaalmethode zoals een credit card, juist om in dat soort situaties een alternatief te hebben.

robvanwijk

Netwerk en systeembeheer

@MadEgg • 29 januari 2018 10:05

Tsja, door dat 'blijven proberen' veroorzaak je nog meer load

Elk uur een keer proberen valt compleet in het niet bij een DDoS-aanval; als dat minieme kleine beetje extra load een probleem is, dan is er iets goed mis. (Zelfs mensen die handmatig F5 lopen te spammen zouden geen probleem mogen zijn.)

In het buitenland zorg ik altijd zelf voor een extra backup betaalmethode zoals een credit card, juist om in dat soort situaties een alternatief te hebben.

Dit was zomaar een voorbeeld, er zijn natuurlijk nog een boel andere voorbeelden te bedenken. Ik wou gewoon één situatie noemen waardoor een botte "buitenlands IP -> blokkade" niet realistisch is.

MadEgg

Netwerk en systeembeheer

@robvanwijk • 29 januari 2018 10:10

Elk uur een keer proberen valt compleet in het niet bij een DDoS-aanval; als dat minieme kleine beetje extra load een probleem is, dan is er iets goed mis. (Zelfs mensen die handmatig F5 lopen te spammen zouden geen probleem mogen zijn.)

Dat is het natuurlijk wel. Eén persoon niet. Tien ook niet. Maar als iedereen dat tegelijk gaat doen heb je een hele aardige DDOS-aanval. Dat zie je ook vaak bij ticketverkoop van populaire acts op Ticketmaster ed, vlak voor aanvagstijd wordt zo'n site heel traag omdat iedereen als een malle op F5 zit te rammen om maar als eerst een kaartje te kunnen kopen. Werkt doorgaans averechts, maar goed.

Dit was zomaar een voorbeeld, er zijn natuurlijk nog een boel andere voorbeelden te bedenken. Ik wou gewoon één situatie noemen waardoor een botte "buitenlands IP -> blokkade" niet realistisch is.

Dat snap ik, maar als blijkt dat inderdaad het grootste aandeel van het verkeer tijdens zo'n DDOS aanval uit het buitenland komt lijkt het me alsnog een zeer doeltreffende oplossing. De keuze is dan tussen niemand een werkende internetbankieren-oplossing, of alleen mensen in het buitenland tijdelijk geen werkende internetbankieren-oplossing. Lijkt mij geen moeilijke afweging.

Zer0
@robvanwijk • 29 januari 2018 12:35

Dit was zomaar een voorbeeld, er zijn natuurlijk nog een boel andere voorbeelden te bedenken. Ik wou gewoon één situatie noemen waardoor een botte "buitenlands IP -> blokkade" niet realistisch is.

Wat is een boel voorbeelden, en om hoeveel personen gaat het dan werkelijk, tientallen? Honderden?
Pas als het om grote aantallen personen gaat wordt het pas relevant. Duizend vakantiegangers die even niet bij hun rekening kunnen is lullig, maar staat niet in verhouding tot tienduizenden in Nederland.

robvanwijk

Netwerk en systeembeheer

@Zer0 • 29 januari 2018 13:09

Vergeet ook niet dat je er hierbij vanuit gaat dat dit de aanval volkomen afslaat. Maar is dat wel zo? Er zijn verschillende soorten aanvallen.

Bij sommige typen kan het IP-adres van de aanvaller simpelweg vervalst worden, dus dan lijken alle aanvallers sowieso uit Nederland te komen.
Bij een magnification attack zal de aanval iets kleiner worden als alleen servers in Nederlands voor de magnification gebruikt kunnen worden, maar ik zou niet durven beweren dat het genoeg verschil maakt om de aanval af te slaan.
Alleen bij aanvallen waarbij het IP-adres van de aanvaller niet vervalst kan worden (bijvoorbeeld omdat je probeert het slachtoffer te dwingen volledige handshakes te voltooien), zet "negeer alle buitenlandse IP-adressen" zoden aan de dijk.

Ik heb werkelijk geen idee om welk type aanval het hier ging. Alleen in het laatste geval is het blokkeren van buitenlandse IP-adressen zelfs maar de moeite waard. En in dat geval vrees ik dat we van mening verschillen of de bijkomende schade acceptabel is.

Engineer
@MadEgg • 2 februari 2018 18:30

Die tiende procent Nederlanders in het buitenland die proberen te bankieren en op F5 drukken merken die banken qua load niets van hoor. Dat valt helemaal in het niets vergeleken met de hoeveelheid traffic van een DDoS aanval.

Uiteraard moet iemand wel heel veel pech hebben om net in het buitenland zonder geld te zitten op het moment dat een bank er eenmaal per jaar uitligt door een DDoS aanval. Beetje ver gezocht naar mijn idee.

Melantrix

@BouncingBalls • 29 januari 2018 08:39

Dat wordt volgens mij al wel deels gedaan, echter houdt je dan nog last van o.a. proxies, vpn's e.d. waardoor het lijkt dat je vanuit nederland komt. Een beetje zoals je eerder Netflix US kon bekijken.

bbob1970

Netwerk en systeembeheer

@Melantrix • 29 januari 2018 09:46

Klopt maar voor ddos heb je veel computers nodig wil het effectief zijn. Met paar proxies en vpn kom je er niet

kakanox
@bbob1970 • 29 januari 2018 10:30

Zie bovenstaand een mooie uitleg voer layer-7 aanvallen. Als je maar continu nieuwe VPN-verbindingen aan blijft leggen (bij andere partijen) gaat dat wel lukken.

Verder, @BouncingBalls : Je gaat er nu vanuit dat zo'n aanval vanuit het buitenland komt. Nederland is juist één van de landen met erhoudingsgewijs veel IOT devices. Als je een DDoS krijgt vanuit een botnet knip je met het buitenland eruit halen hooguit een deel van de aanval weg.

Engineer
@kakanox • 2 februari 2018 18:25

Een VPN heeft doorgaans maar 1 verbinding naar het internet. Waarschijnlijk heeft 1 persoon niet zomaar toegang tot bijvoorbeeld 500 VPN's. 1 verbinding is niet genoeg om een hele bank om te leggen, hoe je het ook went of keert. De kracht van een DDoS zit hem in duizenden geinfecteerde huis-, tuin-, en keuken PC's die gezamelijk naar die ene bank bezig gaan.

Johan9711
@Cybergamer • 29 januari 2018 07:05

Dat ligt een beetje aan het type aanval. Als het verkeer relatief makkelijk te filteren op goed of slecht kan je het relatief eenvoudig blokkeren. Als het echter legitiem verkeer lijkt dat in grote aantallen naar je servers word gestuurd is het een lastiger verhaal. Het is dan moeilijk te filteren.

Edgarz
@Cybergamer • 29 januari 2018 13:18

Nee

Dennisjehz
29 januari 2018 06:58

gezien dit vaker voorkomt, neem ik aan dat er hard achter de schermen aan gewerkt wordt dat het niet nog een keer gebeurd,

zelf kon ik wel en niet inloggen, ging soms niet, soms wel, (ING) en dit was geen probleem, gebruikte gewoon een rekening via een andere bank die er geen last van had, zoals iedereen wel moet hebben, just to be sure.

Cryptocurrency is ook geen oplossing want blijkbaar als je 1 cent transacties massaal gaat zitten doen, kun je het netwerk ook vertragen heb ik gelezen, ook een vorm van DDOS.

[Reactie gewijzigd door Dennisjehz op 29 januari 2018 07:00]

bbob1970

Netwerk en systeembeheer

@Dennisjehz • 29 januari 2018 09:48

Maar ja als je 100.000 1 cent transacties doet betekend dat dat de aanval toch aardig wat geld kost.
normale ddos is met geïnfecteerde iot of computers die jou niet veel kosten, gaat allemaal geautomatiseerd.

Dennisjehz
@bbob1970 • 29 januari 2018 09:54

volgens mij het artikel wat ik gelezen had, was dit al eens een keer gedaan met bitcoins, dus dat het geld kost houd mensen dus blijkbaar ook niet echt tegen.

bbob1970

Netwerk en systeembeheer

@Dennisjehz • 29 januari 2018 09:56

Klopt je kan het natuurlijk van je ene naar je ander eigen rekening boeken.- wat kosten.

AnonymousWP

Netwerk en systeembeheer

@Dennisjehz • 29 januari 2018 07:03

ING heeft dat wel gezegd. Opvallend is dat ABN hier niks over heeft gezegd in een tweet.

Edgarz
@Dennisjehz • 29 januari 2018 13:20

Ja en nee. DDoS en de aanvalspatronen zijn in grote mate onvoorspelbaar. En de aanvallers 'verkennen' vaak eerst met kleinere aanvallen waar de zwakke punten zitten.

360Degreez
29 januari 2018 07:52

In het geval dat het gros van het ongewenste verkeer uit een land komt is kan je de bandbreedte van dat land tijdelijk beperken op de firewall toch? Dan hebben alleen het handjevol buitenlandse klanten uit specifiek dat land er last van.

Daarnaast verbaast me dat er anno 2017 nog een DDOS kan plaatsvinden. Doorgaans doen ze dit toch met een (gehuurd) botnet bestaande uit consumentensystemen met malware. Dat is inmiddels toch wel een beetje op zijn retour?

loekf2
@360Degreez • 29 januari 2018 07:56

Ja, ik zat daar ook aan te denken. Als het grootste deel van de bots/zombies (besmette computers) zich buiten Nederland bevinden om een DDoS mogelijk te maken, zet je toch tijdelijk een hek om Nederland ? Zodat binnen NL iets als iDEAL of bankieren wel werkt, maar er buiten even niet.

Vraag me ook af of het stoppen van deze ongein nou door ingrepen bij ING of ABN AMRO kwam of omdat deze "script kiddies" even een plaspauze of zoiets haddden. Aanval was steeds precies 2 uur lang leek het. Wel erg toevallig.

Trouwens anno 2018 heb je geen besmette en niet gepatch-te WIndows PCs meer nodig. Gaat ook prima met IoT spul (IP cameras vooral).

Edgarz
@loekf2 • 29 januari 2018 13:21

Dat is al jaren een van de verdedigingstactieken. Maar ook daar zijn workarounds voor :-)

TheDudez
@360Degreez • 29 januari 2018 08:47

Precies. Maar ik zou tijdens zo ddos aanval al het buitenlands verkeer blokeren. En als dat niet genoeg is alles blackliste tijdelijk wat niet voor de ddos heeft aangelogd.

Jheroun
@360Degreez • 29 januari 2018 10:23

Dat is an sich een prima strategie maar die werkt maar zo goed als de bandbreedte die je aan Internet hebt aan de buitenkant van je firewall/router/whatever. Als die link vol zit voordat je gaat filteren heeft filteren geen zin meer.

In dat geval moet je afspraken gaan maken met een ISP één stap boven je, en die potentieel met één stap boven hem, et cetera.

Dat hangt overigens sterk af van het soort aanval, als het niet om een volume aanval gaat maar een meer applicatiegerichte aanval kan bovenstaande tactiek wel werken.

VECTOR ®
29 januari 2018 07:19

Hier op mijn telefoon krijg ik het volgende te zien :
De server is tijdelijk niet beschikbaar .Probeer het op een later tijdstip nog een keer.....

loekf2
@VECTOR ® • 29 januari 2018 07:59

Volgens availability.ideal.nl zit ABN AMRO sinds 6 uur weer tegen een DDoS of ander issue aan te hikken. Beschikbaarheid rond de 60%.

conces
29 januari 2018 07:57

Ik vraag me af of er grote belanghebbenden zijn die het huidige bankbetalingsverkeer zo willen ontregelen en onbetrouwbaar maken ten gunste van de cryptocoin.
Zomaar een ged8e...

bbob1970

Netwerk en systeembeheer

@conces • 29 januari 2018 09:52

Crypto is een wereldwijd vraagstuk. Hier betreft het 1 of 2 banken in een klein land. Dat heeft totaal geen invloed op de wereldwijde discussie hierover.

Koenwel
@bbob1970 • 29 januari 2018 12:32

Klein land, klopt.
Maar ING, Rabobank en Abn Amro staan gewoon netjes in de top 60 wereldwijd grootste banken ter wereld. Wetende dat er ook 12 Chinese banken in staan doen we het in het bankwezen wereldwijd gewoon erg goed.

Leuk feitje wel is dat geplande betalingen gewoon doorliepen bij Rabobank. Dus het is alleen de online frontoffice die plat ligt.

HouseL
@conces • 29 januari 2018 08:08

Zou kunnen. Vraag me af of dit te maken heeft met de AIVD onthullingen van vorige week. Dat het een vergeldingsactie is van de Russen.

mashell
@conces • 29 januari 2018 10:11

Een bank kun je hoogstens platleggen digitaal beroven hoor je eigenlijk. Maar de crypto exchanges lijken sneller geplunderd te worden dan je bitcoins kunt minen. Vooralsnog is de crypto wereld nog zo gammel en onzeker dat de banken in het voordeel staan.

B00st3r
29 januari 2018 09:09

Je ziet tegenwoordig veel websites die je eerst naar een pagina sturen die een seconde of 2-5 laadt, die zou werken tegen DDoS aanvallen. Had een dergelijke implementatie in deze gevallen deze service outage kunnen voorkomen?

Websites als BTCdirect.eu hebben dit. 'DDoS protection by CloudFlare' staat er dan geloof ik.

[Reactie gewijzigd door B00st3r op 29 januari 2018 09:16]

bbob1970

Netwerk en systeembeheer

@B00st3r • 29 januari 2018 09:42

Weet n iet of dat echt zin heeft als er veel aanvragen komen is de hele site getroffen. Cloudfare is een soort tussen buffer maar heeft ook een bepaalde capaciteit tegen ddos.

DefaultError
29 januari 2018 09:20

Het is ook kinderlijk eenvoudig om achter de router te kijken gezien het gros van de ISP'ers de beveiling niet zo scherp heeft staan. Heeft de DDDOs aanval met onder andere de publicatie van afgelopen week met de Nederlandse hacks te maken?

born2rule
29 januari 2018 09:26

volgens mij ligt de rabobank er nu ook uit.... zucht. Ik (klein bedrijf) heb al een hekel aan rekeningen overmaken, plan je het in en moet je het vervolgens nog maar weer uitstellen ook

1 2 3 4 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Storing door ddos-aanval treft na ABN Amro en ING ook Rabobank - update

Lees meer

Een ddos'er betrapt

IT Banen

Reacties (186)

Sorteer op:

Weergave: