Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgische provider edpnet heeft al vier dagen te maken met ddos-aanvallen

De Belgische provider edpnet heeft sinds vorige week vrijdag te maken met ddos-aanvallen. Klanten van de provider ondervinden daardoor problemen met hun verbinding. Sinds maandagochtend is er weer een aanval gaande.

De eerste ddos-aanval begon vrijdagavond om 18:00 uur. Na een uur werd die aanval afgewend en waren de problemen voorbij. Zondagavond om 20:30 uur begon een nieuwe aanval, die een kwartier duurde volgens de provider. Om 22:20 uur diezelfde avond volgde er nog een aanval, die een aantal uren duurde.

Ook maandag ligt de provider weer onder vuur, volgens de statuspagina is er sinds 11:15 uur vanochtend een aanval aan de gang. Wanneer die is afgewend weet de provider nog niet. De website van edpnet is op het moment van schrijven niet goed bereikbaar. Op Twitter meldt de provider dat de aanval wel onder controle lijkt te zijn.

Wie er achter de ddos-aanvallen zit is niet duidelijk. Ook is onbekend of de aanvallen verband hebben met de ddos-aanvallen op diverse Nederlandse providers afgelopen vrijdag. Delta, Tweak, Online en Freedom Internet werden daardoor getroffen. Ook hostingbedrijf WebReus heeft te maken met langdurige storingen door vermoedelijk ddos-aanvallen.

Update, dinsdag: Edpnet zegt dat de aanval maandag van 11:15 tot 18:15 uur duurde. De provider claimt nu een permanente oplossing gevonden te hebben waarmee aanvallen direct afgewend kunnen worden.

Problemen bij edpnet
Begin ddos-aanvallen 28 augustus, 18:00
Duur van aanvallen 28 augustus, 18:00 - 19:00
30 augustus, 20:30 - 20:45
30 augustus, 22:20 - 00:55
31 augustus, 11:15 - nnb
Getroffen diensten Alle internetdiensten
Getroffen gebieden Alle gebieden

Door Julian Huijbregts

Nieuwsredacteur

31-08-2020 • 15:13

48 Linkedin

Submitter: DenBeke

Reacties (48)

Wijzig sortering
Heb hier al even een dns over tls via een groot merk lopen, en merk verder niets aan mijn EDP-connectie. Ik vermoed dat de ddos naar hun DNS servers gaan, maar daar is dus omheen te werken.
Ik zit op "gewone" DNS via alternatieve servers, en sommige websites (Twitter, LinkedIn, edpnet zelf) laden traag of niet. Denk dat het dus iets breder gaat dan puur DNS...

Edit: op Twitter zijn er nog die melden dat het breder gaat dan DNS...

[Reactie gewijzigd door azerty op 31 augustus 2020 15:24]

Gisteren was er ook een wereldwijde storing met die kenmerken.
De storing bij Century/Level3 was een storing als gevolg van een config fout waardoor de hele BGP ipv4 routing overhoop lag en alle peers van andere (tier1) isps de verbinding met Century helemaal moesten platleggen zodat Century alle bgp4 sessies kon herstarten.
Door een eerdere config error veroorzaakten ze routing loops op al hun eigen 'borders'. Zelfs als een individuele isp hun link (peer of transit) met Century platgooiden en al hun verkeer via alternatief netwerk stuurden bleef Century die routes wel gewoon adverteren met al hun peers zodat die peers verkeer naar dat netwerk via century beleven sturen wat dan vervolgens doodliep in het Century netwerk.
Vrij goede post mortem gepubliceerd door cloudflare: die hebben regelmatig een goede technische beschrijving van outages gepubliceerd ruim voordat de eigenlijke "dader" met de billen bloot gaat.
Zie blogpost van cloudflare op https://blog.cloudflare.c...nturylink-level-3-outage/ maar voor verdere details is wat meer zoekwerk nodig en kan je wat maillists vinden die (vooral tier3/tier2) isps gebruiken om info over bgp issues te delen maar kan die op mn foon niet 123 terugvinden maar met wat zoekwerk en doorklikken op comments op bovenstaande blogpost kom je er wel.
Maar echt wat anders dan de outages door de ddos van de isp
Inderdaad, maar daar had ik gisteren gek genoeg geen last van :+

Hopelijk vinden ze een manier om alles te normaliseren en kunnen ze in de toekomst iets bedenken om de impact te beperken/minimaliseren...
Providers kunnen redelijk simpel de targeted IP's/subnetten via het AS van de Nationale Wasstraat(NaWas) laten lopen.
Heb een paar keer hier gebruik van gemaakt en dit werkt zeer goed.

Er staat volgens mij wel een samenwerking op het programma met Belgische ISPs
Wij gebruiken Voxility en dat werkt ook goed. Als je dan bijvoorbeeld Andrisoft gebruikt en deze goed "tuned" maak je de tunnel naar Voxility ook nog eens on-demand, en zijn ze tegen redelijk goede tarieven snel van al dat gedonder af.

Nu heb je daarin ook wel de voor en tegens van de mensen die menen te zeggen dat je niet moet betalen voor zo een dienst omdat een ddos verboden is. En ja daar ben ik meerdere malen tegen aan gelopen.

Maar de realiteit is nu eenmaal wel dat het gebeurd, en dat het dus niet zomaar verdwijnt puur omdat het verboden is.

De Level3 / CenturyLink storing van gisteren bleek een fout te zijn op router niveau en was geen ddos zover ik kon lezen. (Reactie op ergens verder hierboven)
De Level3 / CenturyLink storing van gisteren bleek een fout te zijn op router niveau en was geen ddos zover ik kon lezen. (Reactie op ergens verder hierboven)
Nu ja, niet direct, maar het is op z'n minst zijdelings gerelateerd aan maatregelen tegen DDoS aanvallen, het betrof een fout in de flowspec update.
Flowspec allows for a dynamic installation of an action at the border routers to either:

- Drop the traffic

- Inject it in a different VRF for analysis or

- Allow it, but police it at a specific defined rate
Het is tijd om het script van de engineers van Cloudflare te activeren denk ik. Even met zijn allen door de bittere pil heen en een dagje zonder internet maar dan zijn we daarna af van dns-amplification attacks.

Ter info, er is ooit een van de hoge piefen van cloudflare spreker geweest op een grote conferentie waar hij noemde een script te hebben waarbij de open dns resolvers elkaar zouden aanvallen. Ik kan het youtube filmpje helaas niet meer vinden zo snel.
In Belgie bestaat er inderdaad niet zoiets als de Nationale Wasstraat.

Wij hebben gebruik gemaakt van Colt IP Guardian wat wel goed werkte voor ons. Maar goedkoop is het niet.
Idem hier. Ik heb Pi-hole met reeks andere dns providers maar verbindingen zijn kwakkel.
Het was vandaag inderdaad niet enkel DNS. De VPN van mijn werk was niet of nauwelijks bereikbaar, al gebruik ik standaard al niet de DNS servers van EDPnet. Wanneer de VPN wel bereikbaar was, dan was er veel packet loss, waardoor ik geen bruikbare verbinding kon krijgen. Ook andere gebruikers in huis kloegen van sommige andere sites die problemen gaven.

Gelukkig geen problemen net de O365 diensten, dus die kon ik wel nog gewoon gebruiken.
Ik wel, en dat heeft niets met DNS te maken. Ik zit zelf in het buitenland en heb een VPN verbinding lopen naar mijn huis in België met EDPnet als ISP en kan je zeggen, de laatste dagen merk ik regelmatig problemen op met de verbinding. Nu weet ik dus eindelijk waarom.
De DNS server is het doel van de DDOS, maar het heeft wel impact op meerdere services, waarschijnlijk hebben hun peering routers issues met de load die gemaakt wordt door de routes naar hun DNS. Maar natuurlijk moet mijn persoonlijk verkeer ook omgekeerd terug via die weg naar het internet.

Hier merk ik dus heel hard de slow loading times van heel wat sites. De ping richting cloudflare gaat heel vaak de lucht in, die van google blijft vrij stabiel, dus het lijkt mij richting enkele peering partners te zijn maar niet allemaal (mogelijks rechtstreekse peering met Google bvb).

Ik vraag me af of het niet mogelijk is voor hen om een intern ip te gebruiken voor hun DNS services die enkel bereikbaar is voor EDPnet klanten. Op die manier zou je mogelijks het probleem kunnen verhelpen. Naast natuurlijk de mogelijks scrubbers die je voor je BGP routers zou kunnen plaatsen.

EDIT: pings naar cloudflare lopen atm goed, naar tweakers ook, maar bvb naar twitter heb ik +- 40% packet loss:
--- twitter.com ping statistics ---
250 packets transmitted, 160 received, 36% packet loss, time 50702ms
rtt min/avg/max/mdev = 26.172/26.750/27.995/0.367 ms

[Reactie gewijzigd door 33Fraise33 op 31 augustus 2020 15:38]

Ik vraag me af of het niet mogelijk is voor hen om een intern ip te gebruiken voor hun DNS services die enkel bereikbaar is voor EDPnet klanten. Op die manier zou je mogelijks het probleem kunnen verhelpen. Naast natuurlijk de mogelijks scrubbers die je voor je BGP routers zou kunnen plaatsen.
Dat is exact wat ik me ook afvraag. Waarom laten ze niet enkel IP adressen van EDPnet klanten toe?
Mijn DNS gaat ook over TLS maar mijn fysieke internet verbinding ging gewoon down..
Nadat ik de DNS-server veranderde in de Fritz!Box naar die van Cloudflare heb ik niets meer van de problemen gemerkt.
Exact hetzelfde gedaan, werkt weer een stuk stabieler.
ik zou niet alleen cloudflare gebruiken.... die was ook tijdelijk bijna niet bereikbaar toen level3/century storing had.... ik zou 8.8.8.8 erbij gebruiken als backuo
Kan iemand uitleggen wat er DDoS-baar is aan een ISP?

DNS zag ik hier boven voorbij komen. Kan me voorstellen dat die overvraagd wordt, maar dat lijkt me prima af te vangen met een (handmatig ingesteld) alternative DNS.

De andere diensten die nodig zijn voor het verlenen van internettoegang lijken me niet bereikbaar voor externe partijen?
De routers die de ISP verbinden met het internet zijn bijvoorbeeld te verzadigen. Een DDOS heeft maar 1 doel: het verzadigen van resources. Of dat nu de verbinding is, het geheugen, de CPU, ... maakt allemaal niet uit. Als de ISP dus een 10Gbit verbinding naar het internet heeft en jij weet daar 20Gbit data op af te sturen dan mag die ISP op zijn edge routers alsnog al dat verkeer laten vallen als een baksteen omdat het niet herkend wordt, het duwt wel heel de verbinding dicht.
ja,... als jij ddost op de DNS servers die zowat op elk modem thuis staat ingesteld dan kan je het internet niet bereiken,... google en cloudflare hebben een mega netwerk dus dan merk je amper/niet als hun een ddos krijgen
Spijtig voor edpnet. De maildienst van Webreus is nog steeds niet actief, pfff.
Tijd om een nieuwe hoster te zoeken en je email lost te koppelen van je webhosting
Is pas het 1e probleem in 15 jaar, voor de rest zijn ze wel goed.
Dan ben je inderdaad lost ja :+
Wel vreemd, bij mij werkt mail weer goed, zowel imap als pop
Bij Telenet zijn/waren er ook problemen voor sommige gebruikers: https://mobile.twitter.co...tatus/1300089113803132929 Dat zou zijn opgelost (https://mobile.twitter.co...tatus/1300362732471046145) al rapporteren sommige klaren nog blijvende problemen.

[Reactie gewijzigd door BramVroy op 31 augustus 2020 15:30]

Dat heeft niets met de DDOS aanvallen te maken, maar wel met het probleem bij Centurylink/Level3 waar Tweakers ook al over gerapporteerd heeft : nieuws: Cloudflare: internetverkeer daalde met 3,5 procent door CenturyLink-s...
Dit lijkt me wel een nieuwe vorm van chantage. Wellicht zeggen de ddos'ers betaal ons en dan stoppen we met de aanvallen, het is ook maar de vraag of ze de aanvallers uiteindelijk te pakken krijgen. Het enige lijkt me wapenen met iets als Cloudflare, maar dit schijnt op een ander niveau te zijn?
Of je zet je publieke nameservers neer bij grote partijen die ddos beveiligingen hebben en je schermt je interne nameservers af dat deze enkel bereikbaar zijn voor klanten.
Je zult ook wetgeving moeten aanpassen, NU al beginnen dus, en het onder de terreurisme wet laten vallen.
Eer dit rond is dan kan de normale samenleving niet meer zonder een stabiel internet en is de vergelijking met terrorisme niet eens zo gek.
Opsporen kan altijd, het zal nooit sporen vrij zijn en als je dan ook mensen pakt dan vallen die onder die nieuwe wet en zitten ze vast voor een hele lange tijd.
Zelf edpnet gebruiker (met custom dns).
Uit een kleine steekproef lijkt het tijdens problemen vooral om verkeer te gaan dat via GTT gerouteerd wordt, vermoedelijk worden dus in die richting bepaalde links gesatureerd door een DDoS.
Ik heb hier ook last van, als ik even op mijn Fritzbox in de webinterface op reconnect klik gaat het weer een tijdje goed. Kan een tip zijn voor EDPnetters die hier ook last van hebben.

[Reactie gewijzigd door rgeerolf op 31 augustus 2020 18:22]

Het is natuurlijk vervelend :-/
Ik kan mijn DNS immers niet vanuit mijn router wijzigen (BBOX laat dit niet toe) dus moet mijn individuele toestellen wijzigen.
Moet dus elk individueel toestel gaan wijzigen (en gezien ik aardig wat toestellen heb is dit een vervelende klus voor iets waar ik niet eens weet voor hoe lang).

Wat extra vervelend is, is dat als ik dit dan wijzig ik interne bronnen niet kan benaderen (want een publieke DNS kan de URL van home assistant niet transformeren naar een intern IP uiteraard).
Daar heb ik geen last van hoor.
Https://xx.xx.xx.xx:8320
Xx is jouw extern ip.
Wel in router portforward maken 8320->intern ip
IP's lopen niet via een dns resolver, het adres is namelijk al bekend.

[Reactie gewijzigd door klerk op 31 augustus 2020 18:12]

Hij bedoelt dat als hij de interne DNS gebruikt, dat hij binnenin zijn netwerk de hostnames kan gebruiken van de andere apparaten in het netwerk.

Als je die op al je clients op pakweg CloudFlare zet, dan weet ie niet dat "mama-pc" eigenlijk 192.168.1.25 is bijvoorbeeld.

Normaal stel je een externe DNS in op je router/modem, zodat de clients DNS queries vragen aan de router/modem, en die vervolgens naar de upstream gaat als ie het niet weet.

Kortom, vervelend inderdaad :)
Ik snap het, dat is het geval om op elk device een alternatieve dns server in te stellen. Ik gebruik pi-hole hiervoor, maar moet je alsnog je router laten verwijzen naar ip van de pi-hole dns server. Vervelend idd, tijd voor nieuwe router ;)
Wie er achter de ddos-aanvallen zit is niet duidelijk.
Is dat in 99,999% meestal niet het geval dat je niet weet wie er achter zit.
Het stereotype beeld is meestal een tiener met acne verschijnselen die niet kan bevatten dat zijn/haar aktie ook mensen persoonlijk benadeeld, misschien zelfs in gevaar brengt ...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True