Microsoft slachtoffer van DDoS aanval

Binnen een dag na het oplossen van de problemen met de DNS server zijn de Microsoft websites voor de tweede keer een tijd lang onbereikbaar geweest. Nadat gisteren bekend werd gemaakt waarom het Microsoft netwerk zo kwetsbaar was besloten een aantal lieden daar eens misbruik van te gaan maken door de enige DNS server onder vuur te leggen. Tijdens de DDoS verdween de website, die tot de top 3 van de wereld behoord, voor veel mensen weer van de kaart:

The timing and duration of the embarrassing outage came as Microsoft--which operates the third most-visited sites on the Web--is trying to bolster its reputation among corporate customers. The company launched a $200 million advertising campaign Monday touting its business software in competition with Oracle, IBM and Sun Microsystems. The theme for the ads is "software for the agile business."

[...] According to networking consultancy Keynote Systems, at the height of the attack, as little as 2 percent of the requests for Microsoft Web pages were being completed Thursday. Normally, sites are able to fulfill 97 percent of all page requests, said Keynote representatives.

Bedankt rodaan en 15 anderen die net iets later waren voor de tips .

Lees meer

IT-banen

Reacties (71)

wzzrd 26 januari 2001 13:12

eraserhead:

Of je nou IPv4 of IPv6 gebruikt, dat maakt geen reet uit voor het feit of DoS attacks mogelijk zijn.
Of je nou een hele hoop pakketjes naar een IPv4 adres stuurt of naar een IPv6, dat doet er niet toe.
Het verschil tussen IPv4 en IPv6 zit hem in de lengte van de adres-code. IPv4 is 4x8 bit, 4 byte, als 255.255.255.255. IPv6 wordt 16 byte per adres.

Quote'je erbij voor de duidelijkheid:

The following features have been purposed: 16-byte addresses instead of the current four bytes; embedded encryption - a 32-bit Security Association ID (SAID) plus a variable length initialisation vector in packet headers; user authentication (a 32-bit SAID plus variable length authentication data in headers); autoconfiguration (currently partly handled by Dynamic Host Configuration Protocol); support for delay-sensitive traffic - a 24 bit flow ID field in headers to denote voice or video, etc.

Verwijderd @wzzrd • 26 januari 2001 14:19

16 bytes per adres?!"
"Meneer doe eens een ipconfig en vertel me uw IP-adres even"
Meneer: "Dat is 123.121.221.222.111.67.54.43.32.99.122.67.91.56.126.123.99"

[ti] @Verwijderd • 26 januari 2001 14:28

Een ipv6 ip ziet er bv. zo uit (hexadecimaal dus):

3ffe:8114:2001:2a0:0:0:1:5

En DDoS attacks zullen met ipv6 minder problemen gaan leveren: spoofen van packets (waar bv. de wel bekende smurf ddos attack hevig gebruik van maakt) zal niet meer gaan (spoofen is je eigen ip adres in het ip pakketje 'vervangen' door een ander (niet bestaand, of 'n amplifying) ip adres).

Uiteraard zal het 'normale' flooden vanaf verschillende hosts nog steeds wel gaan. Het zal alleen minder hard gaan, omdat de flooder (met ipv6) niet meer kan spoofen, en dus zelf ook data verkeer terug te verwerken krijgt (bv. icmp-replies)

SlaSauS @[ti] • 27 januari 2001 12:09

waar ik dan uit afleid dat, voor organisaties als de FBI het dus ook makkelijker word om dit soort flooders op te sporen.. het risico om opgepakt te worden word dus ook flink vergroot...

Predator @Verwijderd • 26 januari 2001 16:24

IPV6 addressen worden voorgesteld met hun hexadecimale notatie:
8x gescheiden voor een dubbel punt
bv: FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
maar je mag leading nullen weglaten
0000:0000:0000:0000:0000:0000:FFFF:FFFF
wordt: FFFF:FFFF
Men zit nu serieus in de problemen met ip-ranges en die voldoen al LANG niet meer.
Het is goed dat ze bij de nieuwe standaard er VEEL meer reserven dan kunnen we nog vele jaren mee.

[edit] Dzu ben ik ook te laat zeg :(<div class=r>[Reaktie gewijzigd door [P]redator]</div>

MAZZA @Predator • 26 januari 2001 19:37

Nou met ipv6 zit dat wel goed. Twee vrienden van mij hebben allebij een ipv6 range. Samen hebben ze meer ip's dan het huidige ipv4 net bij elkaar

]Byte[ @Verwijderd • 26 januari 2001 14:38

[ti] was me net ff voor....
Maar er is meer informatie beschikbaar op:
http://www.iana.org/ipaddress/ip-addresses.htm<div class=r>[Reaktie gewijzigd door ]Byte[]</div>

whigger 26 januari 2001 13:29

Behalve dat deze dDoS attack op een bijzonder ongelegen moment komt voor MS [ivm. die $200 miljoen reclamecampagne, enz.], is het ook bijzonder slechte reclame voor .NET, waar ze mee bezig zijn.
Bedrijven worden aangemoedigd al hun software en bestanden op het net te zetten in plaats van lokaal op hun PCs.
Bedrijven zullen wel wat meer gaan twijfelen, lijkt me, als dit soort attacks blijven doorgaan.

The Jester @whigger • 26 januari 2001 13:53

GBits @whigger • 26 januari 2001 20:38

Nee nee nee, dit soort reacties worden met +4 als inzichtvol gezien en gelijk maar als waarheid aangenomen?
Het heeft geen RUK te maken met operating systems, visies en dat soort zaken.
FF to the point blijven zoals gelukkig nogmeer mensen heronder ook inzien (Sjors, Leopard).

Elke keer dat er wat te melden is over MS krijgen allen tweakers plotseling een halo boven hun hoofd waarin met neon letters "IT Expert" en "marktdeskundige" komt te staan.

moest het ff kwijt, flame me if you want, want ik klink nu waarschijnlijk voor een hoop mensen net zo...

gumkop 26 januari 2001 12:42

Microsoft daargelaten, er zijn zo veel anti-MS mensen, dat zo'n attack onvermijdelijk is, maar komt er met de nieuwe IP versie (6) misschien een mogelijkheid dat DOS attacks niet meer mogelijk zijn?? Wie weet dat??

Ik bedoel het is nu zo makkelijk een site uit de lucht te houden door zulke attacks, ik vind dat het internet wel beter beschermt mag gaan worden met alle services die er tegenwoordig op lopen. (Niet meer telebankieren door een DOS attack etc.)

Verwijderd @gumkop • 26 januari 2001 12:47

Ik denk het niet. Zo lang het sturen van ICMP-pakketten mogelijk blijft kunnen dat soort attacks altijd uitgevoerd worden. Correct me if I'm wrong

Minotaur @Verwijderd • 26 januari 2001 12:53

Ik denk het niet. Zo lang het sturen van ICMP-pakketten mogelijk blijft kunnen dat soort attacks altijd uitgevoerd worden. Correct me if I'm wrong

Zelfs dat kun je blokkeren, of rate limitten...

Verwijderd @Minotaur • 26 januari 2001 13:10

Mjah .. stel dat ze 1gbit tot hunbeschikking hebben. icmp-packets uitgefilterd. Als je dan toch 1,2 Gbit over de lijn pompt komt er ook weinig meer door en kan je vrij weinig doen.

Tegen een overmacht verlies je het toch. Veel kleine maken een grote

Verwijderd @Minotaur • 26 januari 2001 13:11

zelfs als je icmp blokkeert, dan nog moeten die pakketjes worden gedropt door de router. Als je maar genoeg pakketjes naar die router toestuurt, dan zal die router het gewoon niet meer aankunnen.

Verwijderd @Minotaur • 26 januari 2001 13:15

Deformer: ze hebben de dns server NIET platgegooid... dat was eergisteren. dit is een normale 'dDos-Attack'.

witchdoc @Minotaur • 26 januari 2001 13:07

Microsoft BLOCKED die ICMP paketten toch?!
Vraag me af wat die 'hackers' juist hebben gebruikt dan

Verwijderd @Minotaur • 26 januari 2001 13:12

Ze hebben de DNS server plat gelegd dat zou je bijvoorbeeld kunnen doen door gewoon constant achter elkaar het dingen op te vragen zoals .. welk ip hoort bij www.micrsoft.com .. welk ip hoort bij windowsupdate.microsoft.com .. en als je dat met genoeg aanvragen per seconde doet gaat die server wel down hoor

jp @Minotaur • 26 januari 2001 17:03

Zoals Paz ook al zei, hebben ze de server niet platgegooid. Het enige wat ze (voor zover ik kan zien) dusdanig veel requests aan die server gegeven, dat de "serieuze" aanvragen van normale gebruikers simpelweg niet beantwoord konden worden omdat die DNS het veels te druk had met het "beantwoorden" van die zinloze requests.

Maar omdat dit nu eenmaal de manier is waarop TCP/IP werkt, kun je er weinig aan doen. Het enige wat mogelijk is, dat alle gebruikers een (enorm lange) lijst hebben met alle IP's die ze meestal gebruiken.

Maar dan kun je niet ff een server vervangen door eentje met een ander IP.

(Er zijn vast wel mensen die dit beter uit kunnen leggen

)

NiPeng @Minotaur • 27 januari 2001 04:52

Je zou wel het aantal dns request per sec kunnen limiten per ip/host. Daarmee zou je dit soort toestanden voorkomen en toch normale gebruikers niet mee hinderen.

Tenminste zoiets zag ik voor bij komen de laatste keer dat ik met ipchains/iptables onder linux aan het knoeien was. De mogelijkheid om bepaald verkeer te droppen als deze boven een bepaalde threshold komt.

Ga er ff van uit dat dit ook kan met de MS software of op de door hun gebruikte hardware (routers etc).

Ni

musiman

@Minotaur • 27 januari 2001 10:22

Hadden ze maar de snelste router van Extreme moeten gebruiken

Die gasten weten nog eens hoe je zo'n ding moet maken!

Ludewig @Verwijderd • 26 januari 2001 15:23

De beste manier om DDoS te voorkomen is door elke aanvrager een klein encryptie probleempje te laten oplossen. Als clients maar 1 aanvraag doen kost zoiets haast geen tijd, maar een DDoS-PC kan dan nog maar weinig kwaad doen. Dan heb je wel heel veel bakken nodig voor een geslaagde DDoS.

MAZZA @gumkop • 26 januari 2001 15:29

Op IRCnet wordt veel van ipv6 gebruik gemaakt (ikzelf ook) omdat er nog bijna geen programma's zijn om DDoS attacks uit te voeren op een ipv6 ip. Hoewel er helaas laatst een programma (stacheldraht) wel ondersteuning ervoor heeft gekregen. Maar gelukkig zijn er nog zo weinig mensen met een ipv6 ip dat het nog steeds moeilijk is om ermee te dossen (gelukkig).

jp @MAZZA • 26 januari 2001 17:05

Mee eens. Maar als ze IPv4 eruit gaan gooien, en alles vervangen door IPv6, dan komen die "tooltjes" er best wel heel snel, en ben je dat voordeel ook weer kwijt.

<off-topic>
Weet iemand wat er mis was met het design van IPv5, of was dat al achterhaald voor 'ze' er mee klaar waren?
</off-topic>

Verwijderd @jp • 26 januari 2001 19:41

IPv5 was puur voor wetenschappelijke doeleinden ontwikkeld, dus voor QoS onderzoek ed...

silvershadow449 @MAZZA • 27 januari 2001 04:01

DDos tools voor ipv6 zijn al een tijdje verkrijgbaar. Een crew 'Packetknights' heeft een ipv4>ipv6 tool geschreven. Ik zal de link maar wijselijk achterwege laten...

4to6ddos is a distributed denial of service against ipv6 that works without installing ipv6 support.
It shoots ipv6 encapsulated in ipv4 packets directly to the ipv4-to-ipv6 tunnels.

Japs @gumkop • 26 januari 2001 14:23

(Niet meer telebankieren door een DOS attack etc.)

Een beetje off-topic misschien, maar om dit soort redenen vindt ik een telebankier service als Girotel (een aantal andere banken hebben geloof ik ook zoiets) toch een stuk veiliger en betrouwbaarder. Met dit soort services heb je niets met internet te maken. Je belt gewoon direct in naar de mainframe van (bijvoorbeeld) de postbank. Als iemand hier wil gaan kloten, moet hij dus of fysiek inbreken bij de postbank mainframe (ik mag tenminste hopen dat die computer geen verbinding heeft met internet), of via een fysieke telefoontap een transactie tussen gebruiker en mainframe onderscheppen (en er dan iets mee kunnen doen).
Lijkt me allebei een hele prestatie

Ik blijf lekker bij girotel.
Trouwens, ik kan me herinneren dat er een tijdje geleden wat problemen waren bij dat rabobank (?) internet bankier systeem. Ik weet alleen niet meer precies wat er fout ging. Paswoorden van gebruikers zichtbaar of zoiets.

Jaymz 26 januari 2001 12:49

ALs ze die attack geplanned hebben nadat MS weer terug was, moet ik zeggen dat ze dat snel hebben geregeld.

Betekend dus ook, dat als ze meer tijd nemen de gevolgen niet te overzien zijn.

Distribueer zo'n MegaFlush over tientallen/honderden DNS servers en de halve wereld ligt eruit.

* 786562 Jaymz

gumkop @Jaymz • 26 januari 2001 15:17

Ach je weet toch hoe dat gaat, die gasten hebben contact met ik weet niet hoeveel anderen over de hele wereld, die hebben weer hun contacten binnen dat land en zo heb je met ICQ in no time een paar honderd gasten gemobiliseerd achter de pc voor een attack.

jp @gumkop • 26 januari 2001 17:07

En tel daar nog het aantal mensen bij dat besmet is met trojan-horses en niet eens WEET dat ze meedoen aan zo'n dDoS.

Verwijderd @Jaymz • 26 januari 2001 12:58

* Jaymz is benieuwd wat voor dat laatste nodig is.

nou, het iloveyou-virus kwam toch een aardig eind in de buurt met betrekking tot meelservers. Dan zal er best een grapjurk rondlopen die hetzelfde geintje voor DNS-servers kan verzinnen.

mazzzterrr @Jaymz • 26 januari 2001 19:52

Ik weet het niet hoor, maar als geen enkele DNS-server het meer doet dan zullen ze daar zelf ook wel last van hebben?? Gewoon je eigen ruiten ingooien.(je kan dan nog wel via het IP-adres internetten volgens mij) Maar voor de gein zou het natuurlijk wel kunnen om eens te kijken.

]Byte[ 26 januari 2001 13:16

Blocken van ICMP is juist een van de 'grootste' problemen.
Dat kost je nl. 2 keer bandbreedte!!!
De eerste dat je 'm binnen krijg en de tweede dat je een reject terug zend.
Het beste in dat soort gevallen is, als je icmp wel enabled wilt hebben, een limit-rate opzetten voor de legitieme icmp-paketten en de rest > /dev/null

Jasper Janssen @]Byte[ • 26 januari 2001 15:06

Hoezo rejects terugsturen? gewoon niks terugsturen kan net zo goed. Verder stuur je ook pakketjes terug als je die dingen gewoon accepteert, dus wat jij zegt slaat volgens mij nergens op.

Predator @]Byte[ • 26 januari 2001 16:31

Op een degelijke firewall kan je packets laten droppen. Niks te deny

Merk ook op: Als het een ping request is kost je dat dus inderdaad dubbel als je ze NIET blocked. Je stuurt namelijk een icmp echo weer.

MAZZA 26 januari 2001 13:16

Voor diegene die niet weten wat een DDoS nou precies inhoudt: http://gathering.tweakers.net/showtopic/111247 < daar staat het een beetje uigelegd...

DDoS netten komen echt in de verkeerde handen tegenwoordig

Net is mijn vriendin ook weer van internet afgedost (en met haar onze halve woonplaats omdat de router eraan kapot ging). Alleen omdat ze iemand ('t kind is 14 jaar!!!) ff goed aansprak op wat ie deed. Echt jammer is dit

mth @MAZZA • 26 januari 2001 13:49

DDoS netten komen echt in de verkeerde handen tegenwoordig

Waren ze ooit in goede handen dan? Ik kan geen nuttig gebruik van DDoS bedenken.

silvershadow449 @mth • 27 januari 2001 04:05

Nou wat dacht je bijvoorbeeld van het neerhalen van kinderporno en nazi-sites met een ddos-je?

Makkelijk @silvershadow449 • 27 januari 2001 09:01

Slecht idee, meld het liever bij de juiste instanties.. Internetpolitie hebben ze hier in Nederland, die doen zoiets op legale wijze, eigen rechter uithangen maakt alleen maar problemen

MAZZA @mth • 26 januari 2001 15:22

Nou als iemand van 14 een DDoS net in handen krijgt waar je T.net mee plat kan leggen. Dan zie ik toch echt liever iemand van 18 of zo die er _misschien_ nog ff over nadenkt voor hij iets doet. Zo was het eigenlijk bedoelt.

Maar voor de rest heb je gelijk. DDoS mag van mij de wereld uit

Verwijderd @MAZZA • 27 januari 2001 18:24

de router eraan kapot ging

Wat een bagger router.

Jedi Lord 26 januari 2001 12:58

Lozertjes die dit soort aanvallen uitvoeren moeten gewoon hard gestraft worden.

bv. 2 jaar internet ontzegging, hoe dat te kontroleren is week nog niet, maar dat lijkt me wel wat.

Ik vindt het diep triest dat ik me moet beveiligen voor die lozers, laat ze eens in de zandbak op het schoolplein gaan spelen.

feuniks @Jedi Lord • 26 januari 2001 15:55

Pas maar op. Als dit soort "losertjes" waar jij over spreekt zo veel schade aan kunnen richten, hoeveel schade denk je dat echt goed en professioneel cyber terrorisme van een of ander obscuur land kan aanrichten.

Verwijderd @feuniks • 27 januari 2001 18:21

Niks, want dan gaan we tegenaanvallen

Bovendien zijn er ook nog mensen die hun zaakjes wel op orde hebben...

Ralph Smeets @bille • 26 januari 2001 14:02

Het ARPA net werdt gebruikt om te onderzoeken of het mogelijk was om 'n communicatie netwerk op te zetten waarin de informatie zelf zijn weg vindt naar de eindbestemming. Hierdoor mag 'n gedeelte van het netwerk uitvallen zonder dat de rest van het netwerk platvalt.

Domain Network Service is 'n toevoeging op het ARPA net om het vinden van informatie servers makkelijker te maken. Het enigste wat 'n Domain Netwerk Server doet is het vertallen van 'n url in 'n IP adres. Het internet werkt met IP adressen. Elke server waarop 'n internet-deamon draait en die niet achter 'n firewall zit kun je benaderen via z'n directe IP addres.

Door de DNS server van Microsoft plat te gooien, maken ze het moeilijker om de Microsoft servers te bereiken. Maar als je het IP adres weet, dan kun je de server alsnog bereiken!

Verwijderd @bille • 26 januari 2001 12:51

Het internet functioneerde toch nog, wat klaag je nu dan ?
Alleen bij hun niet (zoals in een kernoorlog zou kunnen gebeuren)

En inderdaad die 'humorvolle' figuren met hun truukjes
die het andere steeds weer onmogelijk maken om te kunnen
internetten of zo nodig andermans pc willen binnendringen
mogen van mij ook zelfs eens slachtoffer worden van
hun soortgenoten

raptorix @bille • 26 januari 2001 13:08

Als ik bij jou met een vrachtwagen tegen je voordeur rij dan kan je wel zeggen dat je een sterke deur hebt, maar ik ga er echt wel doorheen, nou vergelijk dat maar met een DDos aanval.

Kman 26 januari 2001 15:58

MS's nieuwe OS (codename whistler) kan je strax (alleen maar?) registreren via internet. Maar wat nou als die registratie-server(s) zo onder vuur komen te staan als microsoft.com ??

En dat .NET gedoe wordt inderdaad ook lekker positief op deze manier..

jp @Kman • 26 januari 2001 17:12

Dat registreren hoeft ten eerste vast niet binnen 24 uur, een maand of 3 lijkt me verstandiger, en verder kan dat ook vast wel telefonisch/per fax.

Hoewel, als de fax de DDOS'ed wordt, je in gesprek krijgt

metalant 26 januari 2001 13:15

Deze actie was natuurlijk te verwachten, als je als bedrijf gaat uitleggen hoe je netwerk er uitziet. Zeker als je daarbij aangeeft wat de zwakke plekken zijn.

Ik hoop dat niet alleen Microsoft hieruit geleerd heeft.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: