Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ddos-aanval treft ook de Belastingdienst

Naast verschillende Nederlandse banken is maandag ook de Belastingdienst het doelwit geweest van een ddos-aanval. Dat zegt de organisatie tegen de NOS. Inmiddels moeten de diensten van de Belastingdienst weer bereikbaar zijn.

De Belastingdienst zegt dat zijn site door de aanval slecht bereikbaar was, aldus de NOS. De site van de dienst is op het moment van schrijven bereikbaar, al lijkt er nog wel sprake te zijn van enige vertraging. Naast de Belastingdienst hebben ook andere Nederlandse instellingen te maken met ddos-aanvallen.

Zo had ABN Amro zaterdagochtend met een ddos te maken, gevolgd door ING op zondag. Maandag maakte ook de Rabobank bekend dat zijn diensten slecht bereikbaar zijn door een ddos-aanval. Een woordvoerder van De Nederlandsche Bank zegt tegen de NOS dat de aanvallen 'uitzonderlijk' zijn.

"Sinds de grote ddos-aanval op ING in 2013 leek alles goed op orde. Er is nu duidelijk iets waar we op moeten reageren. We zijn hierover in gesprek met de banken", aldus de woordvoerder. Klaas Knot, directeur van De Nederlandsche Bank, zei eerder in tv-programma Buitenhof dat zulke aanvallen elke seconde plaatsvinden.

Ook Tweakers kreeg te maken met de zwaarste ddos-aanval tot nu toe. De aanval kende pieken waarbij het verkeer 25Gbit/s bereikte. Tweakers kan door de aanval vanuit het buitenland nog af en toe slecht bereikbaar zijn, maar was zondag vanuit Nederland wel goed te bereiken.

Door

Nieuwsredacteur

263 Linkedin Google+

Submitter: nXXt

Reacties (263)

Wijzig sortering
Wellicht zijn de (staats)hackers c.s. in Rusland nogal gepikeerd na de hele Cozy Bear-affaire en staan we daardoor even extra in de belangstelling.
Mwah, Europa staat momenteel even in de belangstelling zo te zien
Zeer interessante kaart waarbij je kunt zien dat Europa under attack is en niet Nld specifiek. Wat imo ook gelijk het argument dat de Russen met deze attack Nld willen straffen of wraak willen nemen ontkracht. Europa wordt getroffen en Nld is niet eens het zwaarste doel.

Als je wilt kijken naar de mogelijke dader(s), moet je kijken naar wie er belang bij zo'n aanval heeft. Een DOSS aanval gaat van bruut en weinig subtiel en wordt meestal uitgevoerd door personen of groepen die even hun spierballen willen laten zien en heeft weinig te maken strategisch inzicht. Ik zie het zelf als iets uitermate primitiefs. Ik denk dan al gauw aan (idealistische) Anonymous hackers, IS strijders of criminele groepen die in het afpers circuit zitten.
Verwijzing naar specifieke landen (Rusland, China, Noord Korea) en complottheorien als zitten er eigen (Europese) geheime diensten achter verwijs ik dan ook simpel naar het rijk der fabelen. Landen hebben andere doelen en kunnen via het internet op veel subtielere manieren inzetten. Door dit soort acties ondermijnen ze hun eigen strategien. Eigen geheime diensten die hiermee anti-privacy agenda's zouden willen promoten kunnen dit ook veel betere manieren doen. Waarbij ik ook duidelijk wil stellen ALS ze dit al zouden willen doen want dat is maar zeer de vraag.
Kortom de conclusie is duidelijk dat we hier te maken te hebben met een stelletje (idealistische) mafketels of met criminelen die op geld uit zijn.
Als ik naar het kaartje kijk en ik klik op ‘unusual’ attacks dan komt Nederland er wel specifiek uit naar voren net als Duitsland. Maar het is dus zeker niet EU-breed.
Dat lijkt me juist een hele kromme redenering wie belang heeft - criminele afpersers leggen logischerwijs specifieke targets plat, geen hele landen. Zorgt alleen maar voor extra aandacht.

[Reactie gewijzigd door Dreamvoid op 29 januari 2018 15:00]

Plausible deniability is belangrijk dan niet teveel aandacht. Als jij achter specifieke targets aangaat valt dat op een gegevens moment op. Alleen naÔeve actoren doen dat dus ;)
Klopt, in het geval van Russische actie betekent dit doorgaans dat er ook berichten verschijnen van aanvallen op Russische targets. Zolang dat niet het geval is vind ik de aanname dat er andere daders zijn, aannemelijk ;)

Maar mijn inschatting is wel dat hier meer gaande is dan zomaar een hackersgroep of criminelen, het lijkt iemand te zijn die het op het hele land of zelfs heel Europa gemunt heeft. Het kan ook slechts een test zijn van een wapen wat nog in ontwikkeling is.
Goed punt. Even hardop gedacht. Ik zat in eerste instantie te denken aan afpersers, want DOSS vnl gericht op Banken/ Financiele sector maar sites als Tweakers worden ook getroffen. Misschien eens kijken welke type instellingen in het bijzonder getroffen worden.
Over getroffen landen gesproken. Zo te zien richt de aanval zich momenteel meest op Duitsland, UK en Belgie. Van Belgie en Duitsland zou je kunnen zeggen hart van de EU maar GB is weer met uittreden bezig. Wie of welke groepen kan er specifiek een wrok tegen deze landen hebben?

[Reactie gewijzigd door zap8 op 29 januari 2018 15:13]

Als jij het niet had gezegd had ik het gedaan. Het is opvallend hoe weinig mensen deze logische en voordehandliggende link leggen. Straf van hackers die vernederd zijn door de aivd. Laks trouwens van ze dat ze zich in de gaten hebben laten houden.
Zelfs de noordpool is tegen ons :+
Neuh, dat komt uit de ruimte ;)

Officieel is het verkeer wat een 'unknown source' heeft, staat aangegeven in de legenda

[Reactie gewijzigd door RADRIGUZ op 29 januari 2018 13:42]

Satelieten of maak je grappen? ^^
Ik weet niet hoe goed jouw ogen zijn, maar bij mij gaan die lijnen over de Noordpool heen en begint de lijn niet bij de Noordpool :p.
Het was ook maar een joke of had je echt verwacht dat de ijsberen aan het ddossen zijn?
Er zijn onderzoeksstations op de Noordpool (de poolcirkel, althans) en die hebben gewoon internet (met een webcam, bijvoorbeeld). Natuurlijk zullen die niet de uiteindelijke bron zijn van aanvallen, maar het idee dat daar ook bots zouden kunnen draaien die meedoen met een DDOS is ook weer niet heel vergezocht.

[Reactie gewijzigd door MneoreJ op 29 januari 2018 15:09]

Nou, eigenlijk...

Zie de grap er niet zo van in, vandaar dat ik het serieus opvatte.

[Reactie gewijzigd door AnonymousWP op 29 januari 2018 13:39]

Nee, de kerstmannen
Arme ijsberen, kunnen die ook al niet meer internetten :+

Maar ff gekkigheid achtergelaten, ik vind zulke ddos-mensen maar uitermate triest en onverantwoordelijk en ook nog eens aanstellers. Ik hoop dat de ddos'ers snel gepakt worden.
Achja er zal vast een markt voor zijn. Scholieren die botnets huren om zo stoer te doen op het schoolplein ofzo.
Hehe leuk kaartje, deze doet het ook altijd goed bij managers: http://map.norsecorp.com
NL continu in top 3?
En nu is het op eens China en ArgentiniŽ , wel apart dat het zo hard omslaat.
vandaag is china het bokje hoor
Als dit de manier is waarop we tegenwoordig oorlog voeren moet ik toch zeggen dat het een stuk beschaafder is dan vroeger. Ook wel een beetje kinderachtig overigens.
Liever dat ze elke dag paar uur DDOS doen op verschillende systemen dan dat ze elkaar bestoken met raketten, zie er niet op te wachten om dakloos rond te lopen hopend ergens nog eten/drinken te kunnen halen
Dat lijkt natuurlijk in eerste instantie waar te zijn, totdat ze kritieke systemen platleggen waarzonder de samenleving niet goed meer draait. Banken (he... toevallig); de belastingdienst, ziekenhuizen, nutsbedrijven, enz. De lichamelijke schade blijft misschien wel uit, maar als jij je salaris niet meer krijgt omdat de banken platliggen, gaat een winkelier jou echt geen brood verkopen, want hij weet ook dat zijn geld niet meer komt. Gooi maar genoeg kritieke systemen ondersteboven en er ontstaat vanzelf chaos.
Liever chaos - wat tot nu toe nooit langer dan een paar dagen geduurd heeft - dan atoombommen. Dat je je geld wat later krijgt is niet het eind van de wereld, het eind van de wereld euh. wel.
het grootste verschil zal zijn het ontbreken van straling in praktisch alle grote steden ter wereld.
Voor de rest zou het ongeveer hetzelfde resultaat kunnen hebben, maar dan een nog grotere chaos omdat 80% van de mensen dan nog zullen leven, waar bij een kernoorlog minstens 60% van de bevolkingspopulaties in grote steden in de eerste 10 seconden zal zijn verdampt. Scheelt nogal in de voedselvoorziening etc.

Leg alles plat qua electriciteit en betalingen gaan niet meer door, logistiek valt compleet stil met alle gevolgen van dien voor de voedselbevoorrading maar ook brandstof in tankstations, fabrieken, en in Nederland bijv. allerlei water- en rioolgemalen.
Rioolgemalen die uitvallen zorgen voor lozingen van rioolwater in oppervlaktewater met alle hygiŽnische problemen van dien.
Watergemalen die uitvallen zorgen voor ondergelopen gebieden. Binnen twee weken staat 60% van Nederland dan onder water.

Drinkwater stokt door gebrek aan stroom, kan je je wc ook niet meer doorspoelen. Waar laten mensen hun ontlasting? Niet in huis. Vuilniszakken en wc-papier worden daardoor goud waard.

Fabrieken vallen uit. Stroom valt uit. Mensen aan beademingsmachines overlijden na enkele dagen want de noodstroomvoorziening is ook niet oneindig.
Alle transport komt tot stilstand. Auto's rijden niet meer (gebrek aan brandstof).

En hoe lang houden kerncentrales het vol als de stroom- en watervoorziening van buitenaf niet meer werkt? Hoeveel meltdowns komen er en krijgen we dan alsnog geen nucleaire winters?

Mensen onderschatten de impact van de stilstand van onze samenleving.
Als de stroom echt fatsoenlijk uitvalt hebben we een GROOT probleem.
Binnen 1 dag zal een deel van het volk al begonnen zijn met rellen en plunderen.
Binnen 3 weken is het totale anarchie in dichtbevolkte steden.
Het grootste voordeel van het uitvallen van de stroom is dat de DDoS-aanvallen ook stoppen omdat de doelwitten niet meer bereikt kunnen worden :)

[Reactie gewijzigd door tyrunar op 29 januari 2018 14:44]

"De stroom valt uit" is wel een veel gebruikte uitspraak. Echter, strikt genomen valt de spanning uit waardoor er geen stroom meer door de verbruiker/belasting loopt (I=U/R)
Strikt genomen moeten we dan dus allemaal met wollen sokken over een tapijt gaan schuifelen en dan kunnen we toch nog watt krijgen.
I=U/R
=> U=0
==> U/R=0 (als R niet gelijk is aan 0)

I==0
De stroom valt dus wel degelijk uit. Oorzaak of gevolg heeft weinig te maken met deze uitspraak.

MIEREEEEEENNNEEUKKEEEN :+
Als ik alle apparaten uitzet dan valt de stroom ook uit maar dat is zeker niet wat hier bedoeld wordt, het effect iis natuurlijk wel hetzelde.
Dat is zeker waar. Het ging mij er vooral om dat mensen denken dat de samenleving alleen platgaat door kogels, bommen en soldaten, maar dat is vanzelfsprekend niet het geval.
offtopic: Tja en zo blijkt het ineens weer waardevol om contact geld in een oude sok te hebben :P
Het is in beginsel wellicht beschaafder, maar alsnog kan het in potentie net zo desastreus zijn – zij het op andere wijze – als bepaalde fundamentele infrastructuur langdurig verstoord wordt. Daarom is cybersecurity ook zo'n belangrijk thema.
Het is in beginsel wellicht beschaafder, maar alsnog kan het in potentie net zo desastreus zijn
Net zo desastreus als tientallen jaren lang een idioot arsenaal aan kernraketten op elkaar gericht hebben staan, die (om voldoende afschrikwekkend te zijn) met ťťn druk op de knop gelanceerd kunnen worden? Als ik moet kiezen tussen dat en elke keer bij de kassa twee of drie keer moeten proberen voordat mijn PIN-betaling lukt, dan weet ik het wel hoor!
Nu ja, daar is vooralsnog ook geen eind aan gekomen, natuurlijk. Er zijn alsnog meer dan voldoende kernwapens om de wereld meerdere keren te vernietigen.
Er zijn lang niet genoeg kernwapens om de wereld meerdere keren te vernietigen, sterker nog, er zijn lang niet genoeg kernwapens om de wereld 1 x te vernietigen, je kan alle grote steden in as leggen, maar iedereen die daar niet woont, woont veel te verspreid om effectief met kernwapens aan te kunnen vallen.
Een juist geplaatste kernbom ter grootte van de tsar bomba kan in potentie de gehele aarde vernietigen. De belangrijkste voorwaarde daarvoor is namelijk de lokatie. De marianetrog is op dit moment 1 van die lokaties. Met juiste positionering kan deze een dusdanig groot drukverschil creŽeren dat de ruimte tussen de twee tektonische platen daar een versterkend effect geeft met zeer grote tsunami's, maar ook heel heftige aardbevingen wereldwijd tot gevolg.

Dit valt echter nog wel mee aangezien deze plaatsing er ook voor kan zorgen dat deze tektonishe platen de extra bijkomende krachten niet meer kunnen handlen met tot gevolg dat de aarde definitief ophoud met bestaan. Dit heeft echter nogal lage kans en men is het er dus nog niet over eens of dat daadwerkelijk kan gebeuren met een dergelijk wapen, maar met een aantal van dit soort bommen op verschillende lokaies moet dat wel te bewerkstelligen zijn. Ik hoop echter van harte dat niemand zoiets van plan is.
Tot dat ze een kritiek punt vinden, dan is er van beschaving weinig te vinden.
Vaak zijn DDoS aanvallen, als het niet een afpers poging is, een dekmantel voor andere operaties. De organisaties zijn druk met het in de lucht houden en brengen van hun diensten en ondertussen zit een hacker ergens op een ander systeem rustig zijn dingen uit te voeren zonder direct ontdekt te worden.
Dit zijn oefeningen in het ondermijnen van een infrastructuur als precursor van een traditionele oorlogsvoering.
Chaos creeren alvorens aan te vallen is een strategie die al beschreven staat in Sun-Tzu, de uitvoering ervan is nu alleen wat moderner.
Moet eerlijk zeggen dat afgelopen week in de berichtgeving wel erg hoog van de toren werd geblaast toen de hack van AIVD in openbaring werd gebracht. Zelfs onze premier Rutte deed een duit in het zakje.

Ik dacht dat het doel van een geheime dienst is om operaties geheim te houden, dat is dus "niet helemaal" gelukt.
Ik ben totaal niet verbaasd dat we nu heel cyber-Rusland over ons heen krijgen.

Edit: typo

[Reactie gewijzigd door FrankAlexander op 29 januari 2018 13:20]

Die koppeling van de betrokkenheid van de AIVD/MIVD aan het referendum en de Wiv vind ik nogal kwalijk om twee redenen.

Ten eerste is het, zeker voor zover ik kan nagaan, een oneigenlijk argument: het succes van een operatie in het buitenland zegt niet zo heel veel over welke bevoegdheden men in eigen land zou moeten hebben. Je zou het net zo goed als argument kunnen inzetten dat men juist geen bredere bevoegdheden nodig heeft, zoals de Jonge Democraten (D66-jongeren) vandaag betogen in de Volkskrant.

Ten tweede werkt enkel de verdenkingen in de hand dat het hier om een pr-stunt gaat in het kader van het aanstaande referendum, wat je mijns inziens al helemaal dient te vermijden.

[Reactie gewijzigd door nXXt op 29 januari 2018 13:45]

Ik denk dat wetgeving nodig is omdat de AIVD op dit moment in een grijs gebied opereert. Ook moeten mensen niet naÔef zijn: de geheime diensten doen wat ze nodig vinden en zolang het goed uitpakt hoor je er niemand over. En als het niet goed uitpakt gaat het in de doofpot en misschien dat een historicus nog iets vind in een archief over 50 jaar.

Ook Nederland doet stiekeme dingen die politici en de bevolking eigenlijk niet willen weten.
In hoeverre de Wiv nodig is heeft niet zo heel veel van doen met dergelijke aanvallen. Veel van de gewraakt passages gaan over bevoegdheden in Nederland, in het bijzonder het hacken en afluisteren van derden, evenals de nogal lange opslagtermijn van drie jaar.

Er zitten zeker goede onderdelen in de Wiv, onder meer waar het gaat om de scheve verhouding tussen ether en kabel, maar dat is echt een andere discussie dan dit soort buitenlandse operaties.
De Nederlandse inmenging was door de Amerikanen (al) 'gelekt' in 2016:
En zo kan het dat in Amerikaanse media inlichtingenbronnen vertellen over de geweldige toegang die een 'westerse bondgenoot' heeft.

Die actie leidt tot woede in Zoetermeer en Den Haag. Sommige Nederlanders voelen het zelfs als verraad. Het is absoluut not done om de werkwijze van een bevriende dienst te onthullen, zeker niet als je zelf van die inlichtingen profiteert. Maar hoezeer de hoofden van de AIVD en MIVD hun ongenoegen ook kenbaar maken, ze hebben niet het gevoel dat de Amerikanen het ook werkelijk begrijpen. Het maakt dat de AIVD en MIVD terughoudender zijn geworden met het delen van inlichtingen.
Op dat moment was echter nog niet duidelijk dat het om de Nederlanders ging, zoals je bron ook aangeeft. De woede zal vooral gegaan zijn over het feit dat daarmee de operatie automatisch tot een einde zou komen, omdat de hackersgroep natuurlijk meteen lont ruikt.
Ik dacht dat het doel van een geheime dienst is om operaties geheim te houden, dat is dus "niet helemaal" gelukt.
Ik heb vorige week het achtergrondartikel van de Volkskrant er over gelezen. En daarin werd inderdaad gemeld dat men er niet blij mee was dat de Amerikanen aangaven dat een bondgenoot ze op de hacks had gewezen en ze actief hielp met verhelpen van de aanvallen. En dat gebeurde blijkbaar met net wat te veel info over die bondgenoot...
Ach Nederland is natuurlijk een klein landje en als men vriend USa kan helpen en in goed dachtlicht wil komen dan roept men dit natuurlijk heel hard.

Natuurlijk is het heel dom dit te doen. Je zegt eigenlijk openlijk wij hacken Rusland, luisteren ze af en geeft het ook toe. Natuurlijk kun je dan een reactie verwachten.
Want de Russen weten/snappen anders niet dat Jan en alleman en zijn moeder hun best zullen doen om hen te hacken en af te luisteren?
Het enige bijzondere er aan is, dat het nu van 1 instantie/land in de openbaarheid is gekomen. Verder is het "business ad usual": wij hacken de Russen, zij hacken de Britten, de Britten hacken de Chinezen, en onderling hacken ze elkaar ook vrolijk door, net als de rest van de wereld.
Breng je het in de openbaarheid zoals nu lach je de ander rechtstreeks in zijn gezicht uit. Dat vraagt open een ook openbare reactie waarbij het natuurlijk raden is of de russen achter deze ddos zitten. De kans is groot.

Verschil is dat ze dan natuurlijk openlijk nooit zullen zeggen. Hacken gebeurt idd door alle landen alleen openlijk geef je het niet toe, zo werkt het spelletje nu eenmaal.
Ze zijn zo slim om te zeggen dat ze een hackersgroep hebben gehacked, niet de Russische regering. Die kan vervolgens niet claimen gehacked te zijn, zonder toe te geven dat zij werkelijk achter die hackersgroep zitten. :+
En zo gaat het spelletje door...
EEn hackersgroep hacken dat openlijk zeggen betekend gezichtsverlies en daarop kun je dus een reactie verwachten.

Zoals eerder gezegd dit soort zaken breng je niet in het openbaar en zegt dan als premier ook nog kijk eens hoe goed we zijn. Het is kolen op het vuur gooien en gewoon dom.
De reactie van Rutte was inderdaad oerdom. Hij had zich beter op de vlakte kunnen houden.
De AIVD werd door het gepruts van de Amerikanen min of meer wel gedwongen om met de billen bloot te gaan.
Ik merk zelf dat ik uberhaupt meer AIVD in het nieuws zie, maar dat kan ook gewoon zijn omdat ik er meer op let vvanwege het sleepwetreferendum. Als het echt zo is dat het meer in het nieuws is zou het me niks verbazen dat het met dat referendum te maken heeft.
Goeie!
Ik snap ook nooit zo goed dat wij als kikkerlandje altijd voorop willen lopen.
Ik snap wel dat Nederland het van de kennis moet hebben, maar de gevolgen zijn weer merkbaar groot.

Iemand een logische verklaring waarom dit eigenlijk uberhaubt naar buiten is gebracht?
Nu ja, tenzij je het idee aanhangt dat men bewust 'gelekt' heeft om de AIVD/MIVD in een positief daglicht te plaatsen – bijvoorbeeld in het kader van het aanstaande referendum – lijkt het toch vooral een gevalletje onderzoeksjournalistiek door Nieuwsuur en de Volkskrant waar de overheid niet verder op in wenst te gaan.

Ik denk daarnaast dat je als klein landje juist bij dit soort specialistische onderwerpen een nuttige bijdrage kunt leveren, omdat je het op grootte of defensiebudget alleen niet redt.
In de Volkskrant werd uitgelegd dat de Amerikanen al aardig wat hadden gelekt over het bestaan van die samenwerking. Ik kan me voorstellen dat het voor de AIVD toen niet zinvol meer was om het geheim te houden en het daarmee wellicht juist zinnig werd om het te delen met de Volkskrant.
De vraag is dan waarom dat met anonieme bronnen en maandenlang onderzoek gepaard gaat. Waarom geen openlijk interview met de topman? Een reeds bekende topman interviewen lijkt mij minder risicovol (vanuit de AIVD gezien) dan 15 namen doorgeven aan een journalist.
Geen idee. Dat moet je aan die journalisten vragen. Het zal vast ook niet helemaal van harte zijn gegaan bij de AIVD of wat de journalisten betreft met te weinig informatie ofzo.
Omdat Amerika hier de aanleiding voor gegeven heeft. Als het aan de aivd/mivd had gelegen was dit nooit naar buiten gekomen. Word behandeld in de artikelen van de Volkskrant als ik het goed heb.
Je zou dan verwachten dat ze de aivd/mivd targetten, maar dat levert veel minder exposure op.
Aan de andere kant is het goed mogelijk dat dit een aanval is waarvan men hoopt dat wij de russen gaan targetten als daders.
Een DDoS is op zich natuurlijk een relatief gemakkelijke aanval als je het vergelijkt met bijvoorbeeld een poging om actief binnen te dringen en gegevens te stelen.

Als je een site of dienst uit de lucht zou halen middels DDoS ligt het voor de hand om voor heel zichtbare doelen te gaan. Met de grote banken heb je dan dus heel zichtbare doelen, maar bijvoorbeeld ook met de Belastingdienst. Ik denk dat in het bijzonder Belastingdienst Toeslagen wel regelmatig geraadpleegd wordt door de gemiddelde Nederlander die niet onderneemt.
Misdirection, vaak wordt een DDOS gebruikt om een ander doel te bereiken...
Wellicht zijn de (staats)hackers c.s. in Rusland nogal gepikeerd na de hele Cozy Bear-affaire en staan we daardoor even extra in de belangstelling.
Daar had ik nog niet eens aan gedacht. Ik dacht dit is een actie om cryptocoins een boost te geven, nu de bitcoin weer gekelderd is.
Misschien gewoon iemand die een flinke belasting aanslag heeft ontvangen.
Het wachten is op Rutte. Die zal vast denken dat de sleepwet ook dit op kan lossen 8)7
Ik werk in de bankensector. Er zijn en worden multi-miljoenen geÔnvesteerd in betere security, op elk vlak dat je maar kunt bedenken, hardware, software, early warning systemen, you name it. Dat heeft echt de hoogste prioriteit; hoger dan welke andere investering dan ook. DDos is lastig doordat het gebruik maakt van een bestaand protocol maar de transactie niet af maakt en de server in feite blijft zitten wachten. Als je dat maar genoeg herhaalt valt de server vanzelf om.
Dat heeft echt de hoogste prioriteit; hoger dan welke andere investering dan ook.
De ellende is dat we eigenlijk te laat zijn. Dan bedoel ik niet (alleen) de banken maar de hele wereld. De banken kunnen het niet alleen oplossen. Een DDOS-aanval echt tegenhouden is haast onmogelijk, we zullen moeten voorkomen dat ze worden uitgevoerd. De enige manier om er echt iets aan te doen is zorgen dat de onveilige devices van internet verdwijnen die nu gebruikt worden in de botnets die DDOS-aanvallen doen.
Dat is echter een wereldwijd probleem. We zullen ook al die brakke apparaten in derde wereldlanden moeten aanpakken. Dat is gewoon onmogelijk. Wat nog een beetje mogelijk is, is zorgen dat de volgende generatie niet zo kwetsbaar meer is.
Nouja, niet de volgende generatie, daar is het al te laat voor, maar zeg over 20 jaar ofzo, maar dan moeten we wel nu gaan investeren in betere software. Niet alleen gemiddeld, maar (juist) ook aan de onderkant.

Als ik mijn eigen woorden teruglees dan lijkt het een zure grap, maar ik meen het echt. Misschien dat IPv6 onze redding wordt omdat die oude zut alleen maar IPv4 spreekt en daarom ooit van internet valt, maar dat gaat ook nog wel even duren...
Het ding is. DDOS is een zwakte in het internet protocol. Je kan dit niet tegenhouden zonder reguliere gebruikers dwars te zitten.

Als het al lukt een DDOS aanval soort van af te weren, door bv bepaalde requests al te droppen voor het een server bereikt. Dan zoekt de aanvaller gewoon andere requests op de responses geven.

En zelfs dan nog, als een DDOS maar sterk genoeg is, gooit het gewoon je uplink stamp vol, ook al dropt de router of server alle DDOS packets, boeiend, die lijn wordt alsnog dicht gestampt met data.

Je kan ook niet simpel weg bv alle niet Nederlandse IP adressen blokkeren als oplossing, want ja, de belastingdienst heeft weinig niet Nederlandse klanten. Want ook in Nederland zijn miljoenen apparaten onderdeel van botnets.


Je kunt vrijwel geen fuck doen tegen DDOS, dat is het hele probleem (en de populariteit) van DDOS aanvallen, het enige wat je realitisch kan doen, is zorgen dat je meer resources beschikbaar hebt dan de aanvaller.
Je kan dus wel iets doen tegen een DDoS maar goed, als je dit jezelf voor houdt dan gaat het nooit iets worden natuurlijk.

Zoals ik al zei, niet met een kant en klare oplossing maar met maatwerk. En als je pijp te klein is neem je een grotere pijp of zorg je dat je upstream providers het grootste deel van je verkeer filteren. DDoS beveiliging is niet iets wat je koopt of neerzet, dat begint bij je software en eindigt op het internet

Hier op tweakers wordt een DDoS als iets gezien waar geen oplossing voor is maar wereldwijd zijn er zat oplossingen voor.

Verder blokkeren grote providers in Nederland klanten als ze er achter komen dat deze onderdeel zijn van een botnet dus het valt wel mee met de schade hier. En je miljoenen apparaten is ook een beetje overdreven gezien het aantal internet aansluitingen in Nederland.

@ hieronder @batjes
De AMS-IX is geen pijpleiding maar een exchange, heel iets anders. De AMS-IX kan je ook niet zo maar platleggen, hooguit de verbinding van een van de deelnemers, wat alleen door een of meerdere andere deelnemers gedaan kan worden.

[Reactie gewijzigd door GrooV op 29 januari 2018 14:25]

Je roept wel heel makkelijk dat er iets tegen DDOS- aanvallen te doen is.
En ja, de door jou genoemde oplossingen (bredere pijp, maatwerk) zijn mogelijk. Maar niet binnen enkele uren, vaak zelfs niet binnen een dag.
En dan hebben we het nog niet over het kostenplaatje: leuk om een pijp van 10Gb aan te leggen, want de vorige DDOS aanval was immers maar 6 Gb. Blijkt dat de volgende DDOS 12 Gb is en dan zit je daar met je 10Gb pijpje. Maar weer bandbreedte bijkopen dan? Wanneer houdt dat op?

Qua maatwerk geldt precies hetzelfde: vandaag wordt dit stukje binnen het IP-protocol misbruikt, dus schrijf je daar regels voor. Blijkt morgen dat ze een ander stukje misbruiken om connecties op te zetten naar je server... De programmeur werkt ook niet gratis!

Wat betreft het blokken door providers: ja, dat gebeurt. Maar meestal pas na klachten, zelden gebeurt dat pro-actief want het is het laatste middel van de ISPs. Die zijn daar niet heel happig op want het kost ze capaciteit (mensen die misbruikers af- en weer aan moeten sluiten) en mogelijk ook klanten...
Ik zeg ook niet dat het makkelijk is, natuurlijk zijn het investeringen maar die hadden al gedaan moeten zijn.

Daarom hebben grote bedrijven zoals Netflix, Google en Facebook ook teams die onafhankelijk proberen de infrastructuur plat te krijgen. En niet eenmalig, maar elke dag
Hoe het werkt staat ongeveer in dit plaatje uitgelegd:
http://slideplayer.com/sl...ks+in+the+Right+Place.jpg

instanties, die nogal belangrijk zijn, hebben dus ook een directe dikke pijp van 100Gbits op de AMX-IX en ook een berg routers die makkelijk duizenden Gbit's kunnen verwerken. Dit zijn geen systemen die je thuis of op kantoor hebt staan / zomaar even kan regelen bij je ISP en ook niet een verbinding die je zomaar vol krijgt met een DDOS.

Verder kan je uit Rusland wel 10000 Gbit gaan sturen maar dat komt dus mooi niet aan omdat de internationale verbinding door providers wordt gemonitord laat staan dat deze capaciteit niet eens leveren. Naast dat je een Anti DDOS systeem hebt welke eerst het "rotte verkeer" moet leren en afslaan heb je een paar uur verder maar dan kom je een heel eind.

Het vervelende is dat je elke nieuwe aanval moet aanleren ( zoals een adblocker een white list heeft etc) maar de systemen hebben ze echt wel bij de Belastingdienst. Ze zijn niet gek.

Capaciteit is dus bijna nooit meer het probleem maar eerder het opzoeken van de zwakste schakel ( een gelinkt systeem zoals DigiD bijvoorbeeld) en het genereren van rotte data flow aanval zie nog niet in de black list stond.

Ik vraag me af of banken dit ook hebben. Volgens mij niet gezien ze uren eruit lagen. Naast de Prefix issues bij netwerk bedrijf Colt Inc. ING lijkt dit echter iets beter op orde te hebben dan de ABN.

[Reactie gewijzigd door freedzed6 op 29 januari 2018 18:13]

Dat je het onderwerp niet volledig lijkt te begrijpen blijkt uit het gebruik van het woord afweren wat suggereert dat dit preventief kan; dat is nagenoeg nooit zo.

simpelweg; de enige manieren om vast te stellen dat het DDOS-verkeer kŠn betreffen is door te constateren dat het binnenkomende verkeer jouw uitgaande capaciteit overtreft, of dat er bijvoorbeeld een ongewoon aantal requests van eenzelfde adres binnenkomt (hier wordt normaliter al absurd veel op gecontroleerd en zal hier vast ook niet de oorzaak zijn)...

Er zijn zoals je benoemt ook een aantal providers wie blokkeren bij botnet-activiteit, echter kleven ook daaraan wat problemen;
- Het botnet moet wel gemeld worden (nagenoeg geen ISP checkt daar zelf proactief op)
- …en melding blokkeert ťťn verbinding, voor een DDOS heb je er stelselmatig (bij dit soort doelwitten) een aardig aantal meer nodig.
- Voor een melding resulteert in blokkering kost ook weer tijd/turnaround op zich

Het moeilijkste aan het probleem is dat je tegelijkertijd wťl wil voorkomen dat je legitiem verkeer gaat blokkeren, ondanks dat je het liefst pro-actief bent.

Daarnaast; moderne DDOS aanvallen worden gepleegd m.b.v. bepaalde oversights aan de bestaande protocollen, waarvan de meeste oorspronkelijk bedoeld om bijv. kwijtgeraakte pakketten te herzenden, of verkeer te rerouten. Als je dat gaat blokkeren zŠl je problemen veroorzaken bij tal van legitieme netwerksituaties; ook geen oplossing. Een goed voorbeeld van dat soort DDOS zou ik de DNS amplification attacks of anderszijds de Replay-attacks noemen.

Allerlaatst; TrendMicro en andere Antivirus concerns hebben afgelopen jaar weten aan te tonen dat een weeklange DDoS voor ongeveer 150 USD op de zwarte markt aangeschaft kan worden, waarbij ook TCP-SYN flood aanvallen, Smurf-aanvallen (vervalsen ICMP-header zodat vals IP meegegeven wordt) en klassiekere ICMP-floods worden gevoerd, deze laatste drie aanvallen zijn ook verdomd moeilijk aan te pakken omdat ze er uit zien als compleet normaal verkeer tot het moment dat het te laat is. Vermenigvuldig dat met een paar tienduizend hosts en het is daadwerkelijk zoeken naar een speld in meerdere hooibergen.
Zucht, een woordje anders, ik praat gewoon met de rest mee die het hier over pijpenleidingen en dergelijke hebben. Een aanval weer je af, dat is gewoon normaal Nederlands maar in dit geval was mitigeren was beter geweest. In het Engels heb je het over ddos mitigation.
Ja leuk dat je een extra dikke pijpleiding naar je servers kan aanschaffen. Maar de grootste botnets van de wereld hebben de mogelijkheid de AMS-IX plat te kunnen krijgen, en dat is 1 van de grootste internet pijpleidingen ter wereld. Vergis je niet in de enorme hoeveelheid botnets en gecomprimiseerde systemen.

Er is geen realitische oplossing voor een DDOS behalve: Zorgen dat je meer resources hebt dan de aanvaller bij elkaar weet te verzamelen.

Maar een goed genoeg gemotiveerde aanvaller, koopt extra botnets gewoon in op het dark web voor een paar bitcoins. Er is geen datacenter of knoop punt in de wereld die dat tegen gaat weten te houden.
Verder blokkeren grote providers in Nederland klanten als ze er achter komen dat deze onderdeel zijn van een botnet dus het valt wel mee met de schade hier. En je miljoenen apparaten is ook een beetje overdreven
Al jaren niet meer. Telfort en anderen deden dit in het verleden, maar de abuse@ inboxes kijken 9/10 providers niet eens meer in.

Met dank aan de media industrie, 99/100 abuse complaints is gezeik over torrentende gebruikers. In plaats van daadwerkelijk internet misbruik zoals DDOS clients.
het helpt ook niet dat die botnets geen ruk kosten om te onderhouden. als je ze eenmaal hebt, heb je ze. 5 minuten dat hele netwerk ergens tegenaangooien en je gooit een bank plat. die bank moet wel betalen voor die maatregelen tegen dat botnet, terwijl de eigenaar van dat botnet veel lagere kosten heeft. Het is onmogelijk je te beveiligen tegen een botnet omdat de kosten behoorlijk in het voordeel van de aanvaller liggen, dat is ook waarvoor botnets worden gebruikt. als chantage omdat je er niet zoveel tegen begint.
Dat is geen oplossing maar symptoonbestrijding. De aanvaller zet dan grotere bandbreedte in dan de pijp. Klanten blokkeren is ook geen oplossing maar symptoonbestrijding.
Ik reageer ook op het voorbeeld van Batjes...
Ik denk dat jij geen enkel idee hebt hoeveel geld de gemiddelde grootbank in dit soort security pompt. Dat is meer dan de meeste bedrijven ooit aan jaaromzet zullen halen. Daarnaast is er niet een afdelinkje Infra,daar werken echt honderden mensen, idem bij security. Dat zijn zeer ervaren mensen met de best mogelijke scholing.
Daar heb je bij de hof-leverancier netwerk van de bankensector prima diensten voor om dit te ondervangen. Neem even aan dat die diensten ook afgenomen worden?
Maar blijkbaar is dat het toch wel. Klinkt een beetje "beste stuurlui staan aan wal". Hoeveel DDOS bescherming voor multinationals heb je al geimplementeerd?
Er bestaat geen bescherming tegen een DDOS aanval omdat je altijd een apparaat hebt dat het DDOS verkeer moet filteren en dat apparaat grappig genoeg ook altijd kwetsbaar zal zijn voor DDOS, tenzij je op een of ander zelfgeschreven protecol communiceert.
Nouja beveiliging...Dan bedoel je die honderden slachtoffers die nu ongewild bot zijn in de DDOS??
Want de belastingdienst moet vooral hoger beschikbaar zijn op een slimme manier, zoals met iets als Cloudflare.

[Reactie gewijzigd door lenny_z op 29 januari 2018 13:17]

Cloudflare geeft no-way garantie dat je IP afgedekt wordt: https://blog.christophetd...-internet-wide-scan-data/
Het ging met name over de hoge beschikbaarheid, dat is bij DDOS relevant. Privacy/veiligheid is weer een andere discussie.
Ja laten we onze vertrouwelijke inkomen/belasting/persoonsgegevens lekker over de amerikaanse servers van een amerikaans bedrijf sturen, dat zal de privacy en veiligheid echt enorm ten goede komen...
Geen idee waarom je reactie op mij geeft.
Vanwege cloudflare? je weet dat die wereldwijd 119 nodes hebben?
Ja dus? Dat maakt ze niet minder een amerikaans bedrijf. Het feit dat ze 119 nodes wereldwijd hebben veranderd niks dat een amerikaans bedrijf dan onze vertrouwelijke inkomen/belasting/persoonsgegevens in handen hebben omdat het over hun servers heen gaan.
Mijn punt was dat dit hoge beschikbaarheid betrof i.p.v beveiliging. Cloudflare was een voorbeeld.
En laten we vooral niet te veel boter op het hoofd hebben met de nederlandse sleepwet...
De gegevens gaan toch versleuteld over de lijn. Hebben ze er dan nog iets aan?
Ligt er een beetje aan op welke manier je Cloudflare configureerd maar in sommige aanbevolen setups is het SSL tot cloudflare en dan SSL van cloudflare naar de origin servers. Leuk dat het dan encrypt is maar voor Cloudflare die er als een MITM tussen zit natuurlijk niet.
Ja ik weet dat cloudflare wereldwijd nodes heeft, ik weet ook dat de amerikaanse regering bij amerikaanse bedrijven een tap kan afdwingen of informatie mag opeisen bij dat bedrijf ongeacht waar deze zijn diensten fysiek heeft gehost. Zonder dat het desbetreffende bedrijf hier ruchtbaarheid aan mag geven.
Kortweg - nee. Je kan een server altijd verdrinken in verkeer. Ongeacht de firewall of hoe goed de detectie is. Partijen als Cloudfare kunnen het redelijk afvangen omdat zij gewoon belachelijk veel servers hebben.
25Gbps is nog relatief laag, 3,5 jaar geleden hebben wij een aanval gehad van 400Gbps! https://www.cnet.com/news...k-in-europe-hits-400gbps/

Probleem is dat de servers van de meeste banken en bedrijven totaal niet afgeschermd zijn, zolang de echte IP adressen van de servers te achterhalen zijn kun je er amper iets tegen doen.

Je kunt het voor 99% verminderen maar dan zul je er wel je netwerk op moeten aanpassen en een paar slimme trucs met fallback op moeten toepassen.

Je beveiliging is zo sterk als de zwakste schakel...
25G is inderdaad niet heel veel, je zou toch zeggen dat een grote bank of de belastingdienst dat gewoon puur op bandbreedte moet kunnen winnen qua uplinks.

Een beetje colocatie heeft tegenwoordig standaard al 2x10G uplinks. Kan me niet voorstellen dat dat het probleem was.

Overigens doen banken heel veel tegen DDOS aanvallen, het is alleen niet eenvoudig en er komen steeds nieuwe types. (Waar het bv eerst wat tijd kost om de aanval te 'leren' voordat hij effectief geblocked kan worden)

[Reactie gewijzigd door Navi op 29 januari 2018 13:27]

25Gbps aan verzoeken die de server moeilijk doet verwerken echter wel, ik ga er vanuit dat het iets in die richting is. Gewoon een overload op de processor dus
Best aannemelijk, op een gegeven moment zijn er op verschillende lagen al mitigatie-methoden voorbereid en dan wordt het voor de DDOS'ers zaak om die factoren zo veel mogelijk te combineren/abstraheren.
Neem OVH als voorbeeld, zij hebben een paar 100Gbps servers waar de DDoS naartoe gestuurd word.
Dienst zoals Nawas kan aanvallen van 1000Gbit per seconde tegenhouden. Hoorde ook dat ze bezig waren om deze limiet te verhogen.
OVH is zelf een dubieus bedrijf. Grootste "bullet proof" hoster op de Franse markt.
Bullet proof betekent niet alleen dat het niet te DDoSen valt hoor :P
Beveiliging aan de kant van de PC's die de ddos uitvoeren bedoel je? Ja, dat is het hele probleem. Hoewel er al regelmatig een botnetwerk wordt opgedoekt, de volgende staat alweer klaar. Veel mensen doen geen updates, laten iot apparaten met standaard inlog op het internet, hebben niet eens door wat er allemaal op hun apparaten gebeurd.

Ddos kan je enkel afvangen, verder helemaal niets, zelfs de grote jongens als cloudfare etc, die hebben gewoon een ziekelijk hoeveelheid servers staan om dat verkeer af te vangen.
Gaat lekker, kan er niet iets worden gedaan aan betere beveiliging
Een (D)DoS heeft alleen niets met beveiliging te maken. Als jij niet bij het fysieke kantoor van je bank kunt komen omdat de straat openligt, er een enorme demonstratie (of een carnavalsoptocht) langskomt, of omdat het ding gewoon gesloten is, dan ga je toch ook niet vragen waarom ze niet investeren in een betere kluis!?
Nee dan vraag je om een betere toegankelijkheid.
Ik denk inderdaad dat ze hier totaal niets mee doen....... :?
Echt weer zo'n reactie zonder inhoud.
Denk dat daar op dit moment een hele hoop slimme mensen over aan het nadenken zijn.
Echter is het allemaal niet zo simpel, het kan van overal komen dus IP's blokkeren schiet je 0 mee op.

Als je nooit meer DDOS aanvallen wilt hebben zou je als land misschien naar de setting van Noord-Korea gaan. Vanaf buiten compleet onbenaderbaar, en alles als een "VLAN" ingericht. Krijg je dan een DDOS weet je iig dat het een boefje in je eigen land was (als "grap" bedoeld).
Het probleem met het blokkeren van IP's is dat je vaak de 'verkeerde' blocked. Bijvoorbeeld Opa Piet die op zijn PC malware heeft en ondertussen staat te DDOS'en. Je kan hem wel blocken maar dan kan hij ook geen bankzaken meer doen.
Dat blokkeren doe je natuurlijk niet permanent, maar je gooit een IP tijdelijk op non-actief zodat ie geen schade meer kan doen.

De website was toch al niet bereikbaar dus opa zal het verschil niet eens merken.
Dat is echter pleisters plakken natuurlijk. Je wilt eigenlijk een oplossing dat iedereen gewoon bij je diensten kan en dat het voor niemand onbereikbaar is.
Opa bankiert bij de ING, maar DDOSt (onbewust) met zijn besmette computer de ABN. Dan merkt hij het niet :)
Maar dan merkt hij dus ook niet dat zijn IP bij de ABN is geblokkeerd tot de aanval voorbij is.

En als hij met zijn computer de ING aan het DDoSen was, dan was de ING toch al onbereikbaar dus had hij er ook weinig van gemerkt.
Jep, is sowieso een lastige kwestie dit.

Ik ga er vanuit dat mensen met de juiste mindset, opleiding en ervaring al jaren bezig zijn oplossingen te verzinnen. Echter wordt hun creativiteit en daarmee oplossingen vaak snel bekend en worden de DDOS dingen weer aangepast.

Actie = Reactie = Actie = Reactie = Actie = Reactie & so on!
Besmette pc's mogen van mij van het internet geschopt worden door hun ISP tot de boel weer schoon is.
Op een gegeven moment ontkom je er niet meer aan dat je bepaalde ip-range icm mac gaat blokkeren.


De schuldvraag wordt dan omgedraaid.


Kom je maar melden bij je provider.
Hoeveel 'onder controle' ben je als je 4 jaar geleden een behoorlijk grote jongen op je dak krijgt, maar 4 jaar later dus nog steeds gewoon plat gaat? 'Geen last hebben van' kan ook gewoon een kwestie zijn dat er in die 4 jaar nooit wat groots op ons afgestuurd is, tot vandaag en duidelijk dat we dus niets onder controle hebben.
Gewoon uit nieuwsgierigheid en onwetendheid: wat doet tweakers.net er aan? En helpen firewalls niet ?
Zie het als een file met regelmatig langzaam rijdend verkeer op de A10 omdat de politie een controle uitvoert op bepaalde auto's. Jij wilt van Amstelveen naar Zaandam, en de A10 staat vol. Dan kom je er gewoon traag doorheen. De firewall's van Tweakers (ergens in de .plans) staat er wel wat over hun actuele serverpark zullen vast wel 'vuile' data weren, maar het voorkomt niet dat hun netwerk meteen snel is.
Laat dit nou ook toevallig een van de redenen zijn dat men "cloud computing" heeft ontwikkeld. Heb je last van een attack dan schaal je de aantal virtualisaties op over verschillende locaties waardoor je dus met 10 x een langzame A10 snel verkeer doorvoer creŽert waardoor de service niveau behouden blijft.
Maar dan met 10x de kosten - dat hou je ook maar zolang vol. Ook komt al dat verkeer door een of meerdere loadbalancers, die zijn vaak ook een zwak punt.

Tweakers heeft genoeg capaciteit om dit soort aanvallen te weerstaan, evenals DDOS bescherming die het grootste deel van het slechte verkeer kan blokkeren.
Aangezien het gaat om virtualisaties valt het heel erg mee met de kosten. Tuurlijk is het hoger dan normaal maar lang niet de 10x je gebruikt tov dit voorbeeld. Het is maar hoeveel je over heb om richting de 100% uptime te gaan.
Nee, zo werkt het helaas niet altijd. Want de kosten zijn een probleem, maar ook het type aanval.

DDoS aanvallen zijn een wapenwedloop, er komt altijd iemand met een groter kanon dan jouw kasteel kan hebben.
Daarom ga je niet steeds de muren verstevigen zoals traditionele server setup maar ga je juist het kasteel verplaatsten zodat ze mis schieten ongeacht het cannon formaat.
Uiteindelijk komt het neer op geld. Er komt altijd iemand met een slimmere aanval om je toch plat te krijgen.

Je kan 10Miljoen investeren of nog 10 Miljoen extra voor die ene aanval die je site misschien 1x in de 3 jaar plat legt voor 6 uur.

Dat is een kwestie van keuzes en prioriteiten.
Tja net zoiets als het notpetja aanval op Maersk? (ik weet het is geen ddos) 10 miljoen had ze immune gemaakt maar dat eens in het decennia aanval koste meer dan 200 miljoen.
Inderdaad prioriteiten is alles.
En ondertussen factureert de cloudprovider lekker door...
Okť, dan heb je dus een eigen serverpark gebouwd (hm, had je die niet al als naar de cloud gaan een oplossing leek?). Nu moet je nog kosteneffectief de DDoS afslaan. Ik zie de oplossing eerlijk gezegd in geen van beide?
Serverpark? Nee een paar kasten volstaat en het liefst verspreid over meerdere datacenter locaties eventueel in verschillende landen.
Het punt van een cloud VM instances is dat als je er zeg maar 2 actief nodig heb om in normale omstandigheden om je service niveau te behalen en een attack begint kan de controller automatisch extra VM's instances activeren om de traffic te verspreiden.
Vervolgens wordt de traffic gefilterd en de zwaar belaste VM's offline gehaald terwijl de service gewoon vrolijk verder gaat op een ander locatie. Het kan best zijn dat een controller opeens 50 VM's een kat en muis spelletje laat spelen totdat het attack afgelopen is maar daarna worden alle extra VM's uit geschakeld en sta je weer vrolijk met 2 VM verder te draaien.

Flexibiliteit is waar het om gaat daarom hebben ze het ook "cloud" genoemd omdat het constant van vorm en formaat verandert.
Hieruit lees ik dan weer dat je dus 25 keer zoveel resources nodig hebt dan de normale workload (jouw getallen van 2 VM's en 50VM's even overgenomen), om een aanval af te kunnen slaan (en dan negeer ik bandbreedte even). Als je dit met eigen hardware doet is het dus niet te betalen, als je dit doet bij een cloudprovider scheelt het wel de continue kosten maar krijg je wel een onaangename factuur als je een keer aangevallen wordt (dat noemde ik al eerder). Jouw oplossing lijkt dus met name te zijn 'smijt er geld tegenaan'?

[Reactie gewijzigd door dcm360 op 29 januari 2018 14:44]

Ik weet ook niet wat jij probeert te vertellen. Ik beheer meerdere virtualisatieservers en VPS'en, die dingen kosten allemaal geld om draaiend te houden. Opschalen met een aanval klinkt misschien leuk in de theorie, maar in de praktijk kost dat klauwen met geld.

Om het anders te verwoorden: Ik geef aan dat je een dure oplossing geeft, en jij reageert daarop door uit te gaan leggen hoe de oplossing werkt. Ik constateer een mismatch.

[Reactie gewijzigd door dcm360 op 29 januari 2018 14:55]

Je zegt dat je werkt met virtualisatieservers en VPS'en en tegelijkertijd zeg je
Hieruit lees ik dan weer dat je dus 25 keer zoveel resources nodig hebt dan de normale workload (jouw getallen van 2 VM's en 50VM's even overgenomen), om een aanval af te kunnen slaan (en dan negeer ik bandbreedte even).
Over welke resources heb je het dan? Stroom?
Servers kosten geld dat staat niet ter discussie maar je heb nog steeds geen enkel argument aangedragen waarom een cloud duurder of net zo duur zou zijn als traditionele setup.
Over welke resources heb je het dan? Stroom?
Servers kosten geld dat staat niet ter discussie maar je heb nog steeds geen enkel argument aangedragen waarom een cloud duurder of net zo duur zou zijn als traditionele setup.
Ik heb dan ook nergens gezegd dat een cloud duurder is dan (of net zo duur is als) een traditionele setup. In beide gevallen is het gewoon duur door een DDoS proberen aan te pakken door op te schalen. Hoe duur het precies is hangt af van de inrichting, en in sommige gevallen is een traditionele setup minder duur, en in andere gevallen is de cloud minder duur.

Het meest vervelende aan de opschaalstrategie is ook nog dat het opschalen van een DDoS ruim goedkoper is dan het opschalen van het te verdedigen platform.
Uiteindelijk gaat het om je afgesproken SLA wat je wil halen. Het goedkoopste is natuurlijk gewoon je erbij neerleggen en wachten tot het attack afgelopen is maar het argument over het gebruik van een cloud als verdediging is dus juist gericht op effectiviteit tov kosten plaatje.
Het cloud concept is juist ontworpen met o.a dDos in gedachte en dus hoe om te gaan met zo min mogelijk "single points of failures". Opschalen van traditionele server omgevingen gaat exponentieel omhoog in kosten terwijl een cloud linear omhoog gaat buiten alle ander voordelen dat het biedt.
Wat? je moet het niet zelf hosten zodat je kosten bespaart door een hardware reserve te delen met andere partijen in een cloud omgeving en die kosten moet je ontwijken door zelf die cloud omgeving op te zetten en andere partijen mee te krijgen in je plan? dan kan je netzogoed exclusief cloudhoster worden als dat je lukt.
Waarom zou je dan je eigen webservers hebben je zou dan toch gewoon net zo goed een webhoster kunnen worden?
Er zijn genoeg reden te bedenken waarom iemand zijn service inhouse wil beheren maar dat gaat nogal ver buiten dit argument om.
Heb je last van een attack dan schaal je de aantal virtualisaties op over verschillende locaties waardoor je dus met 10 x een langzame
Je kan ook gewoon je eigen cloud bouwen daar heb je geen provider voor nodig.
je kan niet opschalen zonder extra apparaten. Hoe wil je dat ooit financieel verantwoorden dat je 10x de capaciteit in huis hebt maar er maar 10% benut wordt terwijl de andere 90% voor die DDOS aanval is van eens in de twee maanden? Je moet wel de krachten bundelen met andere zodat je die 90% gedeelt is met 180 anderen die ook allemaal 10% van die capaciteit hebben. opeens hoef je dan nog maar 10.5% van de machines te financieren. Dat is waarom inhouse DDOS migratie praktisch onmogelijk is tenzij je zelf een data center hebt waar andere van huren.
Uptime garantie. Als je het niet erg vindt dat je service offline gaat ga je natuurlijk geen overcapaciteit beschikbaar maken.
Ben je echter een bank, exchange of belastingdienst dan kan elke seconde dat je offline bent miljoenen kosten wat dus het gehele plaatje verantwoord. Als je dan ook nog eens voordeliger uit bent met een cloud tov traditionele servers om hetzelfde niveau van attack tegen te houden dan is dat een mooi argument om mee te nemen in je kostenplaatje berekening.
Ja maar je gaat niet 90% overcapaciteit inkopen, dat is niet te doen. je hebt uberhaupt al overcapiciteit nodig voor load tijden. als je daar dan die 90% op gooit krijg je dat in de dal uren (rara, dit is het grootste gedeelte van de tijd het geval) 95% van je capiciteit onbenut is. Dat kan niet, dan ga je gewoon neer als bedrijf ongeacht welk veld je in werkt want die middelen voor 100% uptime zijn het never nooit waard. dus nee, het is nooit een oplossing omdat het de hele instelling ten einde brengt. kanker bestrijd je ook niet door iemand neer te knallen, dat schiet zn doel voorbij en doet wat het moet voorkomen: een einde maken.
Dat is het mooie van cloud. Je overcapaciteit hoeft niet constant actief te staan dus in "dal" uren kost het zeer weinig om te onderhouden en als je het nodig heb is het direct beschikbaar. Tevens zijn percentages van +90% totaal uit de lucht gegrepen aangezien we het hebben over VM's en niet fysieke servers. Er zijn geen servers die alleen maar 1 of 2 VM tegelijk kunnen draaien maar sommige configuraties kunnen wel tot 24 tegelijk draaien met ieder een dedicated netwerk aansluiting in 1 server rackmount.

Wat iemand met kanker neerschieten nou te maken heeft met dit onderwerp zie ik zo niet maar als we toch die kant op gaan zou het me niks verbazen als er landen zijn die EMP wapens hebben om complete landen plat te leggen in het geval van cyber warfare dus hoe ver wil je gaan met je argument?
Ik heb het hier dus totaal niet over stroom verbruik en koeling. het duurst is altijd iets wat je niet gebruikt, dat is die overcapiciteit. want je moet wel de infrastructuur aanleggen, wel de servers kopen en up to date houden en vervangen als ze EOL hebben berijkt, het pand huren waar die servers in staan, etc etc etc. stroom verbruik is hoogstens 1/3de van die kosten, realistischer is 20%. (zoals in dit onderzoek omschreven, wat nieteens de kosten van netwerkbeheer erbij betrekt)
Ik heb het over overcapaciteit in een enkele rackmount en jij moet een onderzoek erbij halen over de kosten van het hele gebouw?
Ja ben er mee eens, je eigen datacenter runnen is duur en als je dat alleen maar voor de service van een simpel bedrijfje doet is het totale overkill. Is dat wat je wil dat ik zeg ofzo? Dan bij deze.
Je had het helemaal niet over overcapiciteit in een enkele rackmount, je had het over op 10 verschillende locaties een eigen cloud omgeving draaien om die te grote DDOS aanval van eens in de x kwartalen te verhelpen.
Laat dit nou ook toevallig een van de redenen zijn dat men "cloud computing" heeft ontwikkeld. Heb je last van een attack dan schaal je de aantal virtualisaties op over verschillende locaties waardoor je dus met 10 x een langzame A10 snel verkeer doorvoer creŽert waardoor de service niveau behouden blijft.
Yup je kan een rackmount plaatsen in meerdere datacenters en die allemaal met elkaar verbinden. Dat jij zo graag het hele datacenter wil af huren ofzo heeft daar weinig mee te maken.
Oh ik zie al wat ik verkeerd lees haha. ik maakte van cloud provider hosting provider. oeps.
Servers, leuk om te zien natuurlijk, maar ik vraag me af in hoeverre de Firewalls en IDS-en hierin opgenomen zijn. :?
Want die blokkeren werkelijk de hoeveelheid excessief verkeer...
Servers staan stof te happen.
Volgens de tekst zou de site weer beschikbaar moeten zijn, maar ik heb hier direct al een zooi time-outs. De site doet ook niks hier.

Pinging belastingdienst.nl [85.159.98.33] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 85.159.98.33:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

[Reactie gewijzigd door michelsoe12 op 29 januari 2018 13:40]

Een ping zegt helemaal niks, omdat ICMP-verkeer (waar ping onder valt) vaak geblokkeerd wordt.

De site is hier in ieder geval gewoon weer bereikbaar (op het door jou genoemde IP-adres).
In mijn geval doet de site dus niks.
Wie zegt dat ze ICMP niet filteren bij de belastingdienst? Ik heb het niet gecheckt maar wel of niet kunnen pingen zegt niet zoveel.
Misschien even httping -c2 -p443 belastingdienst.nl doen?

ICMP is verre van betrouwbaar en zegt vaak niets, de ťťn blokkeert ICMP verkeer in zijn geheel terwijl de ander het een lagere prioriteit geeft. ICMP geeft anno 2018 een vertekend beeld ;-)
je zou op momenten als deze verbindingen met landen en hun internet moeten kunnen verbreken.

Gewoon keihard de kabels eruit zodat je kan zien waar het vandaan komt en de meuk kan traceren.
dat het land dan even zonder zit tja beter 5 minuten om te testen dan als dit probleem blijft groeien dagen of langer.
Unplug rusland even van het internet is het er nog steeds dan was het rusland niet.
Unplug china is het probleem weg dan was het china is het probleem gehalveerd dan zijn het personen vanuit meer landen.
Je moet iets doen om deze acties te traceren of in ieder geval een land verantwoordelijk te houden en er wat aan te doen.
Was het zo simpel, dan was dat wel gedaan.

Een botnet bestaat gewoon uit PC's over de hele wereld, daar wordt vanuit 1 plek een commando gestuurd (do XX request bij YY voor ZZ tijd) en dan stopt de bron. Zoals je bij de diverse geo-maps kan zien, komen de requests uit de hele wereld, dan moet je dus gewoon hele AIX eruittrekken, voor die 4 bedrijfjes die een ddos hebben?
Ja maar ergens moet toch de opdracht vandaan komen.
of gaat het hele zaakje gewoon vanzelf door vanaf het moment dat de opdracht gegeven is tot het stop signaal gegeven is?
fire and forget principe, de opdracht gaat 1x (en ws zelfs in 'node/spider' vorm dat het zichzelf doorstuurt naar andere nodes) en laten ze rustig doordraaien.
Het Internet is grotendeels ingericht als MESH netwerk. Als jij een willekeurige kabel lostrekt zoekt het verkeer een andere route.

In het ideale geval merk je niks van die losgetrokken kabel. In een ongunstig geval zorgt het voor tragere verbindingen in de regio.

Een kabel lostrekken lost dus niks op maar veroorzaakt mogelijk wel schade elders.
Waar we naar toe moeten is dat ten eerste elke ISP op het internet verplicht ingress/egress filtering moet gebruiken, en dat eigenaren van IPs via hun ISP tegen een andere ISP kunnen zeggen "stuur mij geen traffic van dit subnet" (met een hogere prioriteit dan het DDOS verkeer natuurlijk). Dan kan het verkeer bijna meteen bij de bron gefiltered worden.

Hier zijn heel veel afspraken en hardware voor nodig, maar de hoeveelheid extra hardware die nodig is zodat DDOS bij de bron gefiltered zou kunnen worden zal meerdere orders van magnitude goedkoper zijn dan de hardware die nu aan DDOS mitigatie word verspilt.

We lossen DDOS nu vooral op door er meer bandbreedte en meer servers tegenaan te gooien en af en toe een klein beetje filteren. Dat moet precies andersom en als het internet met iets meer intelligentie ontwikkelt word dan kan dat ook.
Met filtering kun je gespoofde IP's tegengaan, maar volgens mij zijn die allang niet het grootste probleem meer.

De meeste "aanvallers" zijn gewone PC's, van normale mensen, met een reguliere Internet aansluiting die niet doorhebben dat ze besmet zijn met malware.

Als je subnetten met normale gebruikers gaat filteren kun je net zo goed je website offline halen. Normale gebruikers kunnen je website dan toch al niet meer bereiken.
Je moet subnet niet te letterlijk nemen, een IP is gewoon een heel specifiek subnet, soms zal het misschien nodig zijn om iets grover te zijn. Als je na de eerste paar honderd bytes van een bot al tegen zijn ISP kan zeggen "daar wil ik niks meer van hebben" dan houd een DDOS snel op.

Tuurlijk, de ISPs komen dan met duizenden filter regels te zitten ... zoals ik zei, je moet er wat er hardware tegenaan gooien. Maar dat is niks vergeleken met wat zeg cloudflare neerzet om DDOS's af te zwakken via meer bandbreedte en meer servers.
Wanneer gaan we cyber oorlogsvoering zien als een echte daad van oorlogsvoering?
Zeer interessante kaart waarbij je kunt zien dat Europa under attack is en niet Nld specifiek. Wat imo ook gelijk het argument dat de Russen met deze attack Nld willen straffen of wraak willen nemen ontkracht. Europa wordt getroffen en Nld is niet eens het zwaarste doel.

Als je wilt kijken naar de mogelijke dader(s), moet je kijken naar wie er belang bij zo'n aanval heeft. Een DOSS aanval gaat van bruut en weinig subtiel en wordt meestal uitgevoerd door personen of groepen die even hun spierballen willen laten zien en heeft weinig te maken strategisch inzicht. Ik zie het zelf als iets uitermate primitiefs. Ik denk dan al gauw aan (idealistische) Anonymous hackers, IS strijders of criminele groepen die in het afpers circuit zitten.
Verwijzing naar specifieke landen (Rusland, China, Noord Korea) en complottheorien als zitten er eigen (Europese) geheime diensten achter verwijs ik dan ook simpel naar het rijk der fabelen. Landen hebben andere doelen en kunnen via het internet op veel subtielere manieren inzetten. Door dit soort acties ondermijnen ze hun eigen strategien. Eigen geheime diensten die hiermee anti-privacy agenda's zouden willen promoten kunnen dit ook veel betere manieren doen. Waarbij ik ook duidelijk wil stellen ALS ze dit al zouden willen doen want dat is maar zeer de vraag.
Kortom de conclusie is duidelijk dat we hier te maken te hebben met een stelletje (idealistische) mafketels of met criminelen die op geld uit zijn.
Zolang er geen directe doden vallen lijkt het mij niet wenselijk om ze gelijk te stellen. Als je bewust een kernreactor zou laten ploffen lijkt me dat wel het geval.
Doden als bij een MH17 bedoel je? Ik meen dat oorlogsrecht toch ook aanvallen op de infrastructuur beschrijft, of daar nu doden en gewonden bij vallen of niet?
Slecht voorbeeld, dat had niks met een cyberattack te maken, maargoed aanvallen op infrastructuur kan ik nog wel zien als een oorlogsdaad zolang men niet gaat roepen dat de Belastingdienst daar onderdeel van uitmaakt.
Stuxnet was bedoeld om o.a. nucleaire verrijking in Iran te blokkeren - da's industriele sabotage. Die was wel bedoeld om subtiel te werk te gaan, ipv catastrofaal. Kwestie van tijd denk ik. Er waren ook geruchten dat dmv cyberaanvallen en dergelijke een aantal Noord-Koreaanse raketproeven mislukt waren.
DigiD is ook slecht bereikbaar...
Digipoort ligt ook eruit. Leuk als je btw-aangiften moet indienen. Ik kreeg net bevestiging van de softwareleverancier dat er een storing is bij de Belastingdienst.
Wat ik mij afvraag - mijn kennis gaat helaas niet zover ;-)

Zou het niet mogelijk zijn om belangrijke instanties als overheidsinstellingen als ook financiŽle instellingen te laten samenwerken met Internet Service Providers (ISP's) en alle websites van deze belangrijke instellingen middels een lokale range beschikbaar te stellen die dus ook niet wordt geannounced op het publieke netwerk ?!

Een mooie range zou bijvoorbeeld 172.16.0.0/12 zijn, welke eigenlijk nauwelijks gebruikt wordt daar de meeste switches/routers binnen de 192- of 10 subnet vallen (tenminste, ik kom 172 nauwelijks tegen).

Op deze manier kun je aanvallen van buiten Nederland afhouden, biedt je de diensten aan, aan de doelgroep waarvoor het bedoeld is. Mogelijk zouden de diensten ook via een publiek ip-adres aangeboden kunnen blijven worden maar kun je bij een eventuele aanvallen het betreffende ip-adres of range compleet uit de lucht trekken zodat Nederlandse inwoners ongestoord de diensten kunnen blijven gebruiken.

Slechts een kwestie van samenwerking tussen "alle" ISP's en de belangrijkste instanties lijkt mij of is dit te kort door de bocht ?
Ik ben bang dat je redenering niet klopt, de 172 en 192 zijn private network ranges welke simpelweg niet gebruikt kunnen worden op de manier die je voor ogen hebt. al was het alleen al dat bijna alle consumenten routers/firewalls hard coded verkeer naar die ranges niet routeren/blokkeren. Echter is het zeker wel technisch haalbaar om alleen verkeer van in NL geregistreerde subnetten te routeren naar bepaalde uplinks/ipranges welke gebruikt worden door "belangrijke instanties".
Helaas is dat ook geen oplossing want er is binnen nederland ook voldoende capaciteit in te kopen om vanuit nederland "intern" te ddossen.

Feit is dat de manier waarop ip verkeer momenteel werkt er geen one-click oplossing is voor ddos aanvallen. Als een dienst bereikbaar is voor het grote publiek zal deze per definitie vatbaar zijn voor ddos aanvallen.
Of te wel, het beste zou zijn wanneer om de IPv4 en IPv6 adressen niet langer te announcen aan "het grote boze internet" (BGP??) (even simpel gezegd) maar om de directe routering naar hen op lokaal niveau bij de internet providers zelf te realiseren.

Door een dergelijke samenwerking (internet providers & instanties), kun je tenslotte voorkomen dat er op grote schaal aanvallen kunnen worden gepleegd met alle gevolgen van dien.

Mooiste zou natuurlijk zijn wanneer IPv4 volledig is uitgefaseerd en iedereen over is op IPv6, en een compleet IPv6 subnet puur en alleen voor het binnenland in te zetten en niet langer aan het grote publiek aan te bieden maar puur de mensen die gebruik maken van een provider in Nederland.

Ik heb er de know-how niet van, maar als iets dergelijks technisch haalbaar "zou zijn", snap ik eigenlijk niet wat de overheid (overheidsinstellingen) en financiŽle sectoren ervan weerhoudt. Zeker ook nu cyberaanvallen grootschaliger worden en de impact hiervan enorm kan zijn.

[Reactie gewijzigd door DarkForce op 29 januari 2018 13:56]

Zeker ook nu cyberaanvallen grootschaliger worden en de impact hiervan enorm kan zijn.
Wat dacht je dat de financiele impact is als men nederland eventjes 'op slot' doet?
True, waar ik op doel is echter dat voor particulieren en het bedrijfsleven een andere ingang is. Dus toegang via een andere ip-range wanneer je gebruik maakt van een internet provider in Nederland.

Waardoor bij eventuele calamiteiten of cyberaanvallen, de Nederlandse burger probleemloos gebruik kan blijven maken van diensten die gewoonweg noodzakelijk zijn (financiŽle als ook die van de rijksoverheid).

Het is nu tenslotte zo, dat bij een aanval op de Rabobank. Rabobank in zijn geheel onbereikbaar is. Dit zou (in mijn ogen) toch best makkelijk op te vangen moeten zijn door de diensten bereikbaar te maken via een andere ip-range (alleen toegankelijk via NL ISP's).

Dus;
www.rabobank.nl -> 123.456.789.098 welke publiekelijk toegankelijk is.
www.rabobank.nl -> 098.987.654.321 welke niet announced wordt (BGP) maar puur wordt doorgegeven door internet providers onderling.

Volgt een aanval op 123.456.789.098, isoleer je deze waardoor je binnen Nederland gewoon de diensten veilig en zonder enig probleem kunt continueren.

De impact is dan vele malen minder daar het bedrijfsleven als ook de consumenten ongestoord gebruik kunnen maken van deze diensten.
Technisch kun je wel iets in die richting regelen. Je hoeft daar geen speciale IP adressen voor te gebruiken - je kunt er gewoon voor zorgen dat Nederlandse klanten via een aparte route binnenkomen en je een deel van de servers voor hen reserveert.

Maarrrrr...:

1) Het lijkt mij strijdig met de netneutraliteit. (Het routerings deel. The reserveren van servers mag weer wel.)

2) Het is waarschijnlijk dat ook Nederlandse gebruikers (zonder dat zelf te weten) deelnemen aan de DDOS. De bank krijgt dus alsnog een DDOS voor zijn kiezen, hetzij, mogelijk, een (flink) stuk kleiner.
Je hoeft daar geen speciale IP adressen voor te gebruiken - je kunt er gewoon voor zorgen dat Nederlandse klanten via een aparte route binnenkomen en je een deel van de servers voor hen reserveert.
True, waarom ik specifiek doel op een range is omdat dit naar mijn idee juist vele malen makkelijker te filteren (af te zonderen) is van het internet zelf dan een single IP. Een /12 kun je tenslotte eenvoudig met ťťn regel filteren (bij wijze van spreke) terwijl je een single IP per /32 moet filteren en dan ben je met al die banken en (semi)overheidsinstellingen nog wel even bezig.

Door uiteindelijk een /12 puur voor Nederland in te zetten en daarvan verder niets te routeren naar buiten, heb je bij een aanval geen problemen. Je zou bij wijze van spreke de stekker uit het betreffende interface eruit kunnen trekken omdat alles in ons eigen kikkerlandje gewoon probleemloos door kan functioneren.
et lijkt mij strijdig met de netneutraliteit. (Het routerings deel. The reserveren van servers mag weer wel.)
Volgens mij was netneutraliteit voor de consument (B2C). Het is namelijk ook mogelijk voor bedrijven om geografische blokkades in te stellen, iets waar het in feite ook op neer komt.
Het is waarschijnlijk dat ook Nederlandse gebruikers (zonder dat zelf te weten) deelnemen aan de DDOS. De bank krijgt dus alsnog een DDOS voor zijn kiezen, hetzij, mogelijk, een (flink) stuk kleiner.
Ik vermoed eigenlijk dat dit heel wat grootschaliger is dan dat dit vooral van Nederlandse bodem is. Als dit wel het geval was geweest, had dit zeer waarschijnlijk al wel naar buiten gebracht geweest en had menig consument zijn beklacht al wel gedaan dat deze is afgesloten van internet.

[Reactie gewijzigd door DarkForce op 29 januari 2018 15:59]

Denk dat er een hoop ondernemers zijn die denken pie.. ik moet mijn OB belasting nog doen.
Mogelijk ook relevant maar ook de KPN website heeft te maken met verminderde bereikbaarheid momenteel.
Kan je een Netwerk ook DDossen? Je verteld dat de site problemen heeft. Maar ik heb geen mobiel bereik meer op dit moment bij KPN. Kan toeval zijn...

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*