AMS-IX wil Trusted Network Initiative na ddos-aanvallen nieuw leven inblazen

De Amsterdam Internet Exchange heeft donderdag opgeroepen om het Trusted Networks Initiative nieuw leven in te blazen. Aanleiding daarvoor zijn de recente ddos-aanvallen, die onder meer waren gericht op Nederlandse banken.

In een bijeenkomst voor journalisten legde AMS-IX-cto Henk Steenman uit dat er een betrekkelijk eenvoudige oplossing is om ddos-aanvallen grotendeels tegen te gaan. Dit zou mogelijk zijn door directe peering tussen de providers van vitale diensten, waar onder meer banken onder vallen. Bij een ddos-aanval met grote hoeveelheden verkeer van buiten Nederland zouden deze en andere vitale diensten op deze manier voor Nederlandse gebruikers beschikbaar blijven. Het overgaan op deze oplossing zou volgens Steenman niet moeilijk zijn en niet veel meer behelzen dan 'het aanmaken van een nieuw vlan'.

Dit is geen geheel nieuw idee, omdat dit in het verleden wel is aangeduid als het zogenaamde Trusted Networks Initiative. Dat is er uiteindelijk echter niet gekomen. De non-profitorganisatie legt uit dat als er dan toch Nederlandse systemen zijn betrokken bij een ddos-aanval, deze achteraf vrij eenvoudig te identificeren zouden moeten zijn. Ook zou de kracht van de aanval in dat geval afgezwakt kunnen worden door maatregelen als de NaWas, oftewel Nationale Wasstraat. Dit is een initiatief van DHPA, AMS-IX en NL-IX, waarbij verkeer van een aangevallen provider langs apparatuur voor een grondige 'wasbeurt' wordt gehaald.

Lees meer

IT Banen

Reacties (53)

L0g0ff

22 februari 2018 20:50

Bij de podcast met nerds om tafel (https://www.metnerdsomtaf...aughtyport-erik-bais.html) hadden ze het laast ook over naughty ports. Dat klinkt een beetje als dezelfde oplossing. Gewoon (buitenlands) bandbreedte waar de kans groot is dat er rotzooi vandaan komt, op voorhand minder bandbreedte geven zodat ze bij een ddos ook minder data te verwerken hebben. En de Nederlandse ISP's tijdens een ddos gewoon wel de bank (of andere dienst) kunnen benaderen.

Al druist dat wel een beetje in tegen de netneutraliteit als ik het zo opschrijf

Barreljan
@L0g0ff • 22 februari 2018 22:51

NaughtyPorts is een beetje vreemd inderdaad. Dat is in mijn optiek ook niet helemaal de juiste weg. Erik is mij geen onbekende, +-6 jaar mee gewerkt maar toch had en heeft ie wel wat bijzondere keuzes soms. Al een tijd niet meer gesproken al zit-ie tegenover in de straat

En het is niet iets als bijvoorbeeld de NaWas oplossing. Die hebben wij ook op het werk (waren een van de eerste deelnemers) en ik ben zoooo blij daarmee in combinatie met automatische mitigatie door onze Genie tool. Hands down, schitterend. Gisteren nog een 9Gbit incomming DDoS gehad, geen centje pijn. Flinke aanval op packets/s? No problem. Eerste 3 minuten even kijken of het echt zo is, dan automatisch kickt het proces in. Ja, die eerste 3 minuten is er even overlast maar lang niet zo erg als een half uur of langer je uplinks vol, firewalls over de zeik etc

Hoogste piek die wij gezien hebben was een 35Gbps (DNS amplification) en werd keurig weggenomen.

De Nawas scrubt en filtert flink met hun hoge capaciteit en specialistische hardware met heftige specs (wat wij en meeste andere ISP's niet hebben) en levert het 'schoon' af. Het werkt vrij simpel; via een apart vlan op de AMS-IX koppeling, adverteer je een 'more specific', vaak een /24 waar het doel in valt, om een voorkeurs pad te krijgen. De Nawas adverteert deze direct op de AMS-IX en hun ander transit partijen. Of te wel, ze trekken voor dit subnet het verkeer aan/naar zich toe. In hun netwerk staat per aangesloten deelnemer geconfigureerd welke netwerken waar werkelijk leven en sturen het over het juiste (en dus zelfde) vlan weer naar binnen.

Heel soms staat het filter wat strak en een enkele keer moet er toch door complexiteit van de aanval wat getweaked worden om overlast weg te nemen maar dat is normaliter binnen een half uur geheel onder controle.

En, de NaWas tapt niet af. Zeker niet, de stichting NBIP (die beheer heeft over de Nawas) heeft daar toch echt andere procedures voor (weet ik uit ervaring).

[Reactie gewijzigd door Barreljan op 23 februari 2018 08:50]

Kain_niaK
@Barreljan • 23 februari 2018 11:55

1€ @TweakersTipBot

Ebais
@Barreljan • 25 februari 2018 22:52

Wellicht moet je eens een kop koffie aan de overkant van de straat komen drinken BJ, dan kunnen we het een keer uitleggen hoe het Naughty Port werkt ...

Een partij die weinig aan eigen abuse afhandeling doet, zal een hogere rating hebben, omdat ze meer open NTP of open DNS resolvers in hun netwerk hebben staan ... en dat soort gedrag zorgt juist ervoor dat andere er last van hebben ...

Netwerken met een rating hoger dan 1, zouden besproken moeten zijn, of je wel met ze zou willen peeren ...

{
"asn": 15879,
"name": "KPN-INTERNEDSERVICES",
"set": "",
"descr": "",
"org": "https://naughty.a2b-internet.com/api/organizations/ORG-ISB2-RIPE/",
"naughty_rating": 1.0175117481203,
"ip_space_count": 170240,
"vulnerabilities": {
"mdns": 32,
"ntp": 299,
"portmap": 128,
"telnet": 79,
"dns": 41,
"ssdp": 6,
"netbios": 64
}
}

{
"asn": 28685,
"name": "ASN-ROUTIT",
"set": "",
"descr": "",
"org": "https://naughty.a2b-internet.com/api/organizations/ORG-RB1-RIPE/",
"naughty_rating": 7.94127552751728,
"ip_space_count": 259328,
"vulnerabilities": {
"qotd": 1,
"mdns": 66,
"ntp": 3604,
"char_gen": 6,
"snmp": 1,
"portmap": 66,
"telnet": 2371,
"dns": 682,
"ssdp": 85,
"netbios": 102
}
}

Dit probleem oplossen, kan alleen als we anders gaan denken en handelen ...

Als je blij bent met een ddos van 9Gbps .. dan heb je mazzel dat het geen 150Gbps was ... want meer capaciteit gaat niet de oplossing zijn ... OVH heeft al een ddos van 1Tbps gehad ... hoeveel bandbreedte heeft de Nawas denk je ? De oplossing is beter abuse management EN goed bekijken hoe je je peerings opzet en met wie.. en juist niet op basis van regulier verkeer, maar op basis van hun Naughty-ness.

Wanneer kom je eens een bakkie doen ?

Barreljan
@Ebais • 26 februari 2018 10:40

Hee kijk

Precies waar ik op hoopte; de discussie uitbreiden en ook hier op T.NET wat meer inzicht te kunnen verschaffen.

De oplossing is beter abuse management

Dit, precies dit. Helaas weet ik daar geen oplossing voor. Ik heb vorige week al 6 abuse meldingen links en rechts verstuurd van scannende machines en dit jaar totaal al plenty maar je krijgt bijna dan wel nooit een reply.
De mate van communicatie waarin men hier mee omgaat op het Internet (isp/transit/etc) is echt tenenkrommend. Moet ik dan ook maar hun transit partijen in de communicatie meenemen? Hun misschien bewegen om de aangesloten partij wat te 'dwingen' ?

De NP is wel een goed concept, zonder meer, maar het is meer bescherming zodat je er geen last van hebt. De Nawas heeft zoals jij en ik weten inderdaad een beperkte capaciteit maar voor vele kleinere ISP's die niet al te grote public facing klanten heeft (denk aan Geenstijl of overheids zaken) is dat perfect om te hebben. Voor grotere jongens, een OVH for instance, ja dan is dat niet voldoende als je 1TB inbound om de oren krijgt.
Echter het aanvallende groepje servers blijft en lost niet op. Dat is een beetje de discussie die ik hier intern ook heb. Ja de techniek is prachtig, je kan veel afvangen en anders je netwerk in laten komen maar uiteindelijk vind ik, let op; vind ik, het een geval van de rotzooi van een ander oplossen. Een collega is juist van mening dat het niet dat is maar jezelf beschermen.

Koffie, kan deze week wel even aanwaaien

Ebais
@Barreljan • 26 februari 2018 10:53

Je kan eens kijken naar de webcast en presentatie die ik in Denemarken heb gegeven over het Naughty Port project. ( https://ripe72.ripe.net/archives/video/116/ )

Daar staat ook de losse presentatie.

Wat we als NL ISP's moeten doen is de mogelijk incorrect geconfigureerde devices in ons eigen netwerk opruimen.. dat kan door gebruik te maken van feeds zoals Shadowserver die gratis geeft. ( mailtje sturen en opvragen.) Dan je eigen klanten aanspreken dat ze hun devices beter moeten configureren.. (dicht timmeren..) en dan ben je als ISP zelf in ieder geval andere niet meer tot last.

Daarna is het selectiever je peerings bekijken.. wat heb je aan een peering met een Ukrainse of Russische ISP, als je klant doelgroep Nederlands talige hosting is ?? Of access diensten .. En

Je kan op Transit dmv bgp communities een /32 null-routen .. maar op een internet exchange kan dat niet.. En door de Naughty Peers van je primaire Internet Exchange poort af te houden, heb je dus een snelweg over voor de Good Peers.. De presentatie / webcast geeft er meer duidelijkheid over..

Ook hoe je automatisch abuse afhandeling zou kunnen doen dmv de software van Abuse.io

In de presentatie staat ook (summier) hoe je bep. peers kan excluden via de AMS-IX Route Servers.. waardoor je meer controle krijgt over wie je routes ontvangen.. (En dat is eigenlijk de hele truuk.. )

totaalgeenhard
22 februari 2018 18:36

Weet je dat hier al 20 jaar over gesproken is.

Unicast reverse path (tegen spoofing) en aanpakken na notificatie binnen bepaalde tijd kunnen ze contractueel afdwingen met als stok achter de deur poort dicht.

Er is geen wil en keten aansprakelijkheid heeft men nooit juridisch toegepast op deze casus.

In feite hoeft de overheid aan te geven dat ze of preventieve, structurele maatregelen moeten treffen of bij volgende verstoring ze strafrechtelijk hele keten aansprakelijk gaan stellen, waarbij de Nederlandse partijen kat in het bakje zijn natuurlijk.

Echter doordat Nederlandse overheid passief blijft toekijken en Internet partijen DDoS als incidenten blijft zien zijn we nu 20 jaar later nog steeds aan het praten over oplossingen die vorige eeuw al als pragmatisch en structureel uit de bus kwamen.

kodak
@totaalgeenhard • 22 februari 2018 23:05

We hebben in Nederland en Europa een stelsel waarin de private bedrijven eigen verantwoordelijkheid heeft om beschermende maatregelen te treffen. Dat is waar democratisch voor gekozen is. Het is dus te makkelijk om naar de overheid te wijzen dat die dit probleem moet oplossen.

Bij de minste of geringste onderbreking gaan op social media al golven van verontwaardiging rond zonder de gebruikers bedenken dat diensten meestal echt niet van levensbelang zijn en wie er dan moet gaan betalen voor de investeringen. Het is begrijpelijk dat als heel veel mensen zich afhankelijk maken van bepaalde diensten ze dan waar voor hun geld willen. Maar niemand heeft het over de eigen verantwoordelijkheid om niet te afhankelijk te zijn of diensten te kopen waarbij er garanties worden gegeven. We menen maar wat graag dat alles maar voor ons geregeld moet worden, we daar niets voor hoeven doen en ook niet voor hoeven te betalen.

Laten we niet ook vergeten dat preventieve maatregelen geen toveroplossing zijn tegen bijvoorbeeld onderbreking van dienstverlening. Niets heeft een gerantie van 100% beschikbaarheid omdat onderbrekingen in geen enkele bestaan te voorkomen zijn. Aan alles zit een risico dat je capaciteit beperkter is dan de tegenstander of dat de oplossingen zelf net zo goed gevoelig zijn voor het veroorzaken van onderbrekingen.

URP, Trusted Network Initiative of Nawas zijn ook geen volledige oplossing tegen ddos. Het zijn mogelijke oplossingen en niemand heeft ooit bewezen dat het een betere oplossingen zijn dan alle oplossingen die tot nu toe zijn toegepast. Dus een goede reactie naar de voorstanders zou zijn om te vragen om bewijzen waarom die oplossingen beter zijn. Dat is het minste wat iedereen kan doen als het echt om de beschikbaarheid gaat. Maar het lijkt weer de situatie dat we klagen dat het niet goed is en iets anders dus beter is. Daar helpt geen overheidsmaatregel tegen. Behalve nog duidelijker maken wie verantwoordelijk is.

[Reactie gewijzigd door kodak op 22 februari 2018 23:27]

totaalgeenhard
@kodak • 23 februari 2018 01:22

En zodra je eigen verantwoordelijkheid niet neemt en derden daar schade van ondervinden je aansprakelijk gehouden kunt worden.

"Zonder heler geen steler", zonder mensen die bij voorbereidingen helpen, geen aanslagen of moorden etc.

Uit eindelijk worden mensen/bedrijven voor hun aandeel aangepakt.

Ik wijs niet naar overheid ISP's en destijds telco's (die in den beginne geen ISP waren, maar aan backbone/interconnects verdienden) waren vorige eeuw al in conclaaf.

Zaken zoals SPAM hebben zichzelf opgelost door filters en zwarte lijsten. Ja er zijn nog steeds spamrun maar impact is te verwaarlozen tov wilde westen begin deze eeuw waarbij sommige spammers hele AS hebben zitten announcen om spamrun eruit te gooien.

Overigens mede naar aanleiding daarvan hebben ze in dit deel van de wereld authenticatie ingevoerd.

Kennelijk zag men toen wel in dat er een structurele oplossing moest komen.

De discussie over impact en eventueel de relatie met sociale verontwaardiging t/m individuele afhankelijkheid wil ik niet voeren. Daar kunnen mensen die sociale wetenschappen studeren mooi op afstuderen.

Het gaat mij er puur om dat ik in verschillen praat clubjes heb gezeten, waar praten en aanwezigheid belangrijker is dan resultaten. En aangezien de organisator er toch betaald voor krijgt kan het ze niet schelen.

Ik zeg nergens dat NAWAS en/of TNI een oplossing is.
Sterker nog ken de procedurele en technische verhaal er achter niet eens.

Wat ik voorstel is wel degelijk structureel en preventief aangezien je vervuiler verantwoordelijk maakt.
En als alle peer punten en telco's in Nederland meewerken riskeren buitenlandse partijen dat connecviteit naar Nederaldn gedropt zal worden indien ze niet basale maatregelen treffen zoals uRP, dynamische rules op overduidelijke nutteloos verkeer en afdwingen dat upstream partijen waar ze connectiviteit mee hebben hetzelfde doen.

In eerste instantie voorkom je daarmee dat die troep Nederland inkomt en op den duur als andere nut en noodzaak inzien kan je het naar Europese schaal doortrekken. Dat je bij cores van onze "buiten grenzen" verkeer gaat droppen heeft niemand last van en als het transit verkeer betreft mag je de vervuiler best meer laten betalen, peering intrekken en uiteindelijk port dicht gooien als ze het probleem niet uitpakken.

Vorige eeuw zag je dat naar mate landen minder de Engelse taal machtig zijn (of niet als tweede taal hadden) naar mate hun security en infrastructuur slechter in elkaar zat en als je er op wees krijg je in gebrekkig Engels een antwoord dat ze niet begrepen waar je het over hebt.

De reden dat je spoofen wilt voorkomen is dat je dan meteen kunt terug herleiden wat de bron is.

En onder Nederlandse strafrecht is degene die faciliteert gewoon strafbaar en kan indien het iets is wat of gehacked is of verkeerd geconfigureerd is gewoon civiel rechtelijk je schade op verhalen.

Daar voorziet onze (En meeste westerse democratieën ) al reeds in.

In de publieke & private commissies die er zijn geweest in de afgelopen 20 jaar met als onderwerp Internet / infrastructuur beveiliging is men niet verder gekomen dan praten en wat ik opper heb ik in de afgelopen 20 jaar constant gedaan.

Maar de wil is er niet en management van ISP's bestaan (niet meer) uit techneuten die inzien en overzien hoe klein de technische impact is en hoe groot het voordeel terwijl het feitelijk geen investering kost.

Hedendaagse infrastructuur die voorziet al in treshold based dynamische rules.

Alleen als AMS-IX en knooppunten niet verder willen ingrijpen dient overheid ze voor keuze te stellen, doe het uit jezelf of elke keer zullen we strafrechtelijk bij je langskomen.

ps: schoot me iets te binnen. Vorig jaar had ik 26.000 IP's die aanval deden. Deze waren niet gespoofed ( dns amplified attack).

Het koste me 30 minuten om een oneliner te schrijven die via whois alle blockowner emails een mailtje te sturen met daarin de IP + met aanval + links naar oplossing voor missconfiguratie van hun nameservers.

Die mail run had 10 uur nodig. Binnen een uur had ik eerste responses al..... maar niet uit de landen waar ik het had verwacht. Rusland en Zuid-Amerika en die hebben hun nameservers meteen onderhanden genomen.

En ik zag aanval afnemen en ik denk dat bot-netowner niet happy was met aanval op door mij beheerde infra.

Wat me opviel dat uit westerse landen er geen enkele reactie is gekomen.

[Reactie gewijzigd door totaalgeenhard op 23 februari 2018 01:29]

kodak
@totaalgeenhard • 24 februari 2018 00:18

Het gaat mij er puur om dat ik in verschillen praat clubjes heb gezeten, waar praten en aanwezigheid belangrijker is dan resultaten. En aangezien de organisator er toch betaald voor krijgt kan het ze niet schelen.

Zonder de achtergrond van die praatclubjes te weten kan ik je niet zeggen of je hier een punt hebt. Vrijblijvend samenkomen heeft waarschijnlijk nooit een serieus doel om tot harde afspraken te komen. Die afspraken maak je in een setting waarbij alle partijen meer te winnen hebben dan het bij elkaar komen. Het heeft meer zin om vooraf goed voorbereid met keiharde cijfers aan de boards aan te tonen wat er financieel te winnen valt, in plaats van te fantaseren over een mooie wereld en te denken dat die met genoeg praten er wel komt. Dus hoe terecht is dan de verontwaardiging dat de vrije wereld er niet uit komt en om te claimen dat de overheid het maar moet oplossen? Nog los van de manier waarop en wat dat gaat kosten.

De discussie over impact en eventueel de relatie met sociale verontwaardiging t/m individuele afhankelijkheid wil ik niet voeren. Daar kunnen mensen die sociale wetenschappen studeren mooi op afstuderen.

Ben je dan ook van mening dat die discussie er niet toe doet voor je voorstel dat de overheid moet ingrijpen?

Ik vind het niet realistisch om te stellen dat in een democratische vrije zorgstaat de overheid maar moet ingrijpen omdat de keuzes prioriteiten niet naar jou zin zijn. Vrijheid geeft de gelegenheid om prioriteiten te stellen en om te kiezen hoeveel tijd men voor keuzes neemt. Dat is op zich geen excuus om te laten ingrijpen. Dus doet het er heel erg toe wat de randvoorwaarden zijn dat de overheid beperkingen op gaat leggen en of de verwachtingen daarin wel realistisch zijn. Het is tenslotte ook een democratie en als het vrije handel en ICT raakt dan heb je ook met tal van andere invloeden en landen te maken die mee spelen.

Het stoort me in de houding van klagende partijen over de houding van anderen en in de houding van de partijen die oplossingen menen te hebben waar de rest niet aan wil dat dat ze zelf ook geen goed onderbouwde of volledige argumenten hebben voor het klagen en de door hun gewenste oplossingen. Hoe valt er een discussie over oplossingen tegen ddos te voeren of cybersecurity als niemand er aan wil om met harde cijfers te komen of open en eerlijk te zijn of hun eigen standpunten wel zo stevig staan als ze zelf beweren?

Daarom nogmaals, hoe erg is het werkelijk dat we met zijn allen in een vrije markt liever klagen of de eigen oplossingen proberen te verkopen als we zelf nauwelijks of geen moeite doen om 1 op 1 of gezamenlijk afspraken te maken over bijvoorbeeld beschikbaarheid. Ik kan het niet bewijzen maar ik vermoed dat het iedereen heel goed uit komt zolang de overheid voor of na echt grote schade maar een ander aan wijst om als zondebok te dienen. En natuurlijk moet er dan schadeloosstelling komen voor al die anderen. Als we echt iets willen veranderen kunnen we beter bij ons zelf beginnen het goede voorbeeld te geven en niet te veel klagen.

Kabouterplop01
@kodak • 23 februari 2018 11:52

Het grootste issue is dat iedereen (alle ISP's) URPF (BCP38/84) moet implementeren, anders is het niet betrouwbaar. Ook al gaat het steeds beter, nog lang niet iedereen kan dat. Het is een kostbaar systeem.
Wat je zegt het, is geen volledige oplossing. (Maar het helpt enorm)

Turdie
@kodak • 23 februari 2018 03:14

Lijkt me goed.

[Reactie gewijzigd door Turdie op 23 februari 2018 03:19]

Kabouterplop01
@totaalgeenhard • 23 februari 2018 11:44

Unicast reverse path staat hier voor die specifieke prefixes dus uit, anders zou het niet werken

legal spoofz

totaalgeenhard
@Kabouterplop01 • 23 februari 2018 16:39

URFP is alleen voor opsporing handiger, zoals ik beschreef kun je partijen gewoon administratief dwingen om basale configuratie maatregelen te nemen.

Upstream betekend dat exchange point haar peers aan minimale eisen laat voldoen.

Een transit leverancier met peer op AMS-IX heeft veel te verliezen indien AMS-IX hun poortje dicht zet (stok achter de deur gebruikt).

Die zal dan van haar klanten moeten eisen dat ze basale maatregelen nemen. Etc... de keten verschoont zichzelf.

Voorbeeld is spam.
Er is geen enkele serieuze hoster die spamrun niet actief tegen gaat.

Beperken uitgaande mail per account/domein, dagelijks controle zwarte lijsten en abuse meldingen laten liggen.

Immers op een shared hosting server met honderden sites hoeft maar 1 spammer succesvol te zijn en je kunt Microsoft/Google/Yahoo niet meer mailen vanaf server IP + elke MTA die zwarte lijsten gebruikt.

Zwarte lijsten kom je nog vanaf maar de grote partijen is bij "gratie van god".

En dan heb je honderden klagende klanten of klanten van je klanten die onbereikbaar zijn, b.v. order notificaties naar office365 outlook of gmail niet meer krijgen etc..

Keten verschoont zichzelf.

En ja je hebt incidenten, echter die zijn niet noemenswaardig ten opzichte hoe het was en het lost zich vanzelf op.

Kabouterplop01
@totaalgeenhard • 23 februari 2018 16:40

+1! Dat vind ik ook!

mrprodent
23 februari 2018 07:57

AMS-IX haalt TNI weer uit de kast om nieuwe peering contracten af te kunnen sluiten. Bovendien is TNI nooit compleet van de baan geweest en heeft de DCB dit ook op genomen als "last resort". Daarnaast zijn er voldoende initiatieven naast TNI die ook meehelpen aan het verminderen van de effecten van DDOS welke vast gelegd zijn in MANRS. Met uitzondering van SurfNET hebben geen van de deelnemers van TNI deze onderschreven, dat kost namelijk te veel moeite. Dat TNI telkens als de enige oplossing wordt gepresenteerd door partijen die peering contracten willen verkopen is opmerkelijk.

[Reactie gewijzigd door mrprodent op 23 februari 2018 08:11]

botsing
22 februari 2018 19:31

> Bij een ddos-aanval met grote hoeveelheden verkeer van buiten Nederland zouden deze en andere vitale diensten op deze manier voor Nederlandse gebruikers beschikbaar blijven.

Leuk dan, als je als klant van bijvoorbeeld een Nederlandse bank in het buitenland woont. Dat lijkt mij met vrij verkeer van personen en handel in de EU wat lastig te verantwoorden. Dat is vragen om rechtzaken.

twslex
@botsing • 22 februari 2018 19:44

Buitenlandse klant kan er nu ook niet bij, bij een aanval. In principe verandert er dus niets.

The Ghost
@twslex • 22 februari 2018 22:41

Dit zal dan 5% van de klanten van zo'n bank treffen, het grootste deel zal binnenlands verkeer zijn.
Die 5% zal nu ook geen gebruik van de functionaliteit kunnen maken, maar 95% wel.
Door deze mogelijkheden, maakt het, het doelwit ook minder interessant, waardoor er minder aanvals kracht beschikbaar zal zijn.
Alles bij elkaar opgeteld, zal de interesse in aanbieders van DDos services dalen en vertrekken ze rustig naar een nieuwe mogelijkheid om iets lam te leggen, het wel bekende kat en muis spel.

GrooV
@The Ghost • 23 februari 2018 09:37

5% is al erg veel hoor, mensen in het buitenland bankieren echt niet dagelijks. En als je in het buitenland woont en werkt heb je vaak toch een lokale bank daar. Helemaal als je met andere valuta werkt

botsing
@twslex • 23 februari 2018 15:04

Buitenlandse klant kan er nu ook niet bij, bij een aanval. In principe verandert er dus niets.

Wat er verandert, is dat klanten in Nederland er wel bij blijven kunnen en dat klanten in het buitenland op dat moment actief geweerd worden. Dat zou juridisch wel eens lastig kunnen liggen. Ik snap dat het een wenselijke oplossing is die inderdaad zo'n bank een stuk minder interessant maakt als doelwit, maar de vraag is of het juridisch kan.

twslex
@botsing • 24 februari 2018 10:37

In het bankwezen is het heel simpel, als internet niet werkt kan je altijd een set fax formulieren ophalen om als nog aan je betaalings verplichtingen te kunnen voldoen. In nederland werd in het verleden ook als eens ge-expirimenteerd met eenmalige incasso's. Allen vonden de winkels dat een te dure oplossing.

Turdie
23 februari 2018 03:22

Tweakers had ook fijn geweest als jullie in dit artikel wat meer achtergrondinformatie hadden gegeven wat direct peering precies Inhoudt😂

Kabouterplop01
@Turdie • 23 februari 2018 12:01

Volgens mij werkt het zo:
-public peering is een peering (bgp sessie) op een internet exchange.
-private / direct peering is een peering (bgp sessie) waarbij je op een colo je routers direct met elkaar koppelt zonder tussen komst van een peering LAN (Een internet exchange is een peering LAN)

Snow_King

22 februari 2018 17:43

Het is ook een redelijk simpele en effectieve oplossing.

Inderdaad, het kan zijn dat niet elke kleine ISP hierbij is aangesloten, maar zolang het maar open staat voor iedereen moet dat te doen zijn.

Je bewapenen tegen een DDoS kost miljoenen en is een wapenwedloop. Er komt altijd iemand met een groter kanon.

Eigenlijk maak je gewoon een wat groter LAN voor een tijdje ipv op het internet aanwezig te zijn als bank.

CAPSLOCK2000

Internettoegang

@Snow_King • 22 februari 2018 17:51

Inderdaad, het kan zijn dat niet elke kleine ISP hierbij is aangesloten, maar zolang het maar open staat voor iedereen moet dat te doen zijn.

Op een bepaalde manier werkt het ook als een soort groepsimmuniteit. Een DDOS werkt alleen als je heel veel nodes hebt die mee doen. Als de grote ISPs zorgen dat ze geen botjes in hun eigen netwerk hebben dan profiteren de kleine ISPs daar van mee. Die weten dat ze het vertrouwde netwerk gewoon door kunnen laten al hun beveiliging richten op het verkeer van buiten.

Ergens staat het idee me overigens tegen; je maakt een clubje "bijzondere" netwerken. Het mooie van internet is juist dat iedereen gelijk is. Als we dit gaat doen moet er wel gewaakt worden dat lidmaatschap van dit netwerk niet gebruikt gaat worden om druk op de internetgemeenschap te zetten (bv een verbod op nepnieuws, of extra strenge maatregels tegen downloaders, een identificatieplicht, of andre repressieve maatregelen).

Pep7777
@CAPSLOCK2000 • 22 februari 2018 17:58

Kan je niet zien als een netwerk binnen het netwerk? Je hoeft niet mee te doen en de rest blijft werken.
Lijkt me sowieso handig als er aparte "virtuele" netwerken zijn voor kritieke diensten.. lijkt me niet alleen handig tegen dossing maar ook vrij effectief tegen hacking.

In de categorie wil je met ons communiceren, koppel je eerst even los van het "globale" internet kom op ons vlan vanuit een door de vlan provider meegegeven sandbox en doe je ding. Switch daarna terug naar het globale internet en kan je weer filmpjes kijken

Sorcerer8472
@Snow_King • 22 februari 2018 17:45

Volgens mij kunnen ook kleine ISP's zich relatief eenvoudig hierbij aansluiten, anders is het concept niet helemaal goed. Mocht het misgaan en mocht er een dDoS vanuit zo'n ISP komen, dan kun je ze altijd (tijdelijk) uitsluiten van dit VLAN, dat kan vrij rap.

Woesjah
22 februari 2018 17:55

Wat gebeurt er als de DDoS-ers zich meer focussen op de afnemers (users)? Dus een IP reeks bijv. volgooien i.p.v. 1 specifieke partij; zou wel een wat moeilijkere aanval zijn, maar als het DDoS-en niet meer werkt op de 'ouderwetse' manier verzinnen ze vast wel wat anders. Zou dit dan ook gedekt zijn door deze oplossing?

GrooV
@Woesjah • 22 februari 2018 18:01

Maakt niet uit, het meeste ddos verkeer komt van buiten NL en al helemaal van buiten de ams-ix. En mocht er toch een aanval vanuit de ams-ix plaats vinden dan is dit eenvoudig te blokkeren en te herleiden. Dit is eigenlijk een veilig netwerk binnen de ams-ix

[Reactie gewijzigd door GrooV op 22 februari 2018 18:08]

fastedje
@Woesjah • 22 februari 2018 19:12

Users DDossen lijkt me een stuk lastiger:
1 een aanvaller weet niet wat de addressen vd gebruikers zijn
2 een gebruiker heeft normaal geen poorten openstaan dus een slow attack gaat niet.

pe0mot
22 februari 2018 19:47

Wat ik niet begrijp is dat men nog steeds denkt dat filters problemen oplossen terwijl men juist nieuwe kwetsbaarheden introduceert.
Internet 1990 is niet meer geschikt voor de 2020 uitdaging. Vuurmuren en blacklists zijn 1990. Ook de voorgesteld whitelist vlans zijn makkelijke targets voor manipulatie en een single point of failure.

Generieke of disruptive oplossingen (certificaten, isp's met spoofing bannen, geen udp protocollen als backbone, etc.) zijn voldoende. Hogere eisen stellen aan de peering partners (en hun partners) is een minimum. Hosting farms niet unlimited toegang geven tot 3 backbones is een eis die ISP's moeten stellen.

4tro
@pe0mot • 22 februari 2018 20:01

Er wordt hier niet gesproken over filtering, maar over BGP routing aanpassen. In dit geval kan je dus er voor kiezen om tijdens een aanval alle verkeer van buiten nederland een zogenaamde null-route aan te bieden. Voor de rest van de wereld bestaat dat hele netwerk dan niet meer, succes met aanvallen wat niet bestaat vanuit jouw beeld.

Voor wat meer in-depth info: https://www.youtube.com/watch?v=NAbvO4052f0

En ja er wordt ook gesproken over een wasstraat van verkeer, je redirect dit verkeer daarheen, dat spul gaat gewoon op zijn dooie gemak er mee aan de gang, en mogelijk komt er nog wat schoon verkeer aan de andere kant er weer uit. zo niet, niet heel erg, zo wel mooi meegenomen.

Off-topic: ik overwoog even of je aan het trollen was gezien de lading buzzwords.

MrMonkE
@4tro • 22 februari 2018 21:27

Het betekent wel dat mensen in het buitenland -hoe klein ook- er ook niet bij kunnen.
Maar als ze dat wel konden dan lag hij toch plat, ik zeg doen.

pe0mot
@4tro • 23 februari 2018 08:29

Het principe van Internet (volledig transparante wereldwijde matrix) wordt hiermee om zeep geholpen.
BGP filtering en wasstraat maken het geheel kwetsbaar en zeker niet transparant.

De kunst is om het geheel solide te maken, niet minder.

smiba

22 februari 2018 20:05

Eng dat de zelfde stichting voor de NaWas op de zelfde pagina direct linkt naar een service van hun waar de overheid makkelijk verzoeken voor het aftappen van dataverkeer kan insturen: https://www.nbip.nl/tapdienst/

Word mooi later krijg je de volgende keuzes:

- Bij een provider die je verkeer door NaWas gooit, maar dan word je wel aan alle kanten afgetapt
of
- Bij een provider die je verkeer niet afluistert, maar constant DDoS'd worden (En voor de aluhoedjes: Misschien wel door de overheid)

Niet echt de toekomst waar ik op hoop......

kodak
@smiba • 22 februari 2018 23:23

Als je dan toch graag met een aluminium hoedje wil spelen: waarom denk je dat een provider zonder nawas geen verkeer laat afluisteren?

We gaan bijna off topic. Dus om de doem scenario's en risico's bij het onderwerp van bescherming tegen ddos te houden, lees eerst even waarom een bedrijf als AMS-IX of een stichting als dat van de nawas een bestaansrecht heeft. En om het dan verder te verduidelijken: risico van ddos en aantasting van bestaansrecht komen voort uit uitzonderingen die wel of niet geaccepteerd zijn. Alleen bepaalt vooral de buitenwereld steeds meer wat geaccepteerd is door alleen naar de eigen denkbeelden te kijken als de waarheid.

Kabouterplop01
@smiba • 23 februari 2018 11:55

Elke ISP of telecomprovider is tapplichtig.

smiba

@Kabouterplop01 • 23 februari 2018 15:30

Weet ik, maar om nou 1 klik weg van het mooie "wasstraat" systeem direct te beschrijven hoe makkelijk je wel tapaanvragen in kan dienen is me toch wat anders

Verschil is ook dat je provider gewoon de wijkkast kan tappen, waarbij de wasstraat direct een hele uplink moet tappen. Dus jou straat vs. jou hele buurt.

Kabouterplop01
@smiba • 23 februari 2018 16:38

Ik denk dat het anders zit. Het lijkt me ondoenlijk een hele buurt tappen. Dat zal wel iets gerichter gaan. En als er iemand onder DDoS ligt die al onder tap zit en het verkeer wordt her routeerd dan moet het wel mogelijk zijn om dat verkeer te kunnen tappen, anders missen ze een deel, ofzo.
Tenminste dat lijkt me logischer. Anders krijgen ze zelf ook die DDoS

edit: maar is een aanname.

[Reactie gewijzigd door Kabouterplop01 op 23 februari 2018 16:39]

smiba

@Kabouterplop01 • 23 februari 2018 16:41

Hoe wil je het gerichter laten gaan?

Ze krijgen daar toch niet 1 miljoen kabels binnen

Als er een person of intrest zit proberen ze het natuurlijk wel zo klein mogelijk te houden, maar als je maar van de provider een paar uplinks krijgt (wat goedkoper is dan veel kleine lijntjes) moet je direct een volledige uplink tappen. Daarna natuurijk filteren, maar dan is het al een feit dat jou verbinding door een stuk ongewenste code heeft moeten lopen

Kabouterplop01
@smiba • 23 februari 2018 16:42

+1! Denk ik ook!

Khrome
22 februari 2018 18:22

Aan de ene kant iets om toe te juichen, aan de andere kant een vorm van anti-netneutraliteit.

Je geeft hiermee dus wel verkeer voorrang. Zoiets moet wel echt goed tot in de puntjes uitgewerkt worden om misbruik tegen te gaan vanuit de netwerken zelf.

Juzzby
@Khrome • 22 februari 2018 19:05

Het doel heiligt de middelen niet, maar toch denk ik dat het doel in dit geval het middel verantwoord.

Mijn idee daarbij is dat een netwerk wat minder vatbaar voor DDoS aanvallen is, ook minder aangevallen wordt, waardoor de toegang van buiten in principe ook betrouwbaarder wordt. Dat alles mits je de toegang van onvertrouwde afkomst wel toelaat buiten aanvallen om.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

AMS-IX wil Trusted Network Initiative na ddos-aanvallen nieuw leven inblazen

Lees meer

IT Banen

Reacties (53)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden