Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rabobank-diensten zijn onbereikbaar door ddos

Na de ABN Amro heeft nu ook de Rabobank last van ddos-aanvallen. Diensten van de bank, Rabo Mobielbankieren en Rabo Internetbankieren, zijn donderdagavond onbereikbaar. Op Twitter eist een gebruiker de aanval op.

De Rabobank bevestigt donderdagavond dat Rabo Mobielbankieren en Rabo Internetbankieren onbereikbaar zijn. Niet voor iedereen lijken de diensten buiten gebruik te zijn. Tegenover klanten meldt de bank dat 'een deel van de klanten' geen of verminderd gebruik kunnen maken van de app en internetbankieren. Ook meldde de webcare aanvankelijk dat nog onderzocht wordt wat de oorzaak is, maar later bevestigde de Rabobank dat het door een ddos-aanval komt.

De aanval volgt op een eerdere ddos van donderdag, gericht op de diensten van de ABN Amro. Meerdere Tweakers-gebruikers wijzen erop dat een Twitter-account met de naam 'DDoS your mom' de aanvallen op zowel ABN Amro als op de Rabobank opeist. In zijn meest recente bericht, op het moment van schrijven, meldt hij Twitter te verlaten: "Ik heb een leuk spoor metadata voor de politie achtergelaten om me te vinden."

Ook claimt hij deze week en maand door te gaan met ddos-aanvallen van sites van banken, politieke partijen en de overheid. Niet bekend is of de gebruiker daadwerkelijk achter de aanval zit. Het gebeurt regelmatig dat ddos-aanvallen op Twitter voor de lol of om aandacht te krijgen opgeëist worden.

De ddos-aanvallen komen op een moment dat de Nederlandse politie een grote actie houdt tegen daders van ddos-aanvallen en de diensten die ze daarvoor inzetten. Die actie met de naam Operation Power Off betrof met name Webstresser.org, waarvan de infrastructuur tijdelijk in Nederland stond.

Door Olaf van Miltenburg

Nieuwscoördinator

24-05-2018 • 20:14

213 Linkedin Google+

Submitter: Slavy

Reacties (213)

Wijzig sortering
Dat account bestaat al niet meer.
"guys. i quit twitter. i left a nice trail of metadata for the cops to try to find me :). ill still be ddosing every bank/political/government site this week/month just not tweeting about it typhonstone@protonmail.com is my email"

Dat was zijn laatste tweet een goede drie kwartier geleden. Hopen dat het ook de laatste blijft.

[Reactie gewijzigd door NanoSector op 24 mei 2018 20:50]

Waarom?

Het is bijna alsof hij een reden geeft voor politiediensten om protonmail binnen te vallen.
Dat is misschien maar goed ook. Kan 'ie voorlopig ook niet meer pronken, en anders maakt 'ie een nieuw account aan.
Voor het account opgeheven werd schreef hij zelf dat hij genoeg data achtergelaten heeft voor de politie, en ermee ging stoppen.
Een middeleeuwse martelmethode zou ook niet verkeerd zijn. Spietsen of zo.

Of bij IS achterlaten.

;)
Och is het weer eens kindertijd ?
Jezus, kneuzen die met een bot netje wat lollig aan het doen zijn, begint een beetje ouderwets te worden.
Volgen mij zijn het van die figuren met een mentale beperking (straatvrees), om dan toch nog via hun zolder mensen te irriteren
De conclusie die je trekt is misschien voor de hand liggend als het dit soort kwesties gaat, maar wat zelden wordt belicht zijn de beweegredenen waarom iemand zoiets doet dat lijkt me interessanter om te weten.
idd.. dit deden we op efnet en dalnet al in 1993... eggdrops ftw :P
Hah, de Google Webcache heeft 'm per ongeluk geblokkeerd. Ik kan zo snel geen cache vinden waar ie wel in voorkomt.

Gevonden!

https://wardpieters.githu...urmom)%20_%20Twitter.html

[Reactie gewijzigd door MiesvanderLippe op 24 mei 2018 21:05]

Toch maar weer offline gehaald?

Edit: Firefox, wat doe je met m'n linkjes?

-1 voor een foutje met een link kopieren en plakken in de editor? Okay dan ._.

[Reactie gewijzigd door MiesvanderLippe op 24 mei 2018 21:23]

Hoi Ward, hoe werkt dit tooltje van jou? Waar kan ik een twitter handle invoeren? Ziet er superhandig uit voor de snel verwijderde accounts.
Is helaas geen tool om tweets van verwijderde accounts terug te halen o.i.d. Ik heb gewoon de pagina vanuit Chome gedownload, die ik nog open had staan, toen ik hier een reactie zag dat het account was verwidjerd. Daarna op GitHub Pages gezet...
Jammer maar in ieder geval wel goed van je om de pagina te uploaden _/-\o_
Jep, was ook al bezig met het doorzoeken van caches :p.
Inderdaad link open niet meer, maar hopelijk komen ze wel achter wie dat is, en dat hij/zij gestraft wordt.
Helaas. De user bestaat niet meer.
En verdorie niet allemaal clicken om mijn clickbait linkje ;)
Moet jij niet in de Tweakers IRC zitten? :+
Wat ik niet begrijp is dat de banksector telkens weer slachtoffer is. Je zou denken dat ze ondertussen toch wel een oplossing hebben, aan budget voor cybersecurity zou in die sector geen gebrek mogen zijn.
Als je je verdiept in dit soort aanvallen, dan weet je dat het absorberen ervan een hele klus is. Ik zeg bewust absorberen, afslaan kan je het niet. In dit geval is er sprake van een distributed denial of service attack, wat wil zeggen dat de aanval van meerdere (vele) IP adressen komt. Even blokkeren in een firewall is er dus niet bij.

Heel in het kort, als er een Syn Flood attack wordt gedaan, wordt er misbruik gemaakt van de procedure om een sessie op te zetten. Een sessie opzetten is simpel :

computer : SYN
server : SYN, ACK
computer : ACK

En daarmee heb je je sessie. Maar wat als de computer die ACK niet geeft? Dan blijft de sessie half open tot er een time-out optreed. Als je nu met genoeg machines de server kan overladen met SYN requests, dan stopt de server met SYN, ACK sturen omdat deze het niet meer aan kan. En dat is je SYN Flood aanvalm met een denial of service tot gevolg.
Dit specifieke probleem kun je oplossen met SYN cookies.
Leuker is dan Slowloris:
Juist wel de verbinding openen maar dan heel traag de ‘http GET’ doen zodat de verbinding open blijft.
Voor iedere aanval is een soort oplossing. Bij een DDOS aanval zie je steeds een oplossing in de vorm van absorptie van de flood. Of dat nou syn cookies, dikkere servers, dikkere pijpen of iets als CloudFlare is, het moet geabsorbeerd worden.

Er zijn waarschijnlijk tig manieren om een DDOS aanval te doen. Ik pakte een eenvoudige en begrijpbare :) . Maar dank voor de toevoeging!
Nou en of dat er wat aan te doen is, ik heb genoeg hosters gezien die hier prima wat mee kunnen, vaak laten ze een deel van het verkeer blokkeren op upstream niveau. Bijna altijd kun je na het analyseren van de pakketjes zien dat het geen legitieme clients betreft, de manier waarop een aanvraag wordt verstuurd of de frequentie ervan is anders. Ook als je ineens een berg verkeer uit een aantal landen krijgt waar normaal niet zo'n bult aan verkeer vandaan komt is een kwestie van (tijdelijk) blokkeren en zo zijn er nog meer veel technische methodes om de pijp open te houden. Dus ja... het kan altijd maar men wil er liefst geen geld aan uitgeven. Typisch NL heh
Als een generieke hoster een legitiem request ten onrechte blokkeert, dan is er nog niet veel aan de hand. Als een bank dat doet, dan staat iemand met een volle boodschappenkar flink voor paal. Of je kunt dat verjaardagscadeau niet meer op tijd bestellen of de spoedbetaling naar de notaris valt uit. Allemaal (relatief) grote impact, vandaar dat banken van oudsher de focus hebben op beschikbaarheid; het is van groot belang om niet met een botte bijl verkeersstromen af te kappen.
Als een hoster een bult aanvalsverkeer uit bijvoorbeeld Mexico blokkeert, dan is er geen Mexicaan die daarover klaagt. Een bank met net twee vakantiegangers in Mexico zal daar toch weer twee klachten + werkuren uit voort krijgen.
Edit: wat wél zou helpen is de verplichte invoering van BCP38. Daarmee wordt aanvalsverkeer met een gespoofed source IP al in het bronnetwerk gedropped. Een ISP weet prima welke IP-ranges van hem zijn, dus deze filtering is een koud kunstje. Waarom doen nog zo weinig partijen het? Omdat je tijd en geld moet investeren in iets waar een ander profijt van heeft. Maar in een wereld waarin aanvallen ondertussen de capaciteit van Tier1 providers overschrijden zullen we vrees ik wel moeten.

[Reactie gewijzigd door Rick2910 op 24 mei 2018 21:43]

Dat is een spoofing attack, een aanval waarbij je iemand anders de schuld geeft van je aanval, of alle data van willekeurig gekozen machines naar je slachtoffer laat sturen door zijn adres als afzender te spoofen. Met bepaalde pakketjes zou je je slachtoffer wel over een grens kunnen duwen. Dan heb je het over een Amplification Attack.

De oplossing bestaat dus al 13 jaar maar bijna niemand voert het in. De welwillendheid van de ISPs om spoofing en daarmee een deel van de ddos aanvallen tegen te gaan is niet echt aanwezig.
Jij snapt het! Graag ook BCP84 ;) :*)
Zou het niet ook een voor banken een verfrissend marketing effect hebben eigenlijk, zo'n aanval?..
Men heeft het deze week weer in alle media over ABN AMRO, en Rabobank.

De gemiddelde burger heeft misschien de volgende mening over banken:
'Wat een stelletje graaiers, banken geven hun top achterlijke bonussen, ook als ze wanprestaties leveren'

En nu denken sommigen misschien:
Ach, die zielige banken.. worden ze weer aangevallen! Kom maar op schoot lieve bankier, krijg je een knuffel.. Ja, jij kan er ook niks aan doen dat die boze mensen stom tegen je doen.. ;(
Zou je servers ondertussen niet zo moeten programmeren dat altijd de oudste half-open sessie wordt weggegooid op het moment dat de server bijna overloaded is met SYN requests? Dan maar niet de normale tijd van reageren (tot de time-out) respecteren, zit er even niet in..
En dan wordt de nieuwe aanval dus zoveel mogelijk nieuwe korte sessies maken... Kip en ei verhaal, daarom kan je dit soort aanvallen niet oplossen.
Koop een sterkere server en je krijgt een amplification attack waar je de volle verbinding dicht getrokken krijgt bijvoorbeeld a 300Gbit/s... Staat de server leuk te idlen terwijl de routers aan het overkoken zijn...
Koop je een dikkere verbinding en dan krijg je de slimmere aanvallen met zoveel mogelijk packets, specifieke requests of zoveel mogelijk sessies...
Dit is eigenlijk alleen maar op te lossen door er geld tegenaan te gooien, probleem is dat de kosten van bescherming vs de kosten van een aanval zo gigantisch verschillen van elkaar, je koopt voor 30,- een stresser en het zou miljoenen kosten aan apparatuur en personeel om zo'n aanval af te slaan.

Er zijn wel initiatieven zoals Cloudflare en de Digitale Wasstraat maar ook die hebben hun limiet...
Een tijd geleden eens wat gedachten uitgewisseld met iemand maar in principe hoeft het eigenlijk helemaal niet zo moeilijk te zijn.

Banken en providers zouden in principe gewoon meer met elkaar moeten samenwerken en een subnet-range moeten gebruiken die niet meteen wordt geannounced op het gehele internet.

Een voorbeeld;
https://ingbank/ -> 192.168.55.14
https://rabobank/ -> 192.168.55.100
etc. etc.

Door de nauwe samenwerking zijn de ip-adressen alleen toegankelijk vanaf Nederlandse internet providers (en mobiele telefoon providers), providers in andere landen bieden hiertoe geen toegang. Ze worden tenslotte niet geannounced noch gerouteerd.

Voor externe toegang vanuit bijvoorbeeld het buitenland blijven de normale domeinnamen van kracht, volgt op die ip-adressen een aanval, is het een kwestie van alle traffic afslaan (de stekker er bij wijze van spreken uittrekken). Voor mensen in Nederland blijven banken gewoon bereikbaar als vanouds, zo ook vanaf mobiele telefoons etc.

Sure, het is een kwestie van gewenning voor mensen om de bank direct te bezoeken op basis van de banknaam, maar goed... dat is een kwestie van tijd.

CloudFlare etc. e.a. partijen met soortgelijke diensten hebben tenslotte ook zo hun beperkingen. Het was gewoon een simpele gedachten uitwisseling met iemand maar wel eentje die ontzettend snel, eenvoudig en toch doeltreffend zou werken.

[Reactie gewijzigd door DarkForce op 24 mei 2018 22:13]

Dat is niet hoe het internet werkt, er is geen enkele root DNS die 'ingbank' gaat resolven, dat zou dan wereldwijd moeten worden gedaan of je gaat landelijk allerlei uitzonderingen maken waarmee je uiteindelijk het internet gewoon breekt... Het internet opdelen en prive-range IP's gebruiken voor publieke diensten is gewoon smeken om een ramp op het internet, volgens BCP38 zou geen enkele router ooit dergelijke adressen naar de WAN interface mogen routeren dus vrijwel niemand kan er bij en als je public IP's gebruikt zijn ze per definitie public.
En zelfs als je dit zou kunnen doen, dan valt de DDoS gewoon AMS-IX aan, het zou niet de eerste keer zijn dat een exchange bijna onderuit gaat door een DDoS die niet eens op hun gericht is... Dan heb je leuk je intranet achtige omgeving via een exchange lopen die offline is...
Als het zo simpel was hadden ze dat wel gedaan ;)
De ip-adressen die ik toonde (prive-range) waren natuurlijk even een voorbeeld. Je zou middels een /22 in principe al voldoende hebben om alle banken en overheidswebsites in één subnet zetten want niet iedere website van bijvoorbeeld gemeenten hoeft ook werkelijk op een dedicated ip gehost lijkt mij.

Voor wat ik begrepen heb, zijn de (niet lokale) IP-adressen public maar kun je hierbij wel bepalen tot op welk niveau deze worden geannounced. Zonder deze te announcen bestaat voor zover ik begreep geen routering naar de destination. En het announcen schijn je op bepaalde niveau's (default: wereldwijd?) te kunnen bepalen.

Verkeerde gedacht dan dus inderdaad, ach... kan ook niet alles hebben met een paar hobbyisten. Het lijkt (soms) inderdaad zo simpel hé ;-)
Je verhaal klopt niet helemaal. Je kunt uiteraard zelf bepalen aan welke partijen jij je routes announced, maar je kunt niet voorkomen dat zij weer verkeer doorverkopen. Daarnaast zijn steeds meer netwerken/ISP's grensoverschrijdend (Ziggo zit bv. volledig achter het wereldwijde netwerk van Liberty Global) waardoor die truc niet op gaat.

Maar los daarvan is het idee goed; het zal beter werken dan de huidige oplossing.
Los daar van zouden bedrijven prima een extra poort kunnen gebruiken om die vervolgens direct of via VPN aan te sluiten op het netwerk van een andere bank. Dat IP adres kan best geroute worden, maar hoeft verder niemand te weten. Vervolgens kun je met failover er voor zorgen dat de ene bank het overneemt van de andere. Maar het lost het probleem niet op. Want dan wordt idd de DDoS gewoon groter. Wat probleem oplost is de pakkans vergroten.
Mocht het ddos verkeer uit het buitenland komen word het al best snel gedropped.
Het is een idee. Of iemand daar direct ja of nee op kan antwoorden betwijfel ik. Dit zit helemaal tot in de operating system kernel. Het is het fundament van het hele internet, dus ze hebben dit allemaal vast tot op het bot doordacht.

De Linux kernel is open source, voel je vrij om een test omgeving op te zetten en het idee uit te proberen ;)
Het is het fundament van het hele internet, dus ze hebben dit allemaal vast tot op het bot doordacht.
Is dat niet nou juist de hele oorzaak van het probleem? Het zijn allemaal stok oude concepten ergens diep in de jaren 70 bedacht. Maar nooit zover doordacht om zulke aanvallen te kunnen voorkomen.
Zie het zo, bedenk een tijd waarin alleen de politie en de huisarts een auto hadden. Wegen waren er wel, maar verkeersborden en lichten waren niet nodig voor die paar auto's.

Nu zijn we tig jaar verder, bijna iedereen heeft een auto. Er zijn bredere wegen maar nog steeds geen borden en lichten. Dat had men helemaal niet bedacht toen alleen de dokter en de politie auto reden.

En dan krijg je chaos, aanrijdingen en meer van die dingen. En uiteindelijk wordt het verkeersbord uitgevonden, en daarna het verkeerslicht.

In 1970 zaten ze nog helemaal niet aan misbruik te denken. HTTP was er nog niet. SMTP wel en ipv een nieuw veilig protocol bedenken om te gebruiken, krijgen we verbandjes als DMARK, SPF etc.
Je slaat de spijker op z'n kop. We doen in de IT wel alsof we met hele moderne techniek werken maar het is eigenlijk allemaal langzame evolutie en pleisters plakken op oude rommel.
Dit is een basis aanvalletje. Iemand die echt kwaad wil gebruikt spannendere technieken.

Een stresser richt zich meestal gewoon op volume met bijvoorbeeld een botnet en/of een amplication attack waar zoveel verkeer uit komt dat filteren niet uitmaakt.
En toch heb ik het idee dat de banken meer zouden kunnen doen. Het hangt heel erg af van het type aanvallen, maar als ik zie wat wij over ons heen krijgen (wat veel minder erg is waarschijnlijk) en hoe de banken bij dezelfde aanvallen wel plat gaan (zelfde ddosser iig) dan weet ik dat de banken meer kunnen doen. Alleen is de vraag of ze daarin willen investeren (en of ze weten wat anderen doen). Ik zie in ieder geval een aantal maatregelen die de banken zouden kunnen nemen die niet genomen zijn.

Maarja, aan de andere kant is het mischien ook zo dat het niet eenvoudig te implementeren is in hun situatie
Misschien zouden de banken met geregistreerde ip adressen kunnen werken.

Als klant link je je op adres aan je bank account en kan je connecten.

Komt er bij de bank een vreemd ip adres binnen dan word die genegeerd.
Routeer bekende IP adressen naar server A, onbekende naar server B.
ddos zal grotendeels van onbekende adressen komen, server B verzuipt, de meeste klanten hebben min of meer vaste adressen en bankieren vrolijk verder.
Dan moet je dus in je router een enorme tabel met een paar miljoen (miljoen klanten, elk één of met meerdere IP adressen) hebben en die tabel voor elk IP pakket gaan controleren. Of dat technisch haalbaar is?
Quantum computing
Een miljoen is niet zo veel. Gebruik iets als een bloomfilter en een nokia van 15 jaar terug kan dit al.
Dat miljoen is het probleem niet, dat miljoen voor de vele IP pakketjes, elke keer opnieuw, dat wordt lastig...
Succes met dat duidelijk maken aan je gebruikers. Daarbij, wat doe je met publieke netwerken, VPN's, roaming, internationale roaming en variabele IP adressen?

Los daarvan nog, dan heb je een database met een paar miljoen adressen en dan moet je die voor elke verbinding raadplegen. Wordt 'n pittig servertje. Dat is nog los van dat je alsnog verkeer binnen krijgt en je firewall door die enorme whitelist in no-time op z'n gat ligt.
perfect, je hebt ineens alle vakantiegangers ontdaan van hun internetbankieren.
effe vanuit tenerife wat geld overmaken zit er niet meer in. zelfs saldo raadplegen niet meer.
immers: hoe kan ik mijn ipa registreren, je blokkeert me al voor die pagina.
En dan ga in online bankieren via 4g. Of via het wifi op mn werk. Of in de trein. Of dan wijzigt mijn ISP ineens mijn IP van thuis. Genoeg redenen om in te zien dat dit misschien theoretisch een goed idee is.. maar in de praktijk zal dit niet werken.

Buiten dat.. als ik een request doe met een 'verkeerd' ip moet de firewall eerst opzoeken of dit ip adres ok is. Nu ga ik middels een distributed attack een miljoen apparaten aansturen om de bank te pingen.. dan moet de firewall ineens wel heel hard werken om al die requests te controleren. Ergo.. dan heb je nog steeds een DDoS te pakken maar eerder op het lijntje. Hier merkt je server weinig van.. maar je firewall des te meer.
Nvm, is al verschillende keren bekritiseerd.

[Reactie gewijzigd door ZeverN op 25 mei 2018 14:59]

Ik dacht dat de ddosser waar je laats achteraan zat was opgepakt? Blijkbaar is hij dus weer opnieuw begonnen.

Wat ik al eerder zei, en mensen beamen : het gaat om je absorptievermogen. Je stopt de aanval niet, je zorgt dat je meer resources hebt. Alleen zijn die resources heel duur ivm een aanval van een paar tientjes. Een bank kan dan 10 miljoen steken in extra absorptievermogen, de ddosser geeft 10 euro extra uit voor een zwaardere aanval en krijgt het alsnog plat.

Dus eigenlijk is het een beetje zinloos om er teveel geld aan uit te geven. Je gaat toch wel plat.
smart blokchain :p

[Reactie gewijzigd door phjk op 25 mei 2018 09:55]

De smart blockchain grap is al gemaakt maar dit artikel geeft een interessante mogelijkheid van een blockchain (in dit geval Ethereum) i.c.m. software-defined networking om je te verdedigen tegen DDoS aanvallen. En dan specifiek voor de communicatie (signaling) tussen banken.
Spijker op zijn kop..een ddos aanval afwenden kost kapitalen en is vechten tegen de bierkaaij, investeren in opsporingsmogelijkheden lijken mij ook veel zinvoller en de strafmaat bepalen aan de hand van het aantal "schade" gevallen lijkt mij een goede stap
Gewoon een ARBO server ervoor dumpen, en filteren die zooi.
Laatste tijd zijn er zat oplossingen, helaas kost het nog wel eens wat.
SYNfloods zijn vrij effectief, maar zijn ook vrij makkelijk te pareren. Een fatsoenlijke firewall kan synproxy doen hiervoor, de webserver erachter ziet dan pas een verbinding binnenkomen als de hele SYN/ACK handshake is afgehandeld.
Waar een webserver op applicatieniveau vaak al last krijgt van een synflood kan een fatsoenlijke firewall veel meer connecties afhandelen.
Ik zie meerdere mensen over firewalls praten, echter firewalls zijn meestal niet effectief in een DDOS aanval, en meer oorzaak van het probleem. Niet zozeer voor een SYN flood, maar wel voor andere aanvallen.

Firewall moeten veel zaken checken in een pakket, en dan vooral in HTTP/HTTPS verkeer.
Dat vreet cpu power op firewalls. IPS biedt natuurlijk veel extra security, maar kost zoveel cpu cycles.
Vaak gaat de firewall dood op 100%, voordat de internet bandbreedte op is.
HTTPS is nog een groter probleem. Wil je daar ook in kijken met je IPS systeem, dan moet je het decrypten en weer encrypten, wat nog meer cpu kost.

Voor ddos filtering worden aparte devices (scubbers) gebruikt (icm grotere scubbers hogerop in de cloud), die voor de internet edge firewalls staan. Die zijn effectiever in het filteren van DDOS requests. Maar het blijft moeilijk om alles online te houden, omdat er vaak ook gewoon legitieme requests gebruikt worden.

Het blijft een zeer kostelijke grap, voor elk bedrijf. De extra kosten die het bedrijf moet maken staan niet in verhouding tov het gemak waarbij elke malloot met wat bitcoins een hosted DDoS kan gebruiken.

Een gerichte aanval op een webapplicatie is veel complexer, vraagt veel meer effect en kennis, en het kost ook minder om dergelijke aanvallen te minimaliseren.

[Reactie gewijzigd door Predator op 25 mei 2018 08:53]

Een DDoS met 100 procent zekerheid afslaan is bijna ondoenlijk, of het kost zo gruwelijk veel geld dat het commercieel niet interessant meer is.

Als de bandbreedte van de DDoS maar hoog genoeg is krijg je bijna alles effectief plat.
Of het wordt meegenomen in de calculatie. Het hoort tegenwoordig bij een 'basisinrichting' en wordt door bijvoorbeeld OVH als een essentieel onderdeel gezien. Veel grote datacenters volgen en maken stappen om Arbor in te richten. OVH heeft prijsverhogingen doorgevoerd dit jaar om de allerbeste oplossing te kunnen bieden op het gebied van DDoS attacks.

Laatst ook dit artikel van Tweakers.
De aanvallen zijn niet krachtig en 40Gbit (vorige keer het geval) is echt niet veel voor 1 datacenter.

Layer 7 (application) attacks zijn wel lastig. Het is eenvoudig om met weinig bandbreedte op bijv. websites & gameservers gebruik te maken van exploits en hiermee de server te belasten. Door het gedrag te filteren en te optimaliseren/whitelisten is het mogelijk om alleen legitiem verkeer toe te staan. Vooral UDP is kwetsbaar.

Het is interessant om op 'provider niveau' te filteren. Met alle nieuwe glasvezel netwerken en het 'aftappen' van verkeer zou het mogelijk moeten zijn om de source af te sluiten bij merkwaardig gedrag. Heeft natuurlijk ook wel nadelen.. Maar oplossingen zijn er zeker. Groter = Beter.

Daarnaast wil ik nog even toevoegen dat de persoon die hierachter zit hier (hoogstwaarschijnlijk) niets mee doet, behalve aandacht vragen. Het is vast een kant en klare dienst met een paar opties.

[Reactie gewijzigd door Tombastic op 24 mei 2018 22:12]

Wat zijn de nadelen van de NaWas? Is dat niet gewoon wat CloudFlare ook doet maar dan niet commercieel?
NaWas zelf heeft als nadeel dat het ook een 'aftapdienst' is. En daar hou ik persoonlijk niet zo van ;) Om het verkeer te blokkeren moet je het monitoren. Als dit door de provider bij jou thuis wordt gedaan, dan lever je een stuk privacy in en dat wil je misschien helemaal niet. Zo kan ik nog een aantal nadelen noemen, maar die kun je zelf vast wel bedenken :) .

Cloudflare kun je niet vergelijken met NaWas... Cloudflare heeft enorm veel PoPs, aangezien het gewoon een CDN netwerk is. Uitleg van CloudFlare (naar beneden scrollen op de pagina): https://www.cloudflare.com/ddos/

Het gaat vooral om de capaciteit van het netwerk. De aanvallen worden niet tegengehouden maar doorgesluisd via bijv. de Arbor firewall naar het 'grote awesome netwerk' van bijv. Cloudflare of OVH. Het netwerk is zo enorm groot, dat een 40Gbit attack verwaarloosbaar is. Dit maakt het verhaal interessant. Mocht de aanval extreem zijn (400Gbit+) en plaatsvinden in Europa, dan maak je zoals Cloudflare aangeeft gewoon verbinding met de site via bijv. Asia _/-\o_ .
Mooie uitleg. Privacy aspect lijkt mij af te spreken eerlijk gezegd met de instantie die NaWas regelt maar klopt inderdaad, je zal moeten monitoren.

Bedankt voor de linkjes en andere hints heb ik wat te lezen ;)

Als ik mij niet vergis doen sommige banken ook direct peering, wellicht dat ze daar iets mee kunnen qua afspraken om snel te schalen en om te leiden.
Banken kunnen inderdaad de infrastructuur op andere locaties onderbrengen en activeren als er sprake is van een bedreiging. Maar dan moet je alsnog voldoende netwerkcapaciteit hebben om de aanval door te sluizen en de load te verdelen over het netwerk.
Ik onderschat waarschijnlijk de grootte van de aanval. Ik vroeg het me dan ook effectief af of het afslagen van zo’n aanval niet mogelijk was.
Cloudflare meent in 2014! al een 400Gb/s aanval te hebben verslagen, hoewel op dat punt de backbones van het internet de bottleneck beginnen te worden en daar is geen oplossing voor helaas...
Daar zie je ook gelijk dat de aanval van over de hele wereld komt, dus een specifiek netwerk, land of geheel continent 'even' tijdens een aanval blokkeren werkt niet...
Nou is niet elke aanval gebasseerd op 'volume' waardoor ze niet allemaal 400Gbit hoeven te zijn, slimmere methodes hebben minder nodig en beschermen tegen zelfs maar 1 methode kost al belachelijk veel...
Ok, bedankt voor de toelichting!
Zoals hierboven al vermeld weet men na iedere aanval hoe er verdedigd wordt. In volgende aanvallen/strak vectors wordt hier door aanvallers rekening mee gehouden in aanvalspatronen en -methodes. Verdedigers kunnen niet voorspellen wat er gaat komen en zijn per definitie in het nadeel. Dus: Impact is niet te voorkomen.
De site kan worden gemirrored waarmee je eventueel veel verkeer kunt weghalen, maar de controle van de boekingen is me een raadsel hoe je dat wilt waarborgen.

Zelfs als zouden de IP-adressen worden gewijzigd, zo gauw dat bekend is kan de DDos weer in alle hevigheid los.
site laten mirror en laten lopen naar een shared storage array moet geen probleem zijn. :)
Boekingen/betaalopdrachten wil je niet zomaar bij externen mirroren wat het dus een extra dimensie geeft. De site an-sich lijkt me minder interessant.


Desalniettemin zouden er oplossingen moeten zijn. Het is gissen voor mij, maar vb ip-adressen uit het buitenland beperkt toelaten.
Je zou dat kunnen analyseren en vervolgens met enige marge beperkt toelaten op je netwerk.

Of het technisch haalbaar is zou ik niet weten.
Banken (en hun providers) filteren bij DDoS al buitenlandse IP's. Al jaren. Zoals hierboven al vermeld weet men na iedere aanval hoe er verdedigd wordt. In volgende aanvallen/strak vectors wordt hier door aanvallers rekening mee gehouden in aanvalspatronen en -methodes. Verdedigers kunnen niet voorspellen wat er gaat komen en zijn per definitie in het nadeel. Dus: Impact is niet te voorkomen.
je kan toch meerdere locaties hebben.. dan moet het mirror geen probleem zijn.
onzin, http://status.ovh.net/?do...dadaf45535b7166f24861af88 hier is ook wat aan te doen, Als ovh het kan
Als ik die zo lees was dat een interne DDOS, iets wat makkelijker want dan heb je zelf in controle wat de verzender wel en niet kan. In de zin dat je het als hoster al eerder kan stoppen voor het zijn doel bereikt waar de Rabobank dit niet kan.

Daarnaast heeft OVH totaal 1.6Tb/s te verwerken gehad wat vermoedelijk weer over verschillende paden op verschillende plekken binnen kwam waardoor je niet alles raakt waar je bij laten we zeggen mobiel bankieren een select aantal servers met wat specifieke aanvallen lastig valt om de server plat te laten gaan.

[Reactie gewijzigd door fantafriday op 24 mei 2018 20:40]

Klopt, maar ovh kan het wel veel makkelijker handelen dan banken, ik kreeg eens 250gbit op mn ovh dedicated werd netjes in 2seconden gefilterd
Ik kan je garanderen dat de source in het datacenter direct wordt geblokkeerd en in het ergste geval zal worden verwijderd. Al het outgoing verkeer wordt gecontroleerd via de VAC. Daarnaast zie ik hierboven een IP van OVH langskomen.

OVH is niet verantwoordelijk voor dit probleem.
OVH is providing you with machines that you are responsible for. We have no access to these machines, and therefore cannot manage them. You are responsible for your own software and security management.
Dus mocht je een server hebben met Memcached en een verkeerde config. Check het ff ;) Anders ben je misschien je server kwijt en terecht. Staat wel los van dit Tweakers artikel trouwens.

[Reactie gewijzigd door Tombastic op 24 mei 2018 21:41]

ben ik al van op te hoogte :)
Waarom werken Anti-Ddos oplossingen nu niet. Je zou toch zeggen dat zo'n aanval is gericht op een IP adres, of meerdere IP adressen. Neem aan dat banken dit soort maatregelen wel hebben genomen. Wat zou er dan nog mis kunnen gaan?
En waarom zou het feit dat een aanval gericht is op één of meerdere IP-adressen het makkelijk maken de aanval af te slaan volgens jou?

Dat is hetzelfde als zeggen dat een inbraak gericht is op een huisadres en dus makkelijk te voorkomen is. Ik snap echt niet wat je hiermee bedoelt....
Ik snap niet zo goed wat jij bedoelt. Maar laten we ervan uitgaan dat de bank een soort-of-gelijk Anti-Ddos service gebruikt. Wat moet een ddos aanval aanval doen om de beveiliging toch te passeren. Volgens mij is het dit wel wat ik "bedoel"

Het zou natuurlijk capaciteit kunnen zijn. De wasstraat is gewoon niet "dik" genoeg. Maar als het zo simpel zou zijn, dan zorgt een bank ervoor dat de wasstraat dik genoeg is. Zoiets kan je intern anders niet uitleggen, als het vanwege capaciteit misgaat. Tenminste, niet als het met deze regelmaat voorkomt. Lijkt mij.
Hét grote punt is dat een DDoS niet altijd makkelijk te onderscheiden is van normaal verkeer. Hoe ga je valide ogende data/connecties blokkeren als je niet zeker weet of het onderdeel is van een DDos aanval of dat het normaal verkeer is. Je kunt geen anti-DDoS kastje neerzetten en klaar, er komt meer bij kijken. Het is niet zo simpel als als een firewall een poortje dichtzetten.

Heel erg versimpeld:: hoe detecteer jij dat er belletje-lel gedaan wordt door jeugd uit de buurt of dat de postbode voor je deur staat? De deur nooit meer opendoen is geen optie.
Dankjewel, zo had ik het nog niet bekeken.
Cloudflare heeft regelmatig artikelen over dit soort aanvallen die ze op hun netwerk zien voorbij komen en ze beweren dat een aanval pas vanaf 1Tb/s een probleem voor ze wordt.
Daar zeggen ze ook bij dat bij 300Gb/s LINX (De Londen Internet Exchange...) al bijna onderuit ging.
Dan kan je leuk een 10Tb/s wasstraat hebben (kost een paar tientallen miljoenen...) maar als de exchange onderuit gaat houdt het gewoon op...
Daarbij: tientallen miljoenen om een paar uur downtime te proberen te voorkomen, die downtime is niet duur genoeg om dat te verantwoorden.
Als het zo simpel was als jij zegt dan had iemand het al gedaan, anders zou ik zeggen dat je een gat in de markt hebt gevonden ;)
.Zoals hierboven al vermeld weet men na iedere aanval hoe er verdedigd wordt. In volgende aanvallen/strak vectors wordt hier door aanvallers rekening mee gehouden in aanvalspatronen en -methodes. Verdedigers kunnen niet voorspellen wat er gaat komen en zijn per definitie in het nadeel. Dus: Impact is niet te voorkomen.
De website van rabobank https://rabobank.nl ligt er ook uit.
Is voor mij weer online.

Alleen nog erg traag met laden.

[Reactie gewijzigd door saileboy op 24 mei 2018 20:18]

Zelfde persoon? https://twitter.com/Herma...status/999696127447486465

edit: Grappig, ddosyourmom account is weg nu.

[Reactie gewijzigd door Feanathiel op 24 mei 2018 20:29]

Als je hier de oude tweets nog wil lezen ...
https://wardpieters.githu...urmom)%20_%20Twitter.html

edit: heb helaas de verwijderde tweets van zijn persoonlijke account niet kunnen opslaan

[Reactie gewijzigd door wardpieters75 op 24 mei 2018 21:04]

Haha wat een kneus is deze gast. Aan z'n tweets alleen al is op te merken dat het ombeen jong persoon gaat, die zonder echte redenen deze attacks uitvoert. Ja, het zal wel aandacht zijn... van mij apart mag hij/zij flink gestraft worden.
Waar niemand over praat: als een simpele tiener dit kan, wat kan een nation-state dan wel niet uithalen als ze ons willen pakken? Als ik lees wat Rusland in o.a. Oekraïne allemaal voor elkaar krijgt (van banksystemen plat tot complete energiecentrales uit laten vallen in de winter) dan denk ik dat we nog niet half beseffen hoe kwetsbaar we zijn.

[Reactie gewijzigd door Rick2910 op 24 mei 2018 22:04]

Correct. Een collectief van vermogende hackers of een natie kan eenvoudig het internet , tijdelijk, platleggen. Daarna ga je natuurlijk wel keihard bloeden omdat dit miljarden gaat kosten.
De Russen hebben in 2007 al is Estland platgelegd. https://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia
Ook zie je tegenwoordig meer kortstondige BGP 'hijacks' plaatsvinden, waarvan de impact ook wordt onderschat (immers is het voor een gebruiker niet direct zichtbaar). Maar wat betreft dat 'bloeden': hoe ga je de attributie bewezen krijgen? Oftewel, in veel gevallen zul je niet eens weten wíe je aan moet vallen.

[Reactie gewijzigd door Rick2910 op 24 mei 2018 22:47]

Heeft iemand Jelle gezien? O-)
I vond de Rabo website al traag een paar uurtjes geleden. I had al het vermoeden dat zij ook al last van een DDoS aanval hadden. Blijkbaar had ik gelijk.

Als je kijkt naar dat Twitter Account dan straalt het ook lekker "Kijk naar mij, Geef mij aandacht" uit. Eigelijk wel zielig, dat sommige mensen dit moeten doen om een beetje aandacht te krijgen. |:(

[Reactie gewijzigd door Omega op 25 mei 2018 00:37]

Als je alles leest, is het ook niet een zielig persoontje dat graag anderen afzeikt om zichzelf geweldig te vinden. Dit soort figuren zijn een gevaar voor en grote groep mensen (bevolking), zijn omgeving en zichzelf.

En ik betwijfel of dit de persoon is de verantwoordelijk is, het is eerder een opeiser van ander mans werk,
Ik begrijp niet dat mensen die dit soort aanvallen uitvoeren, of laten uitvoeren, niet heel zwaar bestraft worden, gewoon 10 jaar de bak in!

En waarom, als het zo makkelijk is, gebruiken terroristen dit niet, gewoon continue een heel land plat leggen via verschillende kanalen.

[Reactie gewijzigd door Marco_79 op 24 mei 2018 20:55]

Ik begrijp niet dat mensen die dit soort aanvallen uitvoeren, of laten uitvoeren, niet heel zwaar bestraft worden, gewoon 10 jaar de bak in!
We leven nu eenmaal in een rechtsstaat en daar vind de wetgever het platleggen van een banksite minder ernstig dan moord. Gelukkig maar. Of wilde je moord voortaan bestraffen met vierendelen en radbraken?
En daarnaast kan de bank de persoon aansprakelijk stellen voor de geleden schade.
Ja, strafrecht is mild in dit soort gevallen, maar een civiele procedure gestart door gedupeerden kan een stuk minder mild uitvallen. Vooral een grote partij als de Rabo kan makkelijk aantonen welke inkomsten ze misgelopen zijn door deze acties.
Als de rechter er in meegaat, dan wordt het een duur verhaaltje voor de sukkel.
3 jaar schuldsanering in het slectste geval. Anders wordt het een kwestie van deurwaarders ontwijken: uitschrijven bij de gemeente doet dan al veel. Desnoods verhuizen zonder je daar in te schrijven. Als je de dagvaarding voor bent kunnen ze die niet betekenen en lach je ze na 5 jaar (verjaringstermijn) uit.
Straffen voor moord mogen wat mij betreft ook zwaarder. Plus altijd verplicht mee doen aan psychologisch onderzoek, inzetten direct vanaf dag één in de bak op behandelen / normaliseren, mensen elke dag laten werken voor de kosten die ze veroorzaken, na de straf verplicht integreren in de maatschappij en werken.

Nederland is te soft voor criminelen, sociopaten en psychopaten, die lachen zich zelf allemaal suf...

Kijk eens naar de reportage over Folkert van de Graaf b.v., met verborgen camera opgenomen, zo denken deze mensen, en ze komen er mee weg.

En plukken van mensen, dat gebeurd niet, van een kale kip pluk je niet.
Ik vind het ongelofelijk dat dit kan..
Mja, er is vrij weinig aan te doen afhankelijk van het type aanval.
Je zou misschien upstream de verbindingen kunnen knijpen, komt toch ergens vandaan zou je zeggen.
Het verkeer van een DDoS aanval komt van duizenden IP adressen. En dan moet je niet per ongeluk een echte klant blokkeren.

De bron van dit verkeer zijn PC’s van onschuldige mensen die op e.o.a. manier gehacked zijn. Virussen of rechtstreekse inbraakpogingen. Al die PC’s samen vormen een botnet. Zo’n botnet kun je dan weer inhuren voor geld, wat deze jongen dus gedaan heeft. Een centraal systeem geeft dan opdracht aan al die gehackte PC’s om 1 adres te bestoken. Deze banken bijvoorbeeld.

[Reactie gewijzigd door Engineer op 24 mei 2018 20:40]

Niet om het een of ander, maar nu blokkeer je iedere klant. :)

Kan me niet voorstellen dat al deze ip blokken uit NL zijn, dus je kan eerst misschien de buitenlandse ip adressen blokkeren bij je internet exchange, als bank heb je wel wat in de melk te brokkelen lijkt me.

Als Cloudflare het lukt, dan moet een miljarden onderneming als de Rabobank dat ook wel kunnen lijkt me.
Maar je klanten kunnen al dan niet tijdelijk in het buitenland verblijven.
Cloudflare gaat er gewoon vanuit dat iedereen een aanvaller is. Dat is fout.
Ik ga niet als crimineel behandeld te worden als ik gewoon een site wil bezoeken, want dan maak ik rechtsomkeert en kom ik nooit meer terug. Alleen aanvallers moeten als aanvaller behandeld worden.
Dat heeft naar mijn weten ook niet zoveel zin omdat de firewall alsnog moet uitzoeken of het ip-adres in welk land zich bevindt.
Zoals hierboven beschreven kun je natuurlijk checken waar, op een normale dag over een bepaalde tijd, je verkeer vandaan komt, en daar maatregelen voor treffen als dat ineens anders is.

Ik durf te wedden dat het verkeer dat op dit moment de Rabobank bereikt redelijk buiten het normale valt en daar kun je op acteren.
Wat ik bedoel te zeggen is dat een simpele firewall techniek als deze niet genoeg is om de miljoenen requests af te handelen. Je server trekt dat alsnog niet, ook al laat je alleen mensen uit bijv. Nederland toe.
Per ongeluk een klant blokkeren is niet zo’n issue aangezien nu geen enkele klant van je diensten gebruik kan maken.

Voor een SYN flood de time-out lager zetten helpt bijvoorbeeld al om je inkomend verkeer te filteren als je te veel openstaande sessies hebt die niet acknowledeged worden.
Geen probleem? Dat soort blokkades is precies de bedoeling van een DDoS-er. Dus om ze nu te gaan helpen daarbij....
Als dat er voor zorgt dat je netto minder downtime en/of schade ondervind dan ja.

@Engineer heeft het over een klant. Of dit er nou 1 is of 100 maakt niet zo veel uit met deze aantallen. Collateral damage van het absorberen van een aanval is altijd beter dan helemaal geen dienstverlening meer hebben.
De DDoS er wacht gewoon tot de boel weer online gezet wordt en gaat vrije door:-)
Bij een DoS aanval zou dat inderdaad kunnen. Maar dit is DDoS, en daar valt niet tegenop te boksen.
'Mja er is vrij weinig aan te doen' is wel een beetje kort door de bocht. Grote bedrijven zoals banken moeten toch echt wel serieus investeren in dit soort zaken. Er is altijd wel iets aan te doen en als het nog niet bestaat moet het gemaakt worden.
Helemaal nu ze steeds meer gaan leunen op het internet en de reguliere kantoren sluiten.
Denk je nou echt dat banken hier niets proberen aan te doen ? Je reacties geven aan dat je geen verstand hebt van hoe zoiets werkt, maar wel zeggen dat het even opgelost moet worden.
Leg maar uit hoe je tegen zoiets beschermt?
400Gbit/s en dat is nog lang niet de grootste...
Kan je nog wel leuk een 1000Gbit verbinding leggen direct naar een exchange zoals AMS-IX maar als die vervolgens even die 1Tb/s aan data over hun netwerk krijgt gaan ze ook onderuit...
Ik denk dat dat wel meevalt. AMS-ix verstouwd gemiddeld zo’n 4Tb/s en ze hebben peaks van 6Tb/s.

Daarnaast levert een dergelijke lijn natuurlijk veel meer issues. Rabo is een nederlandse bank met Nederlandse klanten. De kans is vrij groot dat het verkeer richting rabo niet eens bij AMS-IX komt. Een aanval uit het buitenland zou je vrij snel moeten zien.
Het zal via NL-ix of AMS-IX moeten gaan tenzij de bank zelf bij providers gaat peeren.
Punt is dat je niet eindeloos grotere verbindingen kunt kopen, op een moment gaat een exchange de volgende zwakke schakel zijn tijdens een DDoS aanval.
LINX werd van ~300Gb/s al zenuwachtig, ik verwacht dat AMS-IX iets meer capaciteit heeft maar alsnog zou 1Tb/s niet zomaar even afgeslagen worden...
De banken mogen ook niet zoveel doen - die DDOS aanvallen komen van botnets af, die moeten uit de lucht en dat kan een bank niet doen, dat zal met wetgeving en handhaving moeten, en internationale samenwerking. Zelfde verhaal als er telkens een grote groep hooligans op de openbare weg voor de deur van de bank gaat staan waardoor je klanten niet naar binnen kunnen, je belt de politie om die mensen weg te halen, je mag er zelf weinig aan doen.

Een mogelijke oplossing is neller en gerichter bij ISP's klanten die in een botnet zitten offline halen, maar goed dat doen de ISP's zelf niet, want afgesloten klanten gaan naar de concurrent.
Daarom zouden ISP hier bij wet toe gedwongen moeten worden. Dan hebben afgesloten klanten geen uitwijkmogelijkheid.
Dat kan - ik zie wel een toekomst waar een ISP met IPv6 individuele devices kan blokkeren zodat een klant de meeste apparaten toch kan blijven gebruiken. Dit vereist wel dat je een ISP router moet hebben die dat soort blokkeer opdrachten op LAN niveau ook uitvoert, maar goed dat geldt voor vrijwel alle consumentenaansluitingen toch al.
Wat denk je? Dat banken denken "ach, het is maar een DDoS"? De variaties van aanvallen zijn oneindig en onvoorspelbaar. En het is factor 10000goedkoper om 10 miljoen aan investeringen volledig te omzeilen.
Google unicast reverse part.

Uplink providers en Exchange verantwoordelijk maken voor verkeer en forceren om mee te werken bij terug traceren en filteren.

Er moet een RFC die dat geautomatiseerd kan laten doen.
Het lastige van een bank is dat je eigenlijk niet afhankelijk wilt zijn van dat soort providers. (Cloudflare, Google, Akamai etc)
Via heeft het over CDN?

99% van verkeer van een Nederlandse bank zijn mensen die zich op een Nederlandse Internet verbinding bevinden.

Dat je tijd nodig hebt om.ondertussen terug te traceren wil niet zeggen dat je iedereen van DDoS laat meegenieten.

Er is waarschijnlijk geen Nederlandse ISP waar je massaal kunt spoofen. Mocht die er wel zijn zal die maal eenmalig aansprakelijk gehouden hoeven te worden voor nalatigheid en probleem lost zichzelf op.
Mag ook niet volgens de regelgeving.
Zullen we dat gewoon eens niet doen? Je maakt het hiermee voor overheden wel heel makkelijk om klokkenluiders, journalisten en dissidenten te vinden. Ik neem een dagje onbereikbaarheid van een bancaire instelling wel voor lief als dat betekent dat we niet zomaar iedereen kunnen traceren. Iets met privacy enzo.

[Reactie gewijzigd door ari3 op 24 mei 2018 22:05]

Je vergeet terroristen in je lijstje.

Weet je wat die ook met elkaar gemeen hebben?

Dat ze voor echt belangrijke dingen geen internet gebruiken en/of.maatregelen nemen die risico nihil maakt.

Los hiervan onze samenleving is dermate afhankelijk van verbindingen dat we geen keus hebben.

Ga er maar vanuit dat je half Nederland kan doen vluchten als je beetje aankloot online.
overal is wat aan te doen, OVH de grootste EU hoster kan het ook
NaWas is het antwoord. Werkt prima voor andere grote partijen.
Los het even op dan. Kan je vast een hoop geld mee verdienen.

Als het zo simpel was om op te lossen zou het niet gebeuren.
Het probleem was 25 jaar geleden al opgelost. En de oplossing was doodsimpel:
  • Je hebt last van een internetvandaal (SPAM, hacken, DOS, whatever).
  • Je kijkt van welk IP adres het verkeer komt.
  • je stuurt een mailtje met je klacht naar abuse@eigenaarIPadres (meestal een provider)
  • De provider onderzoekt de klacht en sluit de klant af als die niet snel maatregelen neemt.
  • Neemt de provider zelf zijn verantwoordelijkheid niet? abuse mailtje aan zijn uplink en die overtuigd de provider wel, of sluit anders de hele provider af (Internet Death Penalty).
  • Herhalen voor alle IP adressen en klaar.
Een dergelijk systeem motiveert iedereen om zijn eigen achtertuin schoon te houden om te voorkomen dat ze zelf in de problemen komen. Het verdeeld ook de werklast die erbij hoort. En heel belangrijk, het legt de grootste last en kosten om het probleem op te lossen waar het hoort; bij de bezitters van onveilige apparaten. Dat motiveert om het beter gelijk maar goed te doen.

De enige reden dat dit systeem nu niet meer werkt is omdat het verwaarloost is. Het moet opnieuw opgestart worden. Het enige wat daar voor nodig is dat een aantal grote partijen besluiten dit weer te gaan doen en dat ze het lef hebben dan ook complete netwerken af te sluiten als ze niet mee doen. Een paar wetten in die richting, bijvoorbeeld door de VS en de EU, zouden ook wonderen doen.
Misschien kun je de communicatie tussen partijen ook nog optimaliseren via een soort "abuse-exchange" oid. Want e-mail is wel wat onhandig natuurlijk.

Ik vermoed dat dit ook een stuk minder geld kost dan de aangerichte DDOS schade en de kosten voor DDOS protectie diensten die iedereen nu nodig heeft. Wat er wel veranderd is wie er de kosten moet dragen, maar dat is alleen maar goed.
Ben het eens met je voorstel. Ik denk echter dat in praktijk de particuliere klanten van ISPs geen begrip kunnen opbrengen als hun verbinding afgesloten wordt. De meeste mensen weten niet dat hun machine een slaaf in een botnet is, terwijl ze dit meestal wel zelf veroorzaakt hebben (geen virus-scanner, ongure executables gedraaid, gekraakte software, onjuiste firewall instellingen, enz). Verreweg de meeste mensen nemen niet hun verantwoordelijkheid als het gaat om beveiliging en onderhoud van hun netwerkapparatuur. De mensen die onderhoud en beveiliging niet zelf kunnen, besteden dit ook niet uit aan professionals. Daar zit volgens mij het probleem.

Ik zou daarom voorstellen dat bedrijven en burgers beboet en/of aansprakelijk gesteld kunnen worden als apparatuur uit hun netwerk deelneemt in ddos-aanval. Dit is vergelijkbaar met het onverantwoordelijke gedrag van iemand die zijn auto niet onderhoud en dan schade veroorzaakt: in die situatie kun je ook beboet worden en aansprakelijk gesteld worden.
Wie beboet je als het de router van de provider is, en deze is gehackt d.m.v. een script in de webbrowser?
De provider? Die beheert dit stuk van de infrastructuur, kan remote updates pushen etc.
Het is een keten van aansprakelijkheid. Naast dat providers hun infrastructuur up to date houden, moeten ook fabrikanten van hardware en software beboet en aansprakelijk gehouden kunnen worden. Nu zie je vaak dat fabrikanten aansprakelijkheid in hun voorwaarden uitsluiten. Dit leidt tot gebrekkige ontwerpen en gebrekkige testen bij fabrikanten. Een 0-day exploit in een router kan doorgaans alleen door de fabrikant van die router opgelost worden. Veel fabrikanten nemen hun maatschappelijke verantwoordelijkheid niet en brengen geen patches meer uit zodra het product uit hun assortiment gehaald wordt. Kijk eens hoeveel smart-TVs nadat na een jaar nog (veiligheids)updates krijgen....

Mijn inziens moet er Europese regelgeving komen die:
1. Fabrikanten verplicht voor de technische levensduur van producten -die veel langer is dan een eventuele garantietermijn- de software en/of firmware te onderhouden zodat veiligheidslekken gedicht worden.
2. Bij het verstrijken van de periode van verplichte ondersteuning of faillissement van de fabrikant moeten de broncode, hardware specificaties, keys en certificaten als open source worden gepubliceerd zodat de ontwikkeling van patches door derden (betaald of de open source gemeenschap) voortgezet kan worden.
Dat lijkt me erg handig met al die dynamische ip adressen.
Daar ben je met IPv6 binnen afzienbare tijd vanaf.
Geef de IPv4 aanhangers nou geen reden om niet over te stappen graag ;)
Klinkt goed, alleen wanneer er een DDOS bezig is lost dat natuurlijk niets op. Mogelijk dat het op lange termijn een oplossing geeft, maar niet op korte termijn of met een DDOS'er die daar slim mee omgaat. Verder zit je dan ook nog met het buitenland. Dan kan je wel ieder IP uit het buitenland gaan blokkeren, maar dan zit wel met de klanten die niet in NL zitten.

Verder wel mee eens hoor dat zoiets best ingevoerd mag worden :)
Met als gevolg dat er nu niet één, maar twee of meer diensten plat gaan. Namelijk de website die het doel is van de DDOS, en de mailservers van de betrokken providers die ineens duizenden, zo niet miljoenen meldingen krijgen van de Rabo dat één van hun gebruikers zit te spammen.
Met IPv4 is dit een hele botte bijl, want achter 1 IP adres zit van alles. Dit zal met IPv6 veranderen, daar kan je individuele devices offline mee halen.
Vrij simpel op te lossen: https://www.nbip.nl/nl/nawas/
Kost een paar knaken maar dan heb je ook wat
Vast je eerste hit van je zoekmachine. Daarnaast wordt niet concreet uitgelegd hoe hun service werkt. Gebakken lucht.

https://www.nbip.nl/nl/tapdienst/

Leuk bedrijf. Brrrrr, om koude rillingen van te krijgen.
Dat, plus dat een bank niet echt staat te springen om hun verkeer via een dergelijke partij te laten lopen..
Nederlandse ISP’s zijn wettelijk verplicht een door een rechter getekend tapbevel uit te voeren, en NBIP is de vereniging die namens z’n leden de apparatuur gekocht heeft. Zodat Nederlandse ISP’s aan hun wettelijke verplichtingen kunnen volldoen.

Als je daar een probleem mee hebt: de makers van dat soort wetten zitten op rood pluche in Den Haag. Ga daar klagen.
Als je daar een probleem mee hebt: de makers van dat soort wetten zitten op rood pluche in Den Haag.
....volgens mij bedoel je blauw.
Ha, nee absoluut niet.
We maken er al jaren met veel plezier gebruik van en is tot nu toe 100% effectief geweest; ook tegen enorm grote aanvallen.

In de basis werkt het zo:
- Je own premissis anti ddos infra detecteert een DDOS
- Het subnet waar de DDOS aan gericht is wordt door NaWas gerouteerd
- Fout verkeer wordt door NaWas tegengehouden
- Goed verkeer wordt , met een klein beetje extra latency, doorgelaten.
"De Nationale Wasstraat".
Serieus ook nog hè!

Wat een ontzettend ongelukkig gekozen naam zeg.
Als het vrij simpel op te lossen was, denk je niet dat alle grote banken dit 10 jaar terug al gedaan hadden ? Dat is nou juist het probleem, er is geen simpele oplossing voor. De banken vinden zulke dingen echt niet leuk en geloof mij maar dat de slimste mensen hier al jaren mee bezig zijn. Vandaar ook mijn wat lompe eerste reactie. Het is niet simpel op te lossen. Dus de reactie: Ik vind het ongelofelijk dat dit kan, gaat nergens over.
Late reactie..

Het is echt (relatief) simpel op te lossen.
Helaas mogen banken eenzelfde oplossing als de hosters in Nederland succesvol gebruiken (NaWas) niet gebruiken omdat het verkeer dan tijdelijk via een ander netwerk gerouteerd moet worden.
Ik ben niet zo pro in hosting/netwerk, maar kunnen ze niet net zoals Google load-balancers opzetten? Misschien kunnen ze dan ook alle buitenlandse IP-adressen blokkeren (tijdens een DDoS aanval) en binnenlandse aanvallers (slaves) tijdelijk blokkeren met een bericht dat het IP adres wordt gebruikt voor DDoS en dat ze daar zo snel mogelijk iets aan moeten doen.

EDIT: Spellingsfout

[Reactie gewijzigd door Ebbez op 24 mei 2018 21:28]

Ik lees in de reacties vaak dat er mits je er enkele tienduizende euro's of zelfs nog veel meer tegen aan gooit, niets tegen te doen is. Wij hebben van de week een conference call gehad met neustar. Zij beweren alles tegen de houden met relatief lagen kosten omdat het een cloud dienst is. Heeft hier iemand ervaring mee en komt dit geloofwaardig over bij jullie?
Nee, op puur verkeer kan je het simpelweg niet winnen.
De aanvallen beginnen langzaam niveau aan te nemen dat zelfs iets als de interexchanges er last van krijgen!

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True