Banken waren opnieuw doelwit van ddos-aanval

Zondagavond kregen de Rabobank en ABN Amro opnieuw een ddos-aanval te verduren, waardoor de diensten van de banken tijdelijk onbereikbaar waren of alleen traag werkten. Vorige week werden de banken ook al aangevallen.

De Rabobank en de ABN Amro meldden zondag aan klanten dat die rekening moesten houden met verminderde bereikbaarheid door de ddos-aanvallen. In de avond en nacht verbeterde de situatie en konden de aanvallen afgeslagen worden.

De aanvallen tonen aan dat die van vorige week donderdag, toen beide banken ook onder vuur lagen, geen incidenten waren. Die aanvallen werden via Twitter opgeëist door een gebruiker met de naam 'DDoS your mom', die toen meer aanvallen in het vooruitzicht stelde. Niet bekend is of die persoon, of personen, daadwerkelijk achter de aanvallen zaten en of de recente aanvallen afkomstig zijn van dezelfde dader of daders.

IT-banen

Reacties (112)

MightyPig 28 mei 2018 08:05

Kan iemand uitleggen hoe dat afweren precies werkt? Ik dacht dat het in 1 keer werke die anti-ddos protection.

Horatius @MightyPig • 28 mei 2018 08:13

DDoS aanvallen kan je je niet 100% tegen beschermen (anders dan het netwerk offline gooien

).

Ze sturen gewoon heel veel data pakketten zodat de server overbelast raakt, meestal is de bescherming om bots te vinden en dan bannen ze die IP-adressen. Dus de datapakketten moeten eerst als 'vals' worden gemarkeerd en daarna worden ze pas geblokkeerd, maar de datapakketten verifiëren is ook niet even gemakkelijk want je wilt niet dat je klanten blokkeer dus moet het zorgvuldig gebeuren.
Dus raken de servers alsnog overbelast ook al is er bescherming.

Kees BOFH

Ddos
Netwerk en systeembeheer

@Horatius • 28 mei 2018 08:23

Er zijn zoveel verschillende soorten ddos aanvallen dat jouw statement een oversimplificatie is. Het is alsof je alle martial arts probeert te beschrijven door uit te leggen hoe judo werkt. Dit hele specifieke geval dat je beschrijft (ik neem aan dat je een soort van http-request flood beschrijft) kun je vaak al vrij snel afslaan doordat die bots specifieke kenmerken hebben. Zoals een useragent die bij een oude browser hoort, of geen cookies accepteren. Dan kun je zo'n aanval al vrij snel volledig afslaan met minimale resources.

Er zijn gewoon veel beschermingsmaatregelen te nemen tegen ddos aanvallen, meteen bij de packetjes neer gaan zitten helpt niemand.

batjes @Kees • 28 mei 2018 12:56

Maar als je daadwerkelijk getarget wordt, en niet random voor de epenis. Maakt dat allemaal geen bal uit.

Zodra je de ene request filtert, zoekt de aanvaller de volgende op die je niet filtert en een half uurtje later lig je weer op je gat. Hier wordt het een wedstrijdje van doorzettingsvermogen en kennis. Wie heeft het meeste tijd en wie weet de tech slimmer te gebruiken.

Zelf vaak aan de ontvangende kant gezeten, ik had uiteindelijk maar 1 'fatsoenlijke' oplossing. Users tracken. Ik logde alle vaste gebruikers en de rest was drop all, of als mijn resources groter waren dan de aanval een simpele reply van "We're under attack, sorry for any inconvience". Ik was al zo blij dat ik na het pingflood tijdperk zat, en door leuke constructies van load balancing en servers de meeste -destijds- hobby botnetjes wel te baas kon zijn. Maar als de botnet gewoon te krachtig was (wel eens een keer 1.5gb ontvangen op mijn 100mbit, lol), deed ik ook niets meer en liet ik de target gewoon in zijn sopje gaarkoken tot de aanval voorbij was. Gelukkig was het 9/10 keer de front end server die enkel de website serveerde. (security through obscurity heeft zijn voordelen)

Destijds was een beetje botnet erg lastig te bemachtigen. Nu koop je terabytes aan verkeer voor een paar euro. Uiteindelijk kun je wel filteren en lopen droppen, als het botnet groot genoeg is, gooit het gewoon de downlink van je server(s) helemaal dicht met simpele kutrequests. En dat is vandaag de dag een stuk makkelijker als 10 jaar geleden toen ik hier nog mee worstelde.

[Reactie gewijzigd door batjes op 24 juli 2024 04:37]

Cerberus_tm

@batjes • 28 mei 2018 15:44

Is het zo dat alle grote DDoS'en door middel van botnets plaatsvinden?

batjes @Cerberus_tm • 28 mei 2018 16:03

Over het algemeen wel. Soms aangevult door (virtuele) servers voor de bandbreedte.

Volgens mij gebruikt niemand meer alleen een handje vol VPSjes om dmv een soort pingflood downstreams van servers dicht te gooien. De meeste providers zijn niet er niet zo happig op als dit binnen hun datacenter gebeurd en halen vrij proactief zulke boxjes neer.

De botnets van vandaag de dag zijn veel makkelijker te gebruiken en vele malen groter dan vroeger.

Cerberus_tm

@batjes • 28 mei 2018 16:10

OK klinkt aannemelijk. Jammer dat er niets structureels aan die botnets te doen is.

datakiller @Cerberus_tm • 28 mei 2018 20:15

Een VPS die ik verhuurde werd eens geinfecteerd door een botnet, ofc had ik alles wat ik nodig had (IP) gerapporteerd bij wholesaleinternet (Kansas City).

Nooit wat terug gehoord van hun, als ik klant werd vroeg ik waarom ze niets terug stuurden.
Hun reactie was: "We cannot discuss services that are not under your account, however, I will tell you that abuse reports from outside sources are processed."

Dat antwoord heb ik zo ongeveer 3x gehad

(Ik kreeg geen reden waarom ze geen antwoord gestuurd hadden).

Die botnets en spoofed servers gaan nooit weg gaan als sommige hosts het niet uitmaakt.

Cerberus_tm

@datakiller • 28 mei 2018 23:39

Hmm en als er nou bloklijsten komen van ip-adressen van zulke hosts die niets doen? Die lijsten kun je dan aanzetten wanneer je last van een DDoS hebt.

datakiller @Cerberus_tm • 29 mei 2018 16:38

Spoofed hosts laten toe dat je bvb je IP naar andere IP's spoofed (dus verandert) en botnets werken met home IP's.
Dus tegen beide kan je zonder de hardware en bandbreedte niets doen.
En als je als je IP's van hosts gaat blocken kan het zomaar zijn dat een site opeens niet meer werkt, als voorbeeld: in Nederland staan veel hosts, als je ze allemaal blokkeert kan niemand meer met een VPN naar de site toe, waardoor die personen dan in een publiek netwerk bvb zonder VPN moeten inloggen wat dan een risico geeft.

In die tekst kunnen wel een paar foutjes zitten, maar ik denk dat je mijn punt wel begrijpt.

Cerberus_tm

@datakiller • 29 mei 2018 18:17

Ik bedoelde het ook als een tijdelijke maatregel voor tijdens een aanval: beter bereikbaar voor minder mensen, dan voor geen mensen.

datakiller @Cerberus_tm • 29 mei 2018 19:00

Dan moet je ook home IP's gaan blokkeren, en ik denk niet dat een bank graag klanten blokkeert

Maarja iedereen pakt het anders aan natuurlijk.

Horatius @Kees • 28 mei 2018 08:54

Er zijn zoveel verschillende soorten ddos aanvallen dat jouw statement een oversimplificatie is. Het is alsof je alle martial arts probeert te beschrijven door uit te leggen hoe judo werkt. Dit hele specifieke geval dat je beschrijft (ik neem aan dat je een soort van http-request flood beschrijft) kun je vaak al vrij snel afslaan doordat die bots specifieke kenmerken hebben. Zoals een useragent die bij een oude browser hoort, of geen cookies accepteren. Dan kun je zo'n aanval al vrij snel volledig afslaan met minimale resources.

Er zijn gewoon veel beschermingsmaatregelen te nemen tegen ddos aanvallen, meteen bij de packetjes neer gaan zitten helpt niemand.

Ik heb het zo simpel mogelijk problemen te beschrijven, idd te kosten van veel details.

Er zijn veel maatregelen te nemen maar je kan je nooit 100% beschermen tegen DDoS aanvallen.

sygys @Horatius • 28 mei 2018 14:22

Tenzij je net als google net zoveel servers hebt als Ddos machines.

Wellicht dat je het als ddosser dan voor elkaar krijgt om google over 840.000 zoekresultaten geen 0,35 maar 0,7 sec te laten doen.

Gaat google eigenlijk wel eens offline?

Jaahp @Kees • 28 mei 2018 10:34

(ik neem aan dat je een soort van http-request flood beschrijft)

Dat valt helemaal niet af te leiden. Routing op het Internet, van alle data, gebeurt via IP adressen.

z1rconium @Jaahp • 28 mei 2018 12:39

Internet routering in de backbone gaat op basis van BGP.

Jaahp @z1rconium • 28 mei 2018 15:08

Wat probeer je helemaal te zeggen hier?

Pak het OSI model erbij.
Alles boven de netwerk laag (laag 3) bevat een IP adres (waar Randomguy het over had) , HTTP (wat Kees aan nam) ligt veel hoger op de applicatie laag. SMTP, FTP, etc etc, alles op de applicatie laag, bestaat uit pakketten die een IP adres bevatten. Randomguy zegt iets over kleur en Kees zegt dat dat een oversimplificatie is terwijl hij aanneemt dat Randomguy het over blauw heeft.

Verwijderd @MightyPig • 28 mei 2018 08:12

NL heeft niet zo goed afweer systeem, https://www.ovh.com/world...dos-attack-management.xml hier heb je een klein voorbeeld, zijn nog meer tabs hier

AjDuLion @Verwijderd • 28 mei 2018 09:16

Ik ben alleen bang dat het bedrag wat voor dit soort system neergezet moet worden vrij hoog is en stiekem gewoon niet rendabel is zelfs niet voor de bank.

bbob

Netwerk en systeembeheer

@AjDuLion • 28 mei 2018 09:39

Waar ik me meer druk over maak is dat het schijnbaar eenvoudig is met een DDOS Nederlandse banken plat te leggen. Je legt daarmee ook een stuk van de economie plat.

als dit zo doorgaat zal de schade voor de economie steeds groter worden. Daarnaast hoe langer banken offline zijn des te minder het vertrouwen in banken gaat worden. De schade die dit potentieel kan opleveren staat denk ik steeds minder in verhouding tot de investeringen die men moet doen om dit te verhinderen.

Hakulaku @bbob • 28 mei 2018 10:34

Waar ik me meer druk over maak is dat het schijnbaar eenvoudig is met een DDOS Nederlandse banken plat te leggen.

Het is niet gemakkelijk om een bank plat te leggen, daarom dat de gemiddelde consument dit ook niet kan doen. Echter zijn er services op het internet beschikbaar die (mits je er voor wilt betalen) het jou wel gemakkelijk kunnen maken. Een gemiddelde consument kan namelijk niet 35-50gbps aan verkeer genereren zoals in maart het geval was.

Zoals ook omschreven in het jaarverslag van de DNB worden er eisen gesteld aan de veiligheid voor banken en is dit een focus punt geworden. Echter zijn er een aantal banken wat minder ver in dan anderen en omdat het een kat en muis spel is, zal er in mijn optiek altijd impact zijn. Echter is het aan de banken om de impact zo kort mogelijk te maken.

4.4.1 Cyberweerbaarheid versterken
Door de aanhoudende digitalisering van de financiële sector worden cyberrisico’s steeds
prominenter. Cyberaanvallers richten zich internationaal in toenemende mate op financiële
instellingen in het hoogwaardige betalingsverkeer. Daarbij komt dat de kennis over
geavanceerde aanvalstechnieken zich snel mondiaal verspreidt en cyberaanvallen steeds
geavanceerder worden. Als gevolg van zogenoemde DDoS-aanvallen deden zich begin 2018
diverse storingen bij de grote banken voor. Daarom moeten de instellingen individueel en
gezamenlijk meer investeren in maatregelen daartegen. Elke partij in de financiële sector
of in andere daaraan gelieerde vitale sectoren, zoals de elektriciteitsvoorziening of telecom,
kan door een cyberaanval worden geraakt. Door de onderlinge afhankelijkheden kan in het
ernstigste geval de financiële stabiliteit in gevaar komen. Cyberweerbaarheid is dan ook van
essentieel belang.

https://www.dnb.nl/binaries/Jaarverslag2017_tcm46-374121.pdf

Je legt daarmee ook een stuk van de economie plat.

als dit zo doorgaat zal de schade voor de economie steeds groter worden.

Dat ben ik niet met je eens. Mensen zullen eerder hun uitgave uitstellen i.p.v. helemaal niet meer doen. Ook ligt niet alles plat, enkel de toegang naar de website waarop je kan internet bankieren. De rest van de bedrijfsprocessen hebben hier geen last van en overboekingen en geld opnemen is nog altijd mogelijk. Dat wil niet zeggen dat het niet vervelend is.

De schade die dit potentieel kan opleveren staat denk ik steeds minder in verhouding tot de investeringen die men moet doen om dit te verhinderen.

Hierbij ga je er vanuit dat banken stilzitten en er niks aan doen. Echter is het verbeteren van de veiligheid een constante prioriteit waarbij de nodige investeringen ook gedaan worden. Volgensmij is de impact de jaren ook behoorlijk korter geworden dus snap niet waar je dit vandaan haalt.

Cerberus_tm

@Hakulaku • 28 mei 2018 15:48

Die internetdiensten die voor boeven een DDoS uitvoeren, gebruiken die allemaal botnets? Of zijn er ook andere manieren?

xrf @Cerberus_tm • 29 mei 2018 10:48

Veel DDoS-aanvallen maken geen gebruik van een botnet, maar van een server met een hoop bandbreedte gecombineerd met een amplification-techniek zoals DNS amplification

During a DNS amplification attack, the perpetrator sends out a DNS query with a forged IP address (the victim’s) to an open DNS resolver, prompting it to reply back to that address with a DNS response. With numerous fake queries being sent out, and with several DNS resolvers replying back simultaneously, the victim’s network can easily be overwhelmed by the sheer number of DNS responses.

Reflection attacks are even more dangerous when amplified. “Amplification” refers to eliciting a server response that is disproportionate to the original packet request sent.

To amplify a DNS attack, each DNS request can be sent using the EDNS0 DNS protocol extension, which allows for large DNS messages, or using the cryptographic feature of the DNS security extension (DNSSEC) to increase message size. Spoofed queries of the type “ANY,” which returns all known information about a DNS zone in a single request, can also be used.

Through these and other methods, a DNS request message of some 60 bytes can be configured to elicit a response message of over 4000 bytes to the target server – resulting in a 70:1 amplification factor.

Uiteraard kan deze techniek ook gecombineerd worden met botnets, wat leidt tot een nog veel grotere hoeveelheid aanvalsverkeer.

[Reactie gewijzigd door xrf op 24 juli 2024 04:37]

Cerberus_tm

@xrf • 29 mei 2018 14:55

O, ja, dat kan natuurlijk ook. Maar je zou zeggen dat hier wel iets aan te doen is, door b.v. dns-servers verzoeken te laten filteren? Of door de aangevallen partij, als die tijdelijk alle boodschappen van dns-servers weigert? Dan zou je denken dat mensen die het ip-adres willen opzoeken dmv. een dns-server een oud ip-adres voorgeschoteld krijgen, wat meestal geen probleem is, aangezien die voor de meeste websites nauwelijks veranderen?

xrf @Cerberus_tm • 1 juni 2018 20:45

Wat betreft de aangevallen partij, het gaat bij dit type aanvallen niet om het soort verkeer (het slachtoffer hoeft dus helemaal geen DNS-server o.i.d. te draaien), maar dat het zoveel is dat de maximale verbindingscapaciteit wordt overschreden.

Poorten dichtgooien heeft dus geen zin, het gaat er bij de aanval puur erom dat er bijvoorbeeld 10Gb/s wordt verstuurd terwijl jouw lijntje maar 8Gb/s trekt.

Wat betreft de servers die als amplifier worden misbruikt, die kunnen wel wat doen:

An essential component of DNS amplification attacks is access to open DNS resolvers. By having poorly configured DNS resolvers exposed to the Internet, all an attacker needs to do to utilize a DNS resolver is to discover it. Ideally, DNS resolvers should only provide their services to devices that originate within a trusted domain. In the case of reflection based attacks, the open DNS resolvers will respond to queries from anywhere on the Internet, allowing the potential for exploitation. Restricting a DNS resolver so that it will only respond to queries from trusted sources makes the server a poor vehicle for any type of amplification attack.

Als laatste kunnen ook de internetproviders waarop zich de bots of aanvallende server bevinden wat doen, door pakketjes met een vervalste afzender te blokkeren.

Source IP verification – stop spoofed packets leaving network

Because the UDP requests being sent by the attacker’s botnet must have a source IP address spoofed to the victim’s IP address, a key component in reducing the effectiveness of UDP-based amplification attacks is for Internet service providers (ISPs) to reject any internal traffic with spoofed IP addresses. If a packet is being sent from inside the network with a source address that makes it appear like it originated outside the network, it’s likely a spoofed packet and can be dropped.

Helaas kan alleen de ISP waar het aanvalsverkeer oorspronkelijk vandaan komt dit doen, en nog lang niet alle ISPs hebben BCP 38 geïmplementeerd.

Citaten van hier

kimborntobewild @Hakulaku • 28 mei 2018 17:15

Het is niet gemakkelijk om een bank plat te leggen, daarom dat de gemiddelde consument dit ook niet kan doen. Echter zijn er services op het internet beschikbaar die (mits je er voor wilt betalen) het jou wel gemakkelijk kunnen maken.

Ergo... het is dus toch makkelijk om een bank plat te leggen. Juist vanwege die services (op het darknet).

xrf @kimborntobewild • 29 mei 2018 09:48

Niet op het darknet, gewoon open en bloot op het publieke internet. Af en toe wordt er wel weer eentje uit de lucht gehaald (recent nog Webstresser), maar Google nu maar eens op "stresser" en je ziet hoeveel sites dat gat graag opvullen.

AjDuLion @bbob • 28 mei 2018 10:14

niet alleen banken hoor meeste overheden zijn hier al helemaal niet voor opgewassen helaas (dat krijg je als het corportate leven gewoon veel meer betaald voor netwerkadmins)

the_stickie @bbob • 28 mei 2018 11:10

Klein, maar belangrijke detail: de banken liggen niet plat, alleen hun online services. De interne systemen werken prima en het betalingsverkeer zelf verloopt via afzonderlijke verbindingen.

Het is natuurlijk zeer lastig, en kost sowieso geld, maar het is niet zo dat de (huidige) schaal een werkelijke impact heeft op de economie in zijn geheel.

Verwijderd @bbob • 28 mei 2018 11:42

Daarnaast hoe langer banken offline zijn des te minder het vertrouwen in banken gaat worden. De schade die dit potentieel kan opleveren

Dit kan ook winst opleveren, banken proberen contant geld helemaal uit te roeien zodat ze eindelijk die negatieve rente kunnen gaan invoeren. Minder vertrouwen in banken maakt dit lastiger.

Verwijderd @AjDuLion • 28 mei 2018 09:21

klopt dit kost heeel veel geld, ik zocht het type is op van de routers/switch die kosten al gouw rond 3k euro

AjDuLion @Verwijderd • 28 mei 2018 09:29

het is niet alleen de routers, je hebt ook de infra nodig die het kan verwerken.

Geloof het of niet maar zelfs Isp's kunnen overstelpt worden met teveel data dat ze simpelweg niet anders kunnen dan gaan ''nulrouten'' (oftewel de verzoeken gewoon een zwart gat in gooien) omdat ze anders problemen kunnen krijgen met andere klanten.

kimborntobewild @AjDuLion • 28 mei 2018 17:13

...''nulrouten'' (oftewel de verzoeken gewoon een zwart gat in gooien) omdat ze anders problemen kunnen krijgen met andere klanten.

Het probleem met DDOS is nu juist dat je geen onderscheid kan maken tussen de aanvaller en de normale klanten. Als je dat onderscheid wel kon maken, dan kan je toch sowieso niks platleggen m.b.v. een gedistribueerde aanval?

Verwijderd @AjDuLion • 28 mei 2018 09:31

klopt idd het kost echt gewoon veel geld, maar in dit stukje bedoel ik al dat een router/switch al zo gouw 3k kost

bbob

Netwerk en systeembeheer

@Verwijderd • 28 mei 2018 09:41

al gouw zo'n 3k. En je denk dat 3k voor een bank een probleem is. Voor een consument klinkt 3k misschien veel, voor een bank is het wisselgeld.

Verwijderd @bbob • 28 mei 2018 09:42

er komt wel meer bij kijken dan een paar routers en switches van 3k

bbob

Netwerk en systeembeheer

@Verwijderd • 28 mei 2018 09:48

Klopt maar uiteindelijk als dit soort ddos aanvallen blijft toenemen is de schade voor de economie straks een stuk groter. Webwinkels die geen ideal betalingen kunnen doen. Vertrouwen in banken dat daalt.

Verwijderd @bbob • 28 mei 2018 09:50

daarom moeten mensen hun eigen bank op kunnen zetten vind ik, de crypto is ook te wiebelig

Mickeydehond @Verwijderd • 28 mei 2018 11:42

Een eigen bank oprichten is zeker geen optie. Er zijn behoorlijk strenge eisen waar je als bank aan moet voldoen; zo heb je kapitaaleisen, gedragscodes (MIFID 2), verplicht te behalen WFT diploma's, convenanten waar je je aan moet houden, de implementatie van de AVG en de AFM (Autoriteit Financiële Dienstverlingen) die zomaar kan binnenvallen om je boeken te controleren . Daarnaast moet je ook nog een bankvergunning verkrijgen bij de Nederlandse Bank.

Bij de oprichting van een 'eigen' bank komt dus veel kijken. Maar al die regels zijn er niet voor niets; ze beschermen de consument en het financiële systeem. Daar kom je als beginner niet zomaar tussen.
Misschien is dat maar goed ook.

Solinx @Verwijderd • 28 mei 2018 18:13

Kan ook. Je moet alleen wel aan alle regels voldoen. Dat zijn er nogal wat, en er zijn verschillende kosten ivm licenties en dergelijke. Ik heb in het verleden eens kort gekeken naar wat het zou zijn om een kleine hypotheekbank op te zetten voor zzp’ers. Dat idee heb ik vrij snel laten varen. De regels zelf heb ik niet in detail bekeken, maar het leek me over het algemeen niet slecht dat ze er waren.

bbob

Netwerk en systeembeheer

@Verwijderd • 28 mei 2018 10:07

eigen bank opzetten ?

Verwijderd @bbob • 28 mei 2018 11:43

Vertrouwen in banken dat daalt.

Dat is winst. Betaal meer contant, de banken, overheden en iedereen aan wie de banken straks die gevevens willen verkopen hoeven niet alles te weten.

Neus @Verwijderd • 28 mei 2018 11:35

Mijn OVH en SoYouStart servers hangen hier standaard achter; ik krijg netjes een email zodra een ddos aanval gaande is op een van mijn (virtuele) servers:

Dear Customer,
We have just detected an attack on IP address 79.x.x.x.
In order to protect your infrastructure, we vacuumed up your traffic onto our mitigation infrastructure.
The entire attack will thus be filtered by our infrastructure, and only legitimate traffic will reach your servers. At the end of the attack, your infrastructure will be immediately withdrawn from the mitigation.

En later:

We are no longer able to detect any attack on IP address 79.x.x.x
Your infrastructure has now been withdrawn from our mitigation system.

De server is voor geen moment onbereikbaar geweest. Prachtig.

Verwijderd @Neus • 28 mei 2018 11:38

klopt ik weet dat ovh/soyoustart een pracht systeem heeft.. werkt mooi idd
Alleen bij de dedicated servers geven ze geen seintje dat je een aanval krijg

purper 28 mei 2018 08:04

Waarom ING niet? Of hebben zij hun verdediging misschien beter op orde?

[Reactie gewijzigd door purper op 24 juli 2024 04:37]

gjmi @purper • 28 mei 2018 08:45

Nee, ING is niet aangevallen. Je kunt je hier niet tegen beschermen. Alleen als je aanval plaats vind kun je iets doen om de schade te beperken. Maar je kunt het niet voorkomen.

Het is een heel simpele aanval (wat op verschillende manieren kan): de servers krijgen enorm veel aanvragen tegelijk.

Stel je hebt een klein winkeltje en opeens komen er van alle kanten 1000 man binnen stormen en je bestoken met vragen en er staan er nog duizenden voor de deur. Hoe wil je dat voorkomen? Je gewone klanten kun je niet helpen omdat die er niet doorheen komen.

WhatsappHack

Netwerk en systeembeheer
Ddos

@gjmi • 28 mei 2018 12:50

Heb je een bron dat ING en/of andere banken niet aangevallen is/zijn? Ben ik wel benieuwd naar.

Bij een fysieke winkel kun je niet opschalen. Op een internet verbinding kan je opschalen en alle “klanten” die toch niets gaan kopen wegscrubben alvorens ze de winkel kunnen bereiken, en dat scheelt al flink. Als bijvoorbeeld ING de zaakjes wel goed op orde heeft en met netwerkpartners samenwerkt die de klap kunnen opvangen, dan moet je erg veel capaciteit hebben wil je dat zomaar even platleggen. De gemiddelde scriptkiddy die volledig afhankelijk is van anderen zal die capaciteit over het algemeen niet ter beschikking hebben.

gjmi @WhatsappHack • 28 mei 2018 14:01

Ja, je kunt opschalen, maar dat kost ook even tijd.

Je hoeft geen scriptkiddy te zijn, je besteld het voor een paar euro’s.

WhatsappHack

Netwerk en systeembeheer
Ddos

@gjmi • 28 mei 2018 14:29

Niet als de boel goed geregeld is, dan hoeft het niet heel lang te duren of staat het zelfs standby.

Ja dat is de definitie van een scriptkiddy, zelf niets kunnen maar het elders inkopen of de tools van anderen gebruiken. Maar je kan voor een paar euro over het algemeen niet de capaciteit kopen die noodzakelijk is om de enorme buffer netwerken plat te leggen, zoals akamai’s en OVH’s anti-ddos netwerken...

GitHub bijvoorbeeld kreeg een zieke aanval van 1.3TBit. Binnen 10 minuten was de boel re-routed via AKAMAI’s Prolexic service. Een scrubber met een enorme capaciteit. Problem solved. De aanvallers hebben het toen maar opgegeven.
En die gaan echt niet voor een paar euro voor de lol hun botnet risico laten lopen omdat iemand aandacht wil.

Dus ja je kan voor een paar euro een aanval kopen, maar niet met de capaciteit die noodzakelijk is voor zulke anti-ddos netwerken.

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 04:37]

BizzieBis @purper • 28 mei 2018 08:12

Tegenwoordig kan je oma met één hand in de soep roeren, en met de andere een DDOS aanval beginnen. Zo simpel is het geworden. Dus wie weet wat tegenwoordig de achterliggende gedachte is, en de keuze voor wat wel en wat niet aan te vallen..

EsraHuntz @BizzieBis • 28 mei 2018 08:28

@BizzieBis De tranen springen me hier in de ogen en de kaken zijn al zuur

jochem4207 @purper • 28 mei 2018 08:17

Omdat zij op dit moment niet in gekozen worden denk ik zelf, Als iemand iets wilt plat krijgen is het te doen, ondanks het beveiligings level. Dit omdat er zo veel onbeveiligde punten zijn die misbruikt kunnen worden, servers, pi's en smart home apparatuur.

gss709s @purper • 28 mei 2018 11:00

Ik denk dat hetzelde ook geprobeerd is bij ING. Maar bij ING loopt het minder snel. ING heeft meer klanten dus moet hij ook bereid zijn die klanten toegang te geven, dus is hier meer rekenkracht beschikbaar gezet.
je zult het zo bekijken Rabo is PLUS, ABN is Coop en ING is AH. Neem die winkelketen en belast ze 100.000 telefoons tegelijk, waar zullen klanten bij elke winkel het snelste in de wacht raken?
Ook heeft ING in het verleden veel DDOS-en gehad waardoor ze meer maatregelen hebben genomen(controleren van bepaalde opdrachten voor het uitvoeren bijvoorbeeld). Maar het betekent niet dat ING DDOS-werend is.

Mr.Monk 28 mei 2018 08:36

Word het niet tijd dat ook ISP's gaan meedenken om de DDOS aanvallen te verminderen? Het gaat ook over hun netwerken. Ik weet dat het hun winkel niet is.. maar zij hebben nou eenmaal de capaciteit om dit soort dingen te kunnen aanpakken.

Daarnaast mag het niet meer mogelijk zijn om anoniem te stresstesters voor websites te gebruiken.

Als je er met zn allen voor zorgt dat DDOS niet meer zo eenvoudig is...

Verwijderd @Mr.Monk • 28 mei 2018 09:18

Volgens mij kun je als ISP maar op één manier controleren of zoveel aanvallen naar één doel terecht is of niet en dat is door middel van DPI (Deep Packet Inspection). En dit is niet toegestaan.

Het simpelweg blokkeren van data naar een doel, wanneer er een enorme hoeveelheid aanvragen plaatsvind is gewoonweg niet te doen omdat tussen dat verkeer mogelijk ook legitieme verzoeken kunnen zitten. Of te wel, zonder verder te onderzoeken zou je ook legitiem verkeer blokkeren - wat ongewenst en ook zeker niet toegestaan is.

Tenzij de overheid, providers, banken etc. zoeken naar een oplossing in de richting van een soort intranet structuur zoals ik (deels) schetste maar daarmee creëer je (naar wat ik inmiddels begrepen heb) weer andere problemen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 04:37]

Kabouterplop01 @Verwijderd • 28 mei 2018 10:21

Over het algemeen is zonder DPI al tig procent af te vangen (Maar je hebt wel zelf bandbreedte nodig en apparatuur) . aangezien de meeste DDOS-en van het type flood zijn. Deze zijn meestal van een specifiek type met een specifiek protocol.
Je hebt Volume based en Laag 7 (OSI model)
Volume based zegt het al Flood; 99% UDP packets en dus spoofbaar. (Daarom moeten de ISP's hun handen ineen slaan en BCP38/84 implementeren om dit zoveel mogelijk tegen te gaan)
Het vervelende van de gespoofde UDP packets is dat ze ook 99% van het type amplification zijn. (je stuurt een kleine request uit, maar het antwoord is veel groter)
1% is TCP flood (de SYN flood) aangezien er nog geen established session is is deze aanval ook spoofbaar.
Deze floods daar ze met een gespoofed adres zijn, zijn bijna niet te achterhalen. (vanwege het gebrek aan BCP38/84)
Bij een beetje JL (Ik noem het maar Jan met de korte achternaam) DDOS, waarbij de DDOS die veroorzaakt wordt door zombies(geïnfecteerde machines) is de bot zelf niet zo heel gedetaileerd geprogrammeerd dat de bot zelf óók z'n eigen IP adres kan spoofen. Dat zou het veel moeilijker maken.

Laag 7:
geraffineerde aanvallen; 99% procent schijnbaar legitiem verkeer. Established TCP sessions(en dus achterhaalbaar wie het doet)
Bij deze soort wordt niet zozeer de bandbreedte misbruikt maar de server's resources. requests waar de server lang over doet om te antwoorden en meestal ook niet in z'n cache heeft staan.

xrf @Kabouterplop01 • 29 mei 2018 10:59

Voor degenen die zich afvragen wat amplification-aanvallen inhouden: het gaat om verzoeken naar een legitieme dienst (bijvoorbeeld een DNS-server), waarbij wordt gedaan of deze van het doelwit afkomstig zijn. De reacties die door de legitieme dienst verstuurd worden zijn vervolgens veel groter dan de verzoeken, waardoor de hoeveelheid verkeer groter is dan wanneer de aanvaller rechtstreeks het aanvalsverkeer naar het doelwit had gestuurd.

Een voorbeeld is DNS amplification:

During a DNS amplification attack, the perpetrator sends out a DNS query with a forged IP address (the victim’s) to an open DNS resolver, prompting it to reply back to that address with a DNS response. With numerous fake queries being sent out, and with several DNS resolvers replying back simultaneously, the victim’s network can easily be overwhelmed by the sheer number of DNS responses.

Reflection attacks are even more dangerous when amplified. “Amplification” refers to eliciting a server response that is disproportionate to the original packet request sent.

To amplify a DNS attack, each DNS request can be sent using the EDNS0 DNS protocol extension, which allows for large DNS messages, or using the cryptographic feature of the DNS security extension (DNSSEC) to increase message size. Spoofed queries of the type “ANY,” which returns all known information about a DNS zone in a single request, can also be used.

Through these and other methods, a DNS request message of some 60 bytes can be configured to elicit a response message of over 4000 bytes to the target server – resulting in a 70:1 amplification factor.

Uiteraard kan deze techniek ook gecombineerd worden met botnets, wat leidt tot een nog veel grotere hoeveelheid aanvalsverkeer.

bush @Mr.Monk • 28 mei 2018 09:04

cloud providers doen het al bvb via Azure https://docs.microsoft.co.../ddos-protection-overview of via akamai https://www.akamai.com/uk/en/resources/ddos-protection.jsp

Verwijderd @Mr.Monk • 28 mei 2018 08:57

https://www.ovh.com/world...dos-attack-management.xml suc6 met dit

Nicap 28 mei 2018 08:53

Maar je kunt dus niet “alle” reguliere klanten whitelisten? Die zijn bekend bij de bank neem ik aan.
Dan kin je toch eenvoudig alle andere IP-adressen blocken, zodra een ddos begint? Of is dat iets te simpel. Dan heeft de grootste groep er niet zoveel last van.

Gutser @Nicap • 28 mei 2018 09:22

Dat werkt niet want:
Dan kun je niet meer mobiel bankieren als je op iemand anders zijn wifi zit
Of gebruik maak van een VPN
Of net verhuisd ben
Of geen statisch IP adres heb
etc.

Kortom, je ip-adres is niet altijd hetzelfde

Nicap @Gutser • 28 mei 2018 09:25

Alleen ten tijde van een ddos natuurlijk. Dus normaal merk je er niks van. Ja een paar klanten zullen er last van kunnen hebben, maar het gros niet.

Daoka @Gutser • 28 mei 2018 11:40

Of een whitelist gebaseerd op Mac adres waar ze dan 2 tot 4 mac adressen per klant kunnen whitelisten, voor laptop, telefoon, tablet (en ja ik weet dat dit ook te vervalsen is).

RGAT @Daoka • 28 mei 2018 12:13

MAC adressen zijn layer 2, heb je dus weinig aan over het internet

Daoka @RGAT • 28 mei 2018 12:23

Haha ja stom van me

. Blijkbaar moet ik nog even een paar uur terug naar bed

voordat ik weer probeer na te denken

tweaknico @Daoka • 28 mei 2018 12:35

MAC adressen komen niet eens voorbij de eerstvolgende router (ic. jouw AP of DSL modem, Telecom Mast bij mobieltjes.).
Daarnaast is dat makkelijk te spoofen, hardeware heeft een DEFAULT Macadres. Je kan er maken van wat je wil.

[Reactie gewijzigd door tweaknico op 24 juli 2024 04:37]

Olaf1979 @Nicap • 28 mei 2018 09:12

Lekker handig. Zit je op t terras wil je betaling doen. Mag niet want de bank kent je ip niet.
Dit probleem is inherrent aan de open structuur van het internet. Lang verhaal kort het systeem is nooit ontwikkeld om dit soort aanvallen te weerstaan, sterker het bevordert het. Alleen als het internet systeem drastisch wordt aangepast is er geen afd9ende weerstand tegen dit soort problemen

Daoka @Olaf1979 • 28 mei 2018 11:38

Als de pinautomaat ook niet werkt tijdens een ddos aanval dan kan je evengoed niet betalen. In dat geval zou de whitelist juist misschien kunnen helpen als de bar/kroeg/restaurant daar geregistreerd is.

Juncto 28 mei 2018 09:19

Hetgeen ik eigenlijk mis, is wat DDOS your mom is, cq wat diegene (cq groep) hiermee wilt bereiken, wat heeft ze getriggerd om de ABN-AMRO en de Rabobank aan te vallen, waarom geen andere nederlandse banken en ik ben benieuwd of ze misschien ook banken in het buitenland hebben aangevallen.

Mickeydehond @Juncto • 28 mei 2018 12:10

Veel Nederlandse banken doen op het moment een uitkering aan benadeelde klanten inzake door de klant teveel betaalde boeterente tussen 2011 en 2016. Deze klanten hebben destijds vervroegd afgelost of hebben het rentetarief laten bijstellen. Rabobank en de ABN Amro zien hier van af omdat zij zich destijds aan de door de AFM gestelde regels hebben gehouden. NN, wie inmiddels de eigenaar is van Delta Lloyd, heeft tevens ook verklaard geen aanleiding te zien in het terugbetalen van klanten. NN verwerkt overigens geen betalingen.
https://www.telegraaf.nl/...wat-betekent-dit-voor-jou
Als er een aanleiding is, is dat deze.

Verwijderd @Juncto • 28 mei 2018 10:11

De foto zegt genoeg van deze gebruiker.

https://pbs.twimg.com/media/Dd-bRlRU0AIhLHc.jpg:large

dakka @Juncto • 28 mei 2018 14:38

shits 'n giggles, simpel

Verwijderd 28 mei 2018 10:06

Zo een persoon moet toch op te sporen zijn? Als buitenland meewerkt hoe al die tunnels lopen waar hij verbinding mee maakt.
Dit was zijn laatste bericht op Twitter.

@ddosyourmom
24 mei
guys. i quit twitter. i left a nice trail of metadata for the cops to try to find me

.
ill still be ddosing every bank/political/government site this week/month just not tweeting about it typhonstone@protonmail.com is my email

https://twitter.com/ddosyourmom

10 uur geleden was deze gebruiker nog actief met zijn retweet.

Update:

Misschien dat hij achterhaald kan worden via zijn profiel op andere websites van oudere data?
https://steamcommunity.com/id/maliciousonwhat
https://steamid.eu/profile/76561198130187674
https://www.roblox.com/users/111482773/profile
https://us.diablo3.com/en...enguin-1976/hero/82076159
Profielfoto komt hier ook voor:
https://www.reddit.com/r/...7wj/how_to_ddos_your_mom/

Ik zou zeggen voel deze gast eens aan de tand. Zo te zien een puber bij wie net de balletjes zijn ingedaald.

Vooral deze vanuit 2016. Een keuzemenu. Derde van onder.
https://www.strawpoll.me/11306861

[Reactie gewijzigd door Verwijderd op 24 juli 2024 04:37]

Juncto @Verwijderd • 28 mei 2018 10:34

Klinkt als iemand (als dit degene is die het daadwerkelijk doet) die wat broodkruimels morst, mogelijk om te zijn of de opsporingsdiensten hierin meegaan.
Ik krijg het idee dat diegene dit ziet als een spel, cq project, maar nogmaals dat is puur speculatie.

Verwijderd @Verwijderd • 28 mei 2018 11:35

Is er via Tor op twitter te posten?

diyoo 28 mei 2018 09:04

Uit het artikel "De aanvallen tonen aan dat die van vorige week donderdag, toen beide banken ook onder vuur lagen, geen incidenten waren" en "Niet bekend is of die persoon, of personen, daadwerkelijk achter de aanvallen zaten en of de recente aanvallen afkomstig zijn van dezelfde dader of daders."... Met andere woorden, het zouden twee incidenten kunnen zijn, uitgevoerd door verschillende partijen. Zolang de daders van de tweede aanval niet duidelijk zijn dan lijkt mij "aantonen" een vrij beladen woord. Ik acht die kans ook vrij klein maar zonder bewijs is "aantonen" wel een snelle conclusie.

Verder, opgeëist door DDoSYourMom... Vrij kinderachtig IMHO

. Mochten ze opgepakt worden, geef ze lekker een baantje bij de bank. Iets met lobby en oprit schoonmaken in een oranje hesje met een logo mom's-delinquent.

[Reactie gewijzigd door diyoo op 24 juli 2024 04:37]

claesmathias 28 mei 2018 09:00

Je kan beroep doen op services als cloudflare, akamai, arbor, etc.
https://www.cloudflare.com/ddos/

thedude182 @claesmathias • 28 mei 2018 12:25

Je.
Een bank niet. Die mag niet communiceren via buitenlandse proxies van derden. Dit tast de privacy van de eindklant gigantisch aan.

Banken zijn tonnen per maand kwijt aan de vele racks, verspreid over meerdere dc, vol met anti ddos appliances en flinke firewalls. En ook nog routering door het NaWas centrum. En nog hele security teams. Zeg maar richting de miljoen per maand.

claesmathias @thedude182 • 28 mei 2018 13:26

Waar staat dit ergens geschreven? Ik werk namelijk in de financiele sector (Belgie)

Er zijn verschillende soorten DDOS services, volumetrisch, applicatief. De privacy van de klant blijft in tact bij volumetrisch, on-primise + scraping.

https://i1.wp.com/woohuir...kProtection_web.png?ssl=1

[Reactie gewijzigd door claesmathias op 24 juli 2024 04:37]

peli @thedude182 • 28 mei 2018 14:14

Ik weet niet waar je die stelling op baseert, Akamai wordt zeker te weten gebruikt binnen de financiele sector.
Er liggen overigens solide contracten met dergelijke partijen waarin privacy is gewaarborgd.

Verwijderd 28 mei 2018 08:02

Jap gister avond stond twitter er weer vol mee

sjoerddz 28 mei 2018 11:44

met zo'n naam vraag ik me af hoe oud de aanvaller is

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (112)

Sorteer op:

Weergave: