Rapport: ddos-aanvallen in Nederland worden grootschaliger en complexer

Het aantal ddos-aanvallen in Nederland loopt iets terug, maar de aanvallen worden wel grootschaliger en complexer. De grootste aanval van vorig jaar was twee keer zo groot als het jaar ervoor. In veel gevallen worden meerdere typen aanvallen gecombineerd.

In 2019 detecteerde de Nationale Beheerdersorganisatie Internet Providers 919 keer een ddos-aanval. In 2018 vonden er nog 938 aanvallen plaats. De aanvallen namen wel toe in grootte, concludeert de organisatie in haar jaarverslag.

De NBIP beheert de Nationale Anti-ddos Wasstraat of NaWas. De grootste aanval die vorig jaar door die 'wasstraat' werd tegengehouden bedroeg 124Gbit/s. Dat is bijna twee keer zo groot als de grootste aanval in 2018, die tot 64Gbit/s kwam. Ook daalt volgens de NBIP het aantal ddos-aanvallen van minder dan een gigabit per seconde. De meeste aanvallen die de NBIP registreerde, hadden een capaciteit van tussen de een en tien gigabit per seconde.

Volgens het rapport neemt de gemiddelde duur van aanvallen iets af. Er ontstonden meer aanvallen van minder dan een kwartier, maar juist minder aanvallen die tussen de een en vier uur duurden.

Het NBIP zegt dat er in veel gevallen gecombineerde aanvallen worden ingezet. In 2019 waren dns amplification-aanvallen het populairst. In een geval detecteerde de NaWas een aanval die 30 verschillende aanvalsmethoden gebruikte, al ging het in de meeste gevallen om aanvallen met 8, 9 of 10 methoden.

ddos-schema

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 02-06-2020 14:39 33

02-06-2020 • 14:39

33

Lees meer

Een ddos'er betrapt

6 feb 2018

Een ddos'er betrapt

Hoe de aanvaller tegen de lamp liep

516
OM eist 4 maanden voorwaardelijke celstraf voor ddos-aanvallen op overheidssites
OM eist 4 maanden voorwaardelijke celstraf voor ddos-aanvallen op overheidssites Nieuws van 22 december 2021
Anti-ddos-dienst NaWas komt via overeenkomst met BelgiumIX beschikbaar in België
Anti-ddos-dienst NaWas komt via overeenkomst met BelgiumIX beschikbaar in België Nieuws van 20 december 2021
Kaspersky: leeromgevingen zijn vaker doelwit van ddos-aanvallen
Kaspersky: leeromgevingen zijn vaker doelwit van ddos-aanvallen Nieuws van 8 september 2020
Nieuw-Zeelandse aandelenbeurs gaat derde dag op rij dicht door ddos-aanvallen
Nieuw-Zeelandse aandelenbeurs gaat derde dag op rij dicht door ddos-aanvallen Nieuws van 27 augustus 2020
FBI waarschuwt bedrijven voor opkomst van nieuwe typen ddos-aanvallen
FBI waarschuwt bedrijven voor opkomst van nieuwe typen ddos-aanvallen Nieuws van 27 juli 2020
Bedrijven en instanties beginnen No More Ddos-website om aanvallen te voorkomen
Bedrijven en instanties beginnen No More Ddos-website om aanvallen te voorkomen Nieuws van 11 juni 2020
Politie arresteert man die bedrijven met ddos-aanvallen zou hebben afgeperst
Politie arresteert man die bedrijven met ddos-aanvallen zou hebben afgeperst Nieuws van 4 juni 2020
Centraal Planbureau: overheid moet soms kunnen ingrijpen op markt voor iot
Centraal Planbureau: overheid moet soms kunnen ingrijpen op markt voor iot Nieuws van 29 april 2020
Politie start campagne om jongeren uit internetcriminaliteit te houden
Politie start campagne om jongeren uit internetcriminaliteit te houden Nieuws van 21 april 2020
Politie arresteert 19-jarige Bredanaar voor ddos-aanvallen op overheidssites
Politie arresteert 19-jarige Bredanaar voor ddos-aanvallen op overheidssites Nieuws van 10 april 2020
'Nederland kreeg vorig jaar meer krachtige ddos-aanvallen te verduren'
'Nederland kreeg vorig jaar meer krachtige ddos-aanvallen te verduren' Nieuws van 25 maart 2019
'Meer kleine, maar gerichte en complexe ddos-aanvallen in Nederland'
'Meer kleine, maar gerichte en complexe ddos-aanvallen in Nederland' Nieuws van 17 mei 2018
Meer producten en artikelen
Beveiliging en antivirus Ddos

Reacties (33)

-Moderatie-faq
33
32
24
3
0
0
Wijzig sortering
Aryante 2 juni 2020 14:59
Ik ben wel benieuwd naar hoe de NaWas precies werkt? Ik kan me niet voorstellen dat al het internetverkeer via 1 (of meerdere centrale punten) eerst verloopt om geanalyseerd te worden op mogelijke ddos aanvallen? Heeft iemand leuke bronnen die je anders met googlen niet tegen komt?
xares @Aryante2 juni 2020 15:43
Als je aangesloten bent op de NaWas doe je zelf de DDOS detectie (sFLOW, Netflow etc.). Als de software detecteert dat er een aanval binnenkomt (vaak seconden werk) dan zal er een more-specific BGP route (route kleiner dan je normale IP-blok) naar de NaWAS geannounced worden via BGP. De NaWas filtert al het verkeer voor je en je krijgt het schone verkeer over een prive verbinding weer terug in je netwerk.

Standaard is je IP block bijvoorbeeld een /20, naar de NaWas announce je een /24 die heeft voorrang. Zo komt al het verkeer via de NaWas transit/peerings en filtering uiteindelijk schoon weer op je netwerk.

Werkt erg goed:)

[Reactie gewijzigd door xares op 24 juli 2024 06:29]

Snow_King @Aryante2 juni 2020 15:51
Via BGP. Als provider (zoals wij) kan je een IPv4 (/24) of IPv6 (/48) subnet taggen en laten announcen via de NAWAS.

Dit verloopt via een speciaal VLAN op de NL-IX exchange.

De NAWAS gaat het subnet dus via BGP announcen (more specific) waarna je via de NL-IX het schone verkeer krijgt.

Strakke helpdesk er achter die ook direct klaar staat om de filters aan te passen waar nodig.
rickdtop @Aryante2 juni 2020 15:27
Datacenters waar wij zitten hebben ook NaWas.
Exacte werking weet ik niet behalve dat ze de route omleiden via datacenters met genoeg capaciteit en de rommel eruit filteren.
Vroeger hadden we gewoon downtime, tegenwoordig merken we het gewoon bijna niet meer.
sip5080 @rickdtop2 juni 2020 15:33
Mogelijk via het overadverteren van de BGP prefixes (dat betekent spelen met waar een IP prefix te vinden is op het internet). Het zou leuk zijn als er een Tweaker onder ons is met meer kennis hiervan en een toelichting kan geven :)
rickdtop @sip50802 juni 2020 15:36
daar komt het wel op neer. het datacenter waar wij zitten zegt: https://www.bit.nl/news/1...len-gezamenlijk-aanpakken
De NaWas bestaat uit een verzameling centraal opgestelde apparatuur met een hele dikke verbinding naar de buitenwereld. De kosten hiervan worden door de deelnemende ISP’s gemeenschappelijk opgebracht, wat het voor iedereen betaalbaar houdt. Ligt een van de deelnemende netwerken onder vuur, dan wordt het verkeer van het blokje IP adressen waar het target in valt omgeleid via de NaWas. Vervolgens wordt het bij de NaWas zoveel mogelijk ontdaan van het DDoS verkeer en wordt het “schone verkeer” weer doorgestuurd naar het netwerk waar het thuis hoort. Door via BGP een more specific te announcen, kan het verkeer als het ware van buitenaf naar de NaWas toegetrokken worden, dus al voordat het het netwerk van de ISP heeft bereikt. Op die manier heeft de ISP zelf ook geen extra grote verbindingen meer nodig, die liggen allemaal op een centrale plek. En via AMS-IX of NL-ix (waar praktisch alle Nederlandse ISP’s op aangesloten zijn) komt het opgeschoonde verkeer alsnog bij de deelnemer. Dus zonder aparte verbindingen aan te moeten leggen. En hoe meer netwerken meedoen, hoe groter de capaciteit en hoe goedkoper het voor iedereen wordt. NBIP is tenslotte een stichting en heeft daarom geen winstoogmerk. Geld wat na exploitatie overblijft, vloeit gewoon weer terug naar de deelnemers.
sip5080 @rickdtop2 juni 2020 15:39
Heel duidelijk stuk inderdaad. Het kan ook niet echt makkelijk anders, aangezien prefixes op het internet alleen via BGP worden geadverteerd.
skunkopaat 2 juni 2020 15:01
Komt dit niet vooral door opkomst van IoT apparaten? Alle mensen met IP-camera's, slimme deurbellen, Smart TV, dat zijn toch extra surfaces voor een botnet die kan worden ingezet voor DDOS? Dat worden er steeds meer, dus steeds meer surfaces en bandbreedte. Volgens mij hebben de meeste mensen geen idee hoe het zit met de beveiliging van apparaten, of nemen het niet zo nauw waardoor het verergert.

Just my 2 cents.
Verwijderd @skunkopaat2 juni 2020 15:05
Zou in theorie kunnen, maar aan de andere kant zijn er ook vrij weinig mensen die niks van beveiliging weten maar wel een losstaand IoT apparaat kopen. Over het algemeen zal dat onderdeel zijn van een groot bedrijf, die echt wel in de gaten houden of niet al hun apparaten opeens contact maken met een server die niet van hun is.
Echt standalone IoT toepassingen worden voor mijn idee toch nog wel voornamelijk gebruikt door mensen die er meer van weten, al is het puur omdat die vaak wat minder plug and play zijn dan een Samsung wasmachine met een app installeren.
mr_evil08 @skunkopaat2 juni 2020 15:25
Veelal krijgen die apparaten ook geen beveiligingsupdates meer naar een tijdje, kijk eens naar mobiele telefoons bijvoorbeeld, men blijft er gewoon mee doorlopen tot het apparaat fysiek kapot gaat.

Nu hebben we het geluk dat de accu minder wordt van mobieltjes waardoor de gebruiker hem na een tijd vervangt, maar ip cameras etc blijven tot in de eeuwigheid online.
mjl @skunkopaat2 juni 2020 17:30
Zou zomaar kunnen, ik stop ze wel in een apart VLAN maar verder niks... en dan dan doe ik al meer dan een gemiddelde non tweaker.
Maurits van Baerle 2 juni 2020 15:02
Wordt er eigenlijk nagedacht over manieren om de amplification factor van DNS te verkleinen? DNS is nu waarschijnlijk zo populair omdat het een ongekend grote vergrotingsfactor heeft. En doordat we steeds meer records aan DNS toevoegen voor allerlei andere zaken (DMARC, SMTP MTA STS, etc.) wordt dat eigenlijk alleen maar groter.

Zou je het verschil tussen input en output kunnen verkleinen dan wordt DNS ineens een stuk minder effectief als aanvalsmethode.

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 06:29]

hackerhater @Maurits van Baerle2 juni 2020 16:14
Tegen de DNS attacks helpt eigenlijk maar 1 ding:
Dat ISP's eindelijk eens hun werk gaan doen en verkeer uit hun netwerk met vervalst source-IP (die dus niet tot de ISP ruimte behoord!!) gaan weigeren.

Dan wordt het vervalsen van het adres heel erg lastig gemaakt en is dit soort aanvallen verleden tijd.
Snow_King @hackerhater2 juni 2020 18:22
Waarom? Het kost hun werk en levert niets op. Kan alleen maar dingen kapot maken voor hen.

Ik ben het met je eens overigens! Maar helaas is dit vaak wel de realiteit.
Pinkys Brain @hackerhater2 juni 2020 16:51
Zijn er altijd wel weer een paar Admins die zeggen dat ze het nodig hebben.

Zouden ze natuurlijk apart toestemming voor kunnen krijgen, liefst voor beperkte bereiken en anders met ferme straffen bij misbruik.
RoestVrijStaal @Maurits van Baerle2 juni 2020 18:50
Op software niveau zouden ze een soort keurmerk kunnen introduceren waarmee de dev-teams kunnen laten pronken dat hun software voldoet aan alle richtlijnen van dat keurmerk.

Dan moet je bijvoorbeeld denken aan standaard-instellingen met beveiliging in het achterhoofd. Hierdoor hoeft er in een normale opstelling niets extra's geconfigureerd te worden. Enkel bij exotische opstellingen moeten dan onveilige configuratie-instellingen expliciet in een configuratie-bestand worden opgegeven. Een standaard-instelling kan zijn dat de DNS-server het antwoord terugstuurt naar het IP-adres van de aanvrager en niet met de in de aanvraag opgegeven IP-adres van de ontvanger.

Het voordeel hiervan is dat DNS resolvers van "mensen die iets uitproberen" (en dus maar voor de helft weten wat ze aan het doen zijn) niet gebruikt kunnen worden door DDoSsers.

Een ander voordeel is dat er geen uitbreiding op het DNS protocol nodig is. Want er zit tijd tussen dat die nieuwe uitbreiding in alle gebruikte DNS-resolver software is opgenomen en dan nog kan het lang duren voordat de bewuste versie met de implementatie van die uitbreiding in de repositories van alle Linux-distributies zit (zoals bij Debian).
Maurits van Baerle @RoestVrijStaal2 juni 2020 19:27
Ik heb dat eerlijk gezegd nooit zo goed begrepen. Waarom zou je eigenlijk een verzoek moeten kunnen doen aan een DNS server met de opdracht het antwoord ergens anders naar toe te sturen?
dez11de 2 juni 2020 14:44
“ Er ontstonden meer aanvallen van minder dan een kwartier, maar juist meer aanvallen die tussen de een en vier uur duurden.”

Beetje gekke zin, wordt er bedoeld dat er minder aanvallen zijn van tussen een kwartier en een uur?
Canaria @dez11de2 juni 2020 14:56
Nee, over die aanvallen met een duur tussen een kwartier en een uur wordt niets gezegd. Je zou kunnen concluderen dat er in die categorie geen toename maar ook geen afname was te bemerken. De verschillen zaten vooral in de kortere (korter dan een kwartier) en langere (langer dan een uur) aanvallen.
AuteurTijsZonderH Nieuwscoördinator @dez11de2 juni 2020 15:03
Foutje, heb ik aangepast. Er waren MINDER aanvallen die tussen 1 en 4 uur duurden.
Blasterxp 2 juni 2020 15:05
het is gek dat aanvallen die binnenkomen, vanaf 'normale' en 'grote' cloud aanbieders komen. Als een gehuurde VM 3.000 connecties op gaat zetten naar 1 IP... dan zou zo'n leverancier toch ook moeten ingrijpen?
Verwijderd @Blasterxp2 juni 2020 16:18
Al het verkeer van al je klanten outbound scannen? Daar komen ernstig veel kosten bij kijken. Ook zijn er klanten die gewoon duizenden connecties naar allerlei API endpoints doen. Denk aan reiswebsites die constant vluchten ophalen e.d.
Scriptkid 2 juni 2020 14:52
Het is natuurlijk een gevolg van vraag en aanbod gezien een DDOS nu als SAAS wordt geleverd via the Dark web.

Met het hele cloud gebeuren en met free trails vanuit cloud abbo`s is een DDOS natuurlijk ook makkelijker te plannen.

Aan de andere kant zijn Machine learning ook instaat om binnen 15 min te anticiperen en het traffic te filteren maar je moet nog wel het aantal connecties aan kunnen op je onprem infra zeker als je het hebt over 130Gb incomming.
muppet99 2 juni 2020 15:14
Hoe verder upstream het verkeer gefilterd gaat worden hoe minder effectief de aanvallen worden. DNS amplification is goed te stoppen, echter betekend filteren dat het al wel bij je voordeur staat. Wanneer je het verkeer kan signaleren en het filter verder upstream kan laten filteren, b.v. door remote triggered blackholing, dan zou een DDoS al minder effectief worden. Echter hebben we daarvoor vertrouwen nodig. En laat dat nou net een heikel punt zijn op het internet.... RPKI gaat hier al een grote stap in betekenen, maar is ben ik bang nog niet genoeg.

Selective Blackholing heeft zijn mooie kanten:
https://www.youtube.com/watch?v=NAbvO4052f0&t=986s

[Reactie gewijzigd door muppet99 op 24 juli 2024 06:29]

_Pussycat_ 2 juni 2020 15:00
Er zijn ook codes uit Rusland en Korea gezien... Tijd om de boel te beveiligen met de Smart Blockchain!
TechMax @_Pussycat_2 juni 2020 15:37
En dan ga je de zaak monitoren..
zoro007 2 juni 2020 17:01
Bestaat er ook zo'n dienst/service in België ? Of kan ik als Belg hier ook gebruik van maken ?
bzzzt @zoro0072 juni 2020 20:39
Geen idee van het aanbod in België, maar diensten kunnen natuurlijk altijd in Nederland gehost worden.
skatebiker 2 juni 2020 14:57
We moeten alles zonodig met internet verbinden en in de 'cloud' (wat een onzin woord voor gewoon opslag elders bereikbaar via het openbare internet) opslaan.
En dan verbazen dat er zoveel DDOS aanvallen en datalekken zijn ....
Douweegbertje @skatebiker2 juni 2020 15:15
Als je iets moet aanbieden op het internet (website, whatever) dan zul je on-prem of niet, domweg toch verbinding met het "openbare internet" moeten hebben?
On-prem gaat je daar niet bij helpen, noch heeft "cloud" daar nou zoveel invloed op gehad. Voordat "cloud" bestond waren er meer dan genoeg datalekken, DOS (niet eens DDOS), DDOS, etc

De meeste DDOS aanvallen van tegenwoordig zijn juist alleen maar mogelijk vanwege alle oude rotzooi uit dat tijdperk voor de cloud. Amplification door diverse services die helemaal los staan van cloud, maar juist door die on-prem toko's die hun eigen DNS server moesten hebben.. om maar 1 voorbeeld te noemen :)
Bwana @skatebiker2 juni 2020 15:12
Kan aan mij liggen maar ik vind 'cloud' wel wat gemakkelijker uit te spreken dan 'gewoon opslag elders bereikbaar via het openbare internet' :+
Verwijderd @skatebiker2 juni 2020 15:49
wat een onzin woord voor gewoon opslag elders bereikbaar via het openbare internet
Maar als je zegt dat 'dit apparaat kan zijn data in de cloud opslaan' is dat toch net iets makkelijker dan 'dit apparaat kan zijn data elders opslaan en die data is bereikbaar via het openbare internet'. Waarom maak je je zo boos om hoe het heet?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq