Opnieuw vinden grootschalige ddos-aanvallen op Nederlandse providers plaats

Dinsdag worden opnieuw meerdere Nederlandse providers getroffen door ddos-aanvallen. Die lijken groter in omvang te worden en ook redelijk geavanceerd te zijn. Onder andere Signet, Caiway en Delta zijn dinsdag slachtoffer.

De ddos-aanvallen vinden onder andere plaats bij Caiway, bevestigt de provider. Eerder op dinsdagochtend had provider Delta last van een storing die werd veroorzaakt door een ddos-aanval. Verder vond er dinsdagmiddag een grote aanval plaats op Signet. Dat is een isp die de infrastructuur voor veel kleine providers verzorgt. Ook beheert Signet infrastructuur voor TransIP. Daar hadden klanten vanmiddag ook storingen door die aanval, al zijn die inmiddels opgelost.

Het lijkt erop dat het om dezelfde aanvallen gaat als die vorige week Nederlandse providers troffen, al is dat niet met zekerheid te zeggen. Volgens een woordvoerder van het NBIP gaat het voornamelijk om dns amplification- en ldap-aanvallen. Het Nederlands Beheersorganisatie Internet Providers beheert de NaWas, de nationale 'wasstraat' waar providers en bedrijven ddos-verkeer naartoe kunnen loodsen om het 'schoon te wassen'. De NaWas heeft nog genoeg capaciteit om de aanvallen af te slaan, zegt de woordvoerder.

Er zijn tekenen dat de aanvallen in grootte toenemen. Bij aanvallen op hostingprovider WebReus en anderen ging het nog om aanvallen ter grootte van veertig tot vijftig gigabit per seconde. Afgelopen vrijdag zat een aanval op provider Tweak rond de 100Gbit/s, meldde een woordvoerder. Inmiddels zijn op dinsdag al pieken te zien van 150Gbit/s. Op het forum van het Belgische edpnet wordt zelfs gesproken over aanvallen van wel 200Gbit/s. Die provider heeft al vijf dagen last van ddos-aanvallen.

De aanvallen op de providers begonnen vorige week grotendeels in de avonduren, en gingen door tot in de nacht. Inmiddels lijkt de dader ook 's middags en 's ochtends toe te slaan. Het is niet duidelijk wie er achter de aanvallen zit. Bij veel ddos-aanvallen proberen de daders bijvoorbeeld in de media te komen, of willen ze losgeld of roem. Tot nu toe zijn er nog geen signalen van berichten die de daders hebben achtergelaten. Dat gebeurde bijvoorbeeld wel in 2018, toen een ddos'er naast banken ook Tweakers aanviel.

Wel lijkt de aanval serieuzer te zijn dan iemand die een simpele webstresser test. "De aanvaller lijkt goed onderlegd te zijn", zegt de woordvoerder van NBIP. "De aanvallen zelf verschuiven telkens op het moment dat wij ertussen komen zitten." Daarmee doelt hij op de NaWas. Zodra een slachtoffer die inschakelt lijkt de aanvaller een ander doelwit uit te kiezen. Ook Signet zegt dat de aanval er geavanceerd uitziet. "Wie erachter zit heeft eerst goed de infrastructuur bestudeerd. Hij heeft goed uitgezocht welke subnets hij allemaal moet aanvallen."

Reacties (178)

178

171

115

Wijzig sortering

wica 1 september 2020 17:23

Dus die gene die de DDOS uitvoert, kan automatisch detecteren of NaWas is ingeschakeld.
Best benieuwd hoe ze dat doen.

wizzkizz @wica • 1 september 2020 17:58

Als ik me niet vergis werkt de NaWas doordat het getargette subnet omgeleid wordt door de wasstraat. Er wordt dan via BGP een route aangegeven waarbij de next-hop de NaWas is.

Die BGP tabel kan iedereen gewoon bekijken, online bijvoorbeeld via BGP Looking Glass. Als de aanvaller dan dus ziet dat de route voor zijn doelnetwerk aangepast wordt, kan deze vervolgens de aanval tunen of tijdelijk een ander doelwit bestoken totdat hij ziet dat het eerdere doelnetwerk weer via de oorspronkelijke route liep.

Zie bijvoorbeeld xares in 'nieuws: Rapport: ddos-aanvallen in Nederland worden grootschaliger ... met wat meer informatie over hoe de NaWas werkt.

[Reactie gewijzigd door wizzkizz op 26 juli 2024 21:36]

wica @wizzkizz • 1 september 2020 19:48

Ik weet dat NaWas, o.a. op de AMSIX je verkeer kan overnemen (rerouten) om vervolgens het "schoon" bij je af te leveren.

Om een of andere reden, ging ik er vanuit. Dat het niet te zien was. Omdat NaWas dus je verkeer direct op de AMSIX (als je daar je uplink hebt) overneemt en niet via BGP.

xares @wica • 1 september 2020 22:55

Je kan inderdaad gewoon zien als de NaWas je verkeer filtert omdat het AS path / de route veranderd omdat de NaWas er tussen zit.

tweaknico @wica • 1 september 2020 22:16

Ik had recentelijk ook last van wat lieden die overmatig een DNS van mijn domein bevroegen.
Ik heb vervolgens die adressen geblokkeerd (met logging) binnen enkele seconden was het verkeer verdwenen.
Dus blijkbaar zitten er serieuze vragen tussen alle fake vragen.
En stopt de aanval als het geblokkeerd lijkt te zijn.

Veel vragen in bulk uit:
138.246.253.21 (lanetlab21.net.in.tum.de.)
138.246.253.22 (lanetlab22.net.in.tum.de.)
37.49.224.64 (vps bij estoxy.com)
of in iedergeval waar de antwoorden heen hadden moeten gaan als de aanvragen niet geblokkeerd waren... ;-)

[Reactie gewijzigd door tweaknico op 26 juli 2024 21:36]

smiba @tweaknico • 2 september 2020 01:20

Helaas is DNS iets wat nogal makkelijk gebruikt kan worden in een Amplification Attack, grote kans dat jou server hier ook door gebruikt werd.

Belangrijk is om hier iets als fail2ban op te hebben, om dit verkeer te blokkeren wanneer het zich voordoet. Je bent anders namelijk mede verantwoordelijk voor het zo makkelijk maken van DDoS aanvallen

tweaknico @smiba • 2 september 2020 10:05

Voor een geslaagde poging moet die server dan wel antwoorden.
De bovenstaande adressen waren topscoorders in de blocklist.
(dus pogingen tot opvragen. ze zijn helaas voor de echte aanvrager on beantwoord gebleven.).

smiba @tweaknico • 2 september 2020 10:14

Klopt, maar wat ik je probeerde te vertellen is dat je destijds gebruikt werd. Vandaar dat het belangrijk is dat je een blocklist hebt die automatisch werkt

In een DNS Amplification attack heb je 3 delen

Aanvaller: 1 of meerdere hoofd machines die de DNS verzoeken versturen die amplified worden
DNS Server: Deze ontvangt verzoeken met een spoofed IP, het spoofed IP is het IP die aangevallen word. Het verzoek naar de DNS server is zo gemaakt dat deze veel langer is dan het originele verzoek. (Hierdoor kan je met 10Mbps aan verzoeken, al snel >1Gbps aan data creëren)
Slachtoffer: Deze krijgt de antwoorden van de DNS server door dat spoofed IP. Dit zijn vaak 100+ DNS servers die gebruikt worden in de aanval die allemaal honderden Mbps aan data kunnen creëren.

Jij zit in het 2e deel, je word gebruikt.

[Reactie gewijzigd door smiba op 26 juli 2024 21:36]

tweaknico @smiba • 2 september 2020 10:21

Jij zit in het 2e deel, je word gebruikt.

Poging tot, alleen secondary servers mogen mijn DNS server bevragen. Die DNS secondary servers staan elders bij een DNS provider. Daar heb ik geen zicht op.

EnigmA-X

@wica • 1 september 2020 17:31

Als je dns servers van provider X als target hebt, kan je ook wel zien of jouw aanval effect heeft (door bijv zelf regelmatig een DNS query te doen ter controle).

Zodra dat "effect" verdwijnt, terwijl je aanval nog loopt, weet je dat het verkeer door de wasstraat gaat?

AW_Bos

@wica • 1 september 2020 18:48

Dat kan je ook eenvoudig in een traceroute zien. Toen Tweakers een paar jaar geleden even aan de NaWas gekoppeld was, zag ik in een traceroute ook een tussenliggende hop die naar de NaWas verwees.

mark033nl @wica • 1 september 2020 23:43

ex medewerker?

IMWhizzle 1 september 2020 16:53

Yes, Caiway ligt er momenteel uit helaas. UPDATE: verander de DNS naar 8.8.8.8 en 8.8.4.4

[Reactie gewijzigd door IMWhizzle op 26 juli 2024 21:36]

himlims_ @IMWhizzle • 1 september 2020 16:54

de provider zelf? of alleen hun dns dienst?
bedoel; gooi dns'je naar 1.1.1.1 - is t dan nog steeds drama?

[Reactie gewijzigd door himlims_ op 26 juli 2024 21:36]

Auteur

TijsZonderH Nieuwscoördinator @himlims_ • 1 september 2020 16:56

De aanvallen lijken in het algemeen vooral gericht op dns-servers te zijn. Weet niet of dat specifiek nu bij Caiway zo is maar als ik erop zou moeten wedden zou ik het doen.

mjtdevries @TijsZonderH • 1 september 2020 17:14

Ik zit bij Caiway en merkte dat ik nergens meer kon komen. DNS aangepast naar 1.1.1.1 en internet verbinding werkt weer vlot.
Het kan in ieder geval geen kwaad om te proberen of DNS aanpassen helpt.

OhMyGod @mjtdevries • 1 september 2020 17:27

Er gaan ook dreigmailtjes rond vanuit Caiway. Vriendin kreeg een dreigmail vanuit haar eigen e-mail adres.

jurroen @OhMyGod • 1 september 2020 17:35

Ik ga er even vanuit dat de mailtjes niet door Caiway zelf zijn verstuurd. Meestal is dat een kwestie van de bekende bescherming instellen (SPF, DKIM, DMARC) en filtering toepassen op inkomende berichten. Helaas kan alleen de domeinhouder dat doen, bij een @caiway.nl adres is dat dan obviously Caiway zelf.

Wat je zelf wel kunt doen is een client-side SPAM filter installeren. Zeker als die dreigmails waar je het over hebt de welbekende "we hebben je computer gehackt, inclusief webcam, betaal nu X BTC om te voorkomen dat we de info en beelden naar je bekenden sturen" is. Wat een geschikte app is om dat te doen is afhankelijk van je OS en mail client

3dmaster

@jurroen • 1 september 2020 18:20

Helaas doet Caiway zelf niks met dmarc. Ik heb ze er wel is op gewezen maar krijg niet eens een antwoord.

OhMyGod @jurroen • 1 september 2020 18:23

Tenks! Dat was inderdaad bijna letterlijk de tekst.

mutsje @jurroen • 1 september 2020 19:23

Er zijn inmiddels exploits om SPF, DKIM, DMARC te omzeilen en die worden reeds succesvol toegepast.

Dorank @mutsje • 1 september 2020 19:43

Vertel vertel.... welke MTAs zijn hier vatbaar voor? En hoe werkt het?

SED @mutsje • 1 september 2020 19:58

Security by Obscurity..
Fijn, zo komen we ergens.

mjtdevries @mutsje • 1 september 2020 20:01

Wat een kul argument. As er exploits successvol toegepast worden dan hebben de criminelen de info al en hoeven ze die niet van tweakers op te halen.
Ik denk dat het eerder zo is dat je niet weet waar je over praat en daarom niks wilt zeggen (En dat zeg ik als voormalige Exchange architect van een grote multinational)

jimbo123 @mjtdevries • 2 september 2020 08:18

Denk dat hij wel degelijk een punt heeft: https://www.xeams.com/spoofing-with-spf.htm

tweaknico @jimbo123 • 2 september 2020 10:18

Nee dat is geen goed voorbeeld.

SPF gaat over de controle op IP adressen (niet direct domains).
Dus de afzender IP adres (inclusief reverse lookup en forward lookup van dat adres moeten bij elkaar horen) is gemachtigd om voor dat adres te verzenden... Zonder SPF is het een kwestie van zoek het zelf uit. Check is op SMTP adressen.
Het is aan een later scanners (spamassassin , rspamd, amavis, ... etc) om te bepalen in hoeverre de enveloppe geadresseerde wel of niet overeenkomt met die in de mail.

SPF controleert wel minder dan je mogelijk bedacht had... Daarom is DKIM ook van belang. Die gaat veel meer over de inhoud van de boodschap.

mjtdevries @OhMyGod • 1 september 2020 17:31

Het afzender adres van een email is heel makkelijk te vervalsen. Dus dat hoeft niet vanuit Caiway te komen.

AW_Bos

@OhMyGod • 1 september 2020 18:49

Het ligt eraan of het dreigmailtjes zijn die gericht zijn aan CaiWay, of aan een gebruiker. Iemand die Caiway zou willen afpersen, mailt niet naar een van hun gebruikers.

skai21 @AW_Bos • 2 september 2020 06:41

Wel mogelijk al hun gebruikers..

fastedje @TijsZonderH • 1 september 2020 19:42

Op zich wel vreemd dat een provider specifieke DNS vanaf het internet bereikbaar is, dit lijkt me een inkoppertje.

tonkie_67 @fastedje • 1 september 2020 21:46

Is niet een zo makkelijke inkopper want de isp dns moet ook kunnen praten met de rootservers en bij ddos amplification lijkt t alsof t uit eigen net komt. Kan je uiteraard ook weer aan de poort (alle peers en transits) en makkelijk om fouten te maken omdat je op meerdere locaties moet ingrijpen. En uiteraard moeten hun authorative dns moet uiteraard beschikbaar zijn: maar dat is te splitsen

[Reactie gewijzigd door tonkie_67 op 26 juli 2024 21:36]

skai21 @tonkie_67 • 2 september 2020 06:42

Dat hoor je te splitsen, en recursive doe je uiteraard alleen voor IPs die je zelf aankondigd.

EDIT

@TijsZonderH • 1 september 2020 17:00

Je wedt correct. Ik gebruik zelf eigen DNS servers en heb geen problemen met mijn Caiway-verbinding.

TheVivaldi @TijsZonderH • 1 september 2020 17:02

Is niet alleen op Caiway gericht, want gisteren lag Freenom eruit, en dat is toch echt een dns-provider en geen internetprovider.

om3ega @TijsZonderH • 1 september 2020 17:24

Providers zouden hun DNS servers toch alleen beschikbaar kunnen maken voor hun eigen op ranges. Dan is de attack footprint ook kleiner.

Wim-Bart @TijsZonderH • 1 september 2020 18:14

Bij een DNS Amplification attack worden DNS servers gebruikt, waardoor deze zelf ook plat gaan. De aanval is een niet specifiek op DNS servers maar deze maken wel deel uit van de aanval waardoor reactietijden van deze servers slecht zijn.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Cybercrime

@Wim-Bart • 3 september 2020 14:50

Plat gaan hoeft niet. Het hangt er vanaf hoeveel DNS servers je gebruikt, wat de resources daar zijn en hoeveel verkeer je nodig hebt om het target te overspoelen. Simpelweg probeer je met kleine queries welke grote antwoorden opleveren een target te overspoelen met netwerkverkeer. De servers die je hiervoor gebruikt kunnen bestaan uit meerdere systemen.

Hulliee @himlims_ • 1 september 2020 16:56

TV en caiway.nl. DNS gebruik ik niet van caiway dus mijn internet verbinding is ok. Glasvezel overigens

TheVivaldi @Hulliee • 1 september 2020 17:04

Maar je dns-server aanpassen geeft nog steeds geen garantie, want gisteren lag Freenom eruit, en dat is toch echt een dns-provider en geen internetprovider. Dus ook andere dns-servers zijn niet veilig.

Hulliee @TheVivaldi • 1 september 2020 17:44

Ik heb pi-hole met unbound ingesteld.

Verwijderd @Hulliee • 1 september 2020 18:58

Jammer dat je reactie bijna weggemod wordt. Pi Hole instellen met een recursive DNS service ernaast kan inderdaad een oplossing zijn. Je resolvet dan een domein bij de authoritative DNS server die aan een domeinnaam hangt. Queries komen dus bij verschillende DNS servers uit ipv bij 1 of 2. Op die manier heb je er geen last van als een grote DNS-resolver plat komt te liggen.

sygys @Verwijderd • 1 september 2020 20:19

Het downmodden hier op Tweakers is meer een manier geworden om posts waar je het niet mee eens bent een min 1 te geven dan dat het echt aangeeft wat de waarde ervan is. Ik zie steeds vaker mensen posts die gewoon volledig on topic zijn toch een -1 geven omdat ze het niet met hun eens zijn. Ik snap niet dat hier niet harder tegen opgetreden wordt. Ik wordt er misselijk van

Odie @sygys • 1 september 2020 20:37

tonkie_67 @sygys • 1 september 2020 21:52

+2 in dit geval om wat tengif te bieden ad notoire downmodders die denken dat het een FB not like is....

alt-92 @gepebril • 2 september 2020 10:44

Cancel culture

Weet je wat zou kunnen werken? Dat hele idee van 'cancel culture' niet het daglicht gunnen.

mjtdevries @TheVivaldi • 1 september 2020 17:22

Je kunt in ieder geval twee verschillende dns providers instellen. Ik heb nu als eerste Cloudfare ingesteld en als tweede OpenDns. Voordat die er allebei tegelijkertijd uit liggen moet er heel wat aan de hand zijn.

Snow_King

@himlims_ • 1 september 2020 16:55

Ze vallen meer dan de DNS aan. Inmiddels ook routers en andere kritieke infra

Maurits van Baerle @Snow_King • 1 september 2020 17:41

Zouden ze de DNS servers van deze ISP’s niet gebruiken in een amplification attack? Dan zijn ze eerder bijvangst dan doelwit.

tonkie_67 @Snow_King • 1 september 2020 21:59

Een router ddossen is een stuk lastiger dan dns of webserver omdat je bij een router de hele pijp moet volgooien. Tenzij je uiteraard control plane of routing updates met de router kan uitwisselen en hun routerings protocollen en tabels overhoop kan gooien. Maar dat is meestal behoorlijk afgeschermd. Uitval op dat gebied is meestal een fout van eigen beheerders of collega isp/klant (zoals de century/level3 outage zondag)
Edit: typo

DYX @Snow_King • 1 september 2020 22:35

Bij caiway leek dat vandaag niet het geval te zijn of ze hadden het onder controle. Aanpassing van de dns server en alles werkte weer zonder problemen

BlazeMuis @IMWhizzle • 1 september 2020 16:56

Caiway Glasvezel hier, ik heb gelukkig nog internet. Wel merk ik dat een aantal sites trager zijn dan normaal. Ik gebruik Google DNS, en niet van de provider.

zonderbloem @BlazeMuis • 1 september 2020 21:28

Kan Caiway niet gewoon altijd de DNS van hun routers naar Google DNS (8.8.8.8) of CloudFlare (1.1.1.1) instellen of zou dit niet mogen? Dat zou voor hun minder kosten en risico geven.

[Reactie gewijzigd door zonderbloem op 26 juli 2024 21:36]

Gomez12 @zonderbloem • 1 september 2020 22:01

En daarmee al het DNS-verkeer van alle caiway klanten aan Google geven? Ik gok dat er dan wel een aantal mensen zouden opstappen (als er niet eerst gedacht wordt over gerechtelijke maatregelen)

Niet iedereen wil zijn profiel bij Google actief bijhouden...

mjtdevries @Gomez12 • 2 september 2020 12:14

Daarom snap ik ook niet dat mensen zo makkelijk de google DNS doorgeven.
CloudFare kun je wel veilig doen, want die slaan je gegevens niet op, en dat word door externe audits gecontroleerd.

CaiGil @zonderbloem • 1 september 2020 22:16

Dit kan niet zomaar 1-2-3, voor dat soort zaken moeten eerst bepaalde overeenkomsten etc. worden opgesteld, en daarnaast zou ik als klant er niet blij van worden.

EDIT

@IMWhizzle • 1 september 2020 16:57

Als je het hebt over internet: Ze lijken zich op de DNS servers van Caiway te richten. Als je in de router of op het apparaat waarvandaan je aan het internetten bent even een alternatieve DNS server instelt (bijvoorbeeld 8.8.8.8/8.8.4.4 voor de publieke Google DNS), dan werkt het internet verder prima.

^{Dit bericht werd getypt vanaf mijn Caiway verbinding.}

Martinspire @IMWhizzle • 1 september 2020 17:09

Ik zou qua DNS zelf een mix aanhouden. Een publieke variant en 1 van de provider of 2 verschillende publieke varianten. Dan heb je met dergelijke aanvallen wat minder last ervan.

Dus 1.1.1.1 en 8.8.8.8 bv. Overigens hoort 1.0.0.1 ook bij 1.1.1.1 zag ik laatst. Daarnaast hebben ze daar ook een IPv6 versie.

[Reactie gewijzigd door Martinspire op 26 juli 2024 21:36]

SED @Martinspire • 1 september 2020 20:23

Ga eens naar de website https://1.1.1.1

GeeBee @IMWhizzle • 1 september 2020 19:46

Dan zou ik eerder kiezen voor OpenDNS dan voor Google
Voorkeur DNS Server = 208.67.220.220
Alternatieve DNS Server = 208.67.220.220

Nog liever draai je 192.168.0.2 op PiHole in je eigen netwerk

[Yellow] @IMWhizzle • 2 september 2020 14:57

Doordat bij zowat elk probleem met ISPs het advies is om je DNS server om te zetten ga je bijna paranoïde worden... Google/OpenDNS/Cloudflare hebben hier het meest te winnen.

Bedenk wel dat Europese ISPs bij wet verboden wordt om DNS gegevens door te verkopen. Bij alle andere mag je ervan uitgaan dat ze die dienst echt niet gratis leveren.

SerealKiller 1 september 2020 16:58

Heb ik net mijn ouders "eindelijk" vorige week laten overstappen van een KPN lijntje en Schotel TV naar Caiway.. krijg je dit..

Iemand nog tips om uit te leggen waarom glasvezel beter en dat een digitale aanval dit veroorzaakt

pica @SerealKiller • 1 september 2020 17:04

Het postkantoor wordt aangevallen, de postbode rijdt in een ferrari ipv een lada, echter weet hij niet waar hij heen moet

K-aroq @pica • 1 september 2020 19:09

Of: de pizzabezorger probeert met een truck met oplegger de voortuin in te komen i.p.v. met z'n ebike.

Mic2000 @pica • 1 september 2020 17:44

$_/-\o_$

Bas170

@SerealKiller • 1 september 2020 17:07

Er ligt nu een snelweg i.p.v. een autobaan, maar door een storm is de bewegwijzering weggeblazen

jurroen @SerealKiller • 1 september 2020 17:43

Uitleg glas:

Als je van DSL naar glasvezel gaat, zet je eigenlijk je internet verbinding om van een landelijk weggetje naar snelweg met vier rijstroken. Daar kan natuurlijk veel meer verkeer overheen en het kent veel minder kuiltjes en oneffenheden.

Uitleg aanval:

Bij een DDoS aanval stuurt een aanvaller zoveel verkeer de snelweg op dat je niet meer genoeg hebt aan vier banen. De aanvaller stuurt dan bijvoorbeeld verkeer wat alleen af te vangen is met zestien rijstroken, waardoor je files krijgt. Net als in het normale verkeer kun je niet met een druk op de knop meer rijstroken aanleggen, daarvoor heeft de provider wat tijd nodig.

daanb14 @SerealKiller • 1 september 2020 18:13

Gewoon de DNS-servers in de modemrouter wijzigen en klaar is kees. Vaak begrijpen ouders het zelfs met een simpele uitleg niet

twizzle @SerealKiller • 1 september 2020 23:08

Zeg gewoon dat hackers momenteel alle internet providers lastig vallen en dan stopt de leek al met vragen

Verwijderd 1 september 2020 18:55

Ik weet dat het paarlen voor de zwijnen zijn, maar zolang we hier nieuws van maken blijft het een probleem. De idioten die dit doen krijgen een stijf plassertje omdat ze topnieuws op tweakers etc zijn en omdat duizenden mensen erop reageren.

Ik snap het conflict omdat het voor sommige tweakers een mogelijk probleem is (voor het overgrote deel natuurlijk in zijn geheel niet) en dus nieuws. Feit is dat het voor mij en voor het merendeel van tweakers is het even belangrijk als een ISP in Bangladesh die een probleem heeft. Feit is ook dat dit soort aanvallen afnemen als iedereen er niet over praat en een kopje koffie gaat drinken.

In andere woorden. Tweakers is belangrijk in Nederlands IT nieuws, wellicht zeer belangrijk. Ik durf er wat op te zetten dat DDOS aanvallen afnemen als Tweakers er zes maanden niet over schrijft.

K-aroq @Verwijderd • 1 september 2020 19:18

Dat zou het mooiste zijn maar ook dubieus. Stel dat iemand KPN of Ziggo helemaal plat kan krijgen. Dat is dan heel raar om het niet te berichten op een IT site. Alle algemene nieuwssites zullen er wel over berichten.

kodak

Cybercrime
Beveiliging en antivirus
Nederland

@Verwijderd • 1 september 2020 23:29

Ik betwijfel of de providers het zelfs maar een goed idee vinden om de media om stilte te vragen alleen maar omdat jij er iets op durft te zetten dat het zou kunnen afnemen. Kijk naar de social media of de berichten van de providers die hun klanten toch echt wel willen informeren dat het niet zomaar een storing is die aan hun of de klanten ligt maar komt door criminelen. Je vraag om stilte lijkt me alleen daarom al ongepast en niet uitvoerbaar. Daarbij klinkt het ook wel erg gemakzuchtig om vanaf de zijlijn te gaan roepen dat het zal afnemen als er geen berichten meer zijn. Stel je hebt namelijk ongelijk (wat een mogelijkheid is omdat veel ddos-aanvallen waarschijnlijk nooit het nieuws halen en toch blijven bestaan en daarbij waarschijnlijk niet eens afnemen) wat heeft het dan voor zin om het er maar niet over te hebben als de publieke discussie over storingen en oorzaken hoe dan ook bestaat?

Auteur

TijsZonderH Nieuwscoördinator @Verwijderd • 2 september 2020 10:03

Je snijdt een interessant punt aan, en een punt dat de betrokken ook huiverig maakt hierover te vertellen. Ik twijfel hier soms zelf ook over, maar voor de openheid toch even wat context over waarom we het toch publiceren.

In principe hebben we als media in de eerste plaats een functie om te vertellen wat er gebeurd, en dat is dus ook altijd het uitgangspunt. Er zijn gevallen te bedenken waarbij je publicatie niet zou kunnen doen, maar die moeten heel zwaar wegen. Denk daarbij aan dingen die iemands leven of de algemene veiligheid in gevaar brengen. Dat soort zaken zijn gelukkig zeldzaam dus die afweging maken we amper.

In dit geval weegt voor ons als medium zwaarder dat er nieuws is. Onze rol in het publieke debat is de feiten die spelen bekend maken.

Er speelt nog iets anders mee. Vaak is het nieuws halen inderdaad een ding - zie de 18-jarige jongen die in 2018 ook Tweakers aanviel en met @Kees begon te chatten. Iets soortgelijks speelt nu (nog) niet - uiteraard met de kanttekening dat we dat nu nog niet kunnen zien. Als iemand dit zou doen om het nieuws te halen was daar waarschijnlijk al wel een teken geweest - bijvoorbeeld een anonieme mail, een tweet, Telegram-groepen die ineens los gaan... Dat is vooralsnog niet aan de orde.

Er zijn veel andere redenen te bedenken voor een aanval dan alleen media-aandacht. Denk aan het testen van een stresser, het uitproberen van een nieuw botnet, een demonstratie voor potentiële kopers, of in het ergste geval daadwerkelijk een gerichte aanval. Misschien is het een van die dingen, we weten het nog niet.

Hopelijk geeft dat wat inzicht in waarom we het zo plaatsen!

Daoka @Verwijderd • 2 september 2020 02:58

Ik snap je redenering. Zelfde als een kind die je pest moet negeren omdat het dan niet meer leuk is. Maar ik vraag me af of dit echt wel zo werkt. In sommige gevallen zal het best wel. In andere gevallen zal het zijn dat het pesten heftiger wordt of zelfs gewond raakt. Zolang je niet de echte reden weet van de situatie weet je ook niet of het zin heeft. Negeren kan helpen of erger maken doordat ze belangrijkere sites/locaties aan gaan vallen om hopelijk dan wel in het nieuws te komen.

En sommige ddos aanvallen zijn omdat men weigerde geld over te maken. Zulke mensen zullen zullen het misschien ook wel leuk vinden als bonus dat ze in het nieuws komen maar dit zal dus niet de hoofd reden zijn om de ddos aanval te doen. Dan heeft geen nieuws schrijven ook geen zin.

roelboel 1 september 2020 17:45

Over die LDAP-aanval: kan iemand mij uitleggen hoe het kan dat spoofing vandaag de dag nog mogelijk is? Waarom staan providers toe dat een gebruiker nog kan spoofen?

jurroen @roelboel • 1 september 2020 17:54

Het gaat zo te lezen, niet om spoofing maar om amplification. Dus vooral een kwetsbaarheid misbruiken om de aanval vele malen groter te maken. Dit legt het mijn inziens goed uit:

LDAP Ampliﬁcation attacks leverage the Lightweight Directory Access Protocol (LDAP) which is used by Microsoft Active Directory and millions of organizations to verify username and password information and permit access to applications. The attacker sends small requests to a publicly available vulnerable LDAP server with open TCP port 389 in order to produce large (ampliﬁed) replies, reﬂected to a target server.

(bron)

[Reactie gewijzigd door jurroen op 26 juli 2024 21:36]

trogdor @jurroen • 1 september 2020 18:11

Maar waarom staan er waar dan ook LDAP servers aan het internet? Die dingen horen toch in privee LANs thuis ?

jurroen @trogdor • 1 september 2020 18:14

Ik ben het volledig eens met dat je dit niet via internet zou moeten exposen. Hetzelfde voor RDP servers en IoT (Mirai) en vele andere apps/services, protocollen en devices.

SED @jurroen • 1 september 2020 20:37

Een RDP server niet verbinden met het internet.... Leuke usecase

jurroen @SED • 1 september 2020 20:44

Wel verbinden, maar niet direct exposen

Zal niet de eerste en zeker ook niet de laatste zijn die daarom ten prooi valt.

N8w8 @jurroen • 1 september 2020 18:20

Maar om die replies naar je doelwit te sturen, moet je als aanvaller bij je requests de afzender spoofen naar je doelwit, lijkt mij. Anders gaan de replies naar jezelf.

roelboel @jurroen • 2 september 2020 08:14

Zoals @N8w8 ook al schrijft: voor een LDAP amplification aanval (voor iedere amplification aan denk ik zelf) is spoofing nodig. De essentie is dit: een aanvaller stuurt een klein pakketje naar een server, met als afzender het doelwit (spoofing). De server antwoordt met een groot pakket naar het doelwit.

jurroen @roelboel • 2 september 2020 09:05

Excuus, je hebt helemaal gelijk. Toen ik mijn reactie schreef dacht ik meer aan identity spoofing (want LDAP), wat niet nodig is, maar wel netwerk/packet spoofing natuurlijk.

Scriptkid 1 september 2020 17:00

Dit klinkt allemaal een beetje als een test voor een slachtoffer ergens in de korte toekomst,

Traffic neemt toe, huidige target is een goed georganiseert doel met veel capaciteit. nut is nog niet echt bekend of geclaimed.

beetje in de trend van de Ddos stress test voor wat hij op kan wekken en of alle mitigaties en snelle switches goed werken zodat hij strak zijn echte doel plat kan gooien met een zeer goed en praktijk tested systeem.

200Gb aan traffic is best seriues, is er al iets bekend waar dit vandaan wordt gehaald, zijn dit infected botnets, Vm in een cloud dienst, en Ldap over public internet ? hoe doe je dat dan als amplification er staan toch geen Ad servers op publiek internet heeft iemand daar wat meer info over?

Auteur

TijsZonderH Nieuwscoördinator @Scriptkid • 1 september 2020 17:12

Dit zou zeker kunnen ja, zeker omdat de grootte toeneemt is dat een optie.

200Gb aan traffic is best seriues, is er al iets bekend waar dit vandaan wordt gehaald, zijn dit infected botnets, Vm in een cloud dienst, en Ldap over public internet ? hoe doe je dat dan als amplification er staan toch geen Ad servers op publiek internet heeft iemand daar wat meer info over?

Weet ik op dit moment niet, zo ver willen de mensen die ik spreek er niet in gaan.

offtopic: username checks out?

kodak

Cybercrime
Beveiliging en antivirus
Nederland

@TijsZonderH • 1 september 2020 18:05

De aanvallen zijn steeds op dns? Dan zou ik denken dat het geen test hoeft te zijn maar het doel is om dns gebruik van klanten te veranderen. Bijvoorbeeld om afhankelijk te maken van DoH of ander alternatieve dns diensten. Probeer dat maar weer terug te veranderen als klanten het handmatig aanpassen.

Auteur

TijsZonderH Nieuwscoördinator @kodak • 1 september 2020 18:08

Dat is een use case voor ddos-aanvallen die ik nog nooit heb gehoord. Zou erg opvallend zijn.

kodak

Cybercrime
Beveiliging en antivirus
Nederland

@TijsZonderH • 1 september 2020 18:55

Waarom opvallend? Veel aanvallen die geen duidelijke aanleiding hebben kunnen om de meest uiteenlopende redenen bestaan. Criminelen zijn wel vaker activistisch of baldadig in plaats van alleen uit op eigen gewin zoals geld of geen tentamen hoeven doen. Dns en DoH zijn daarbij de laatste tijd vaak in het nieuws met zwaar uiteenlopende meningen wat beter is. Dat maakt het een nieuwe mogelijke oorzaak. Ik zie daarnaast geen duidelijke andere aanleidingen genoemd worden als verklaring. Redenen genoeg om er dus rekening mee te houden.

[Reactie gewijzigd door kodak op 26 juli 2024 21:36]

Scriptkid @kodak • 1 september 2020 19:51

Denk eerder dat dns gebruikt wordt voor de amplificatie, als een een kleine spoof ip stuurd kun je wel 10 keer zoveel data terug krijgen , gezien jsource spoofed is gaat dat return traffic dus naarje target x 10.

Example vraag dns van microsoft.com als txt En je krijgt een antwoordt dat groter is dan dns packet an kan waardoor je dns overstapt op tcp ipv udp de size kan oplopen tot 4kb terwijl je original request 70 byte groot was.

Niet is dns standaard niet enorm goed in amplificatie maar het zijn vaak wel goede robuste servers.

kodak

Cybercrime
Beveiliging en antivirus
Nederland

@Scriptkid • 1 september 2020 23:13

Technische klopt je verhaal (al is de vergroting zelfs x28 tot x54 mogelijk volgens cisa.gov). Een aanval op dns kan al snel grote gevolgen hebben. Wat je er alleen niet bij schrijft is dat er wel meer amplificatie aanvallen bestaan, die zelfs veel groter factoren hebben. Dat het kan geeft daarmee dus nog geen antwoord op de vraag wat de motivatie kan zijn om de aanvallen uit te voeren. Daar gaat mijn reactie over. Dat de criminelen dns makkelijk kunnen gebruiken is op zicht nog geen motivatie. En wat mij dan lijkt op te vallen is dat ze kennelijk kiezen voor dns en dat het onderwerp de laatste tijd wat meer in het nieuws is geweest rond providers en DoH. Het kan prima zijn dat dns niet met de motivatie te maken heeft, maar ik lees nog niet dat iemand het uitsluit of echt noemt waarom het geen opvallende keuze is.

smiba @kodak • 2 september 2020 01:22

Er bestaan genoeg amplification attacks die groter zijn, maar die zijn er niet in zulk groot aanbod zoals DNS.

Jullie redernatie achter deze attack klopt alleen niet, DNS word gebruikt in een amplification attack, maar het is daarbij niet de bedoeling dat deze DNS server die gebruikt word zelf offline gaat.
(Hooguit gebruikt de aanvaller andere DNS servers, om zo deze te overbelasten)

[Reactie gewijzigd door smiba op 26 juli 2024 21:36]

kodak

Cybercrime
Beveiliging en antivirus
Nederland

@smiba • 3 september 2020 12:28

Waarop baseer je dat we redeneren dat de dns servers gebruikt worden voor de aanval in plaats van het doel zijn? De redenatie die ik lees is dat dns als aanval een doel op zich van de criminelen kan zijn omdat het een grote vergrotingsfactor zou hebben. En inderdaad dat gaat niet over waarom ze dan dns servers aanvallen maar wel over het onderwerp waar dit draadje over gaat: wat de mogelijke motivaties van de criminelen zijn.

mjtdevries @kodak • 1 september 2020 20:12

Dns en DoH zijn daarbij de laatste tijd vaak in het nieuws met zwaar uiteenlopende meningen wat beter is.

Vaak in het nieuws? Meen je dat nou werkelijk?
Bij een extreem kleine minderheid van IT-ers zul je bedoelen.

Zoals scriptkid al aangeeft is het hoogstwaarschijnlijk gewoon de techniek die de DDOS aanbieder toevallig gebruikt.

Als je extreme fantasie wilt gaan gebruiken om een mogelijke aanleiding te vinden, dan kan ik wel net zo waarschijnlijke opties uit mijn duim zuigen.
Bv dat het een reactie is op al het thuiswerken door Corona. De aanvaller heeft daar genoeg van en wil weer naar kantoor. Door de DDOS aanvallen op de ISPs word dat thuis werken onmogelijk gemaakt en zullen bedrijven weer sneller mensen op kantoor laten komen.
Net zo aannemelijk als jouw verhaal.

kodak

Cybercrime
Beveiliging en antivirus
Nederland

@mjtdevries • 1 september 2020 22:45

Ddos op meerdere providers met deze soorten aanvallen en in omvang, verder gaat dan simpele webstressers tests gebruiken, is vrij extreem als je het mij vraagt. Dat vraagt ook om iets verder denken in de mogelijke motivaties als er verder geen duidelijke motieven lijken te zijn.

Vergeleken met nog geen twee jaar geleden, toen DoH nog nauwelijkes een onderwerp was en het niet werd aangeboden en geimplementeerd door bekende bedrijven, is het duidelijk vaker in het nieuws. Dat bedoel ik er mee te zeggen. Het is ook een onderwerp dat beladen is op gebied van vrijheid, privacy en macht. Dat zijn typisch onderwerpen die vaker zorgen voor extreme acties. De meningen lopen hoe dan ook duidelijk uiteen, zelfs op tweakers. Of dat voldoende is weet ik niet, maar het lijkt me niet redelijk om het maar te verwerpen omdat je het ons te extreem gedacht lijkt.

Natuurlijk hoeft het niet zo te zijn dat dit het onderwerp van deze aanvallen is, maar waarom zouden we het uitsluiten omdat jij of ik er niet zo veel belang aan hechten? Het gaat er immers om wat het belang van de criminelen is die deze aanvallen uitvoeren. Niet of wij het belangrijk genoeg vinden als motivatie.

Dat dns een makkelijk doelwit kan zijn om effectief een denial of service te veroorzaken zegt nog niets over de mogelijke achterliggende redenen. Daarover hoor ik verder nog niemand iets anders opnoemen wat het dan wel kan zijn.

jurroen @Scriptkid • 1 september 2020 18:05

Dit klinkt allemaal een beetje als een test voor een slachtoffer ergens in de korte toekomst,

Ik vermoed zelf van niet. Eerdere "DDoS extortion" gebeurd veelal door het slachtoffer direct aan te vallen en geld te eisen om te stoppen. Of door te pauzeren en te zeggen dat als ze niet betalen de aanvallen binnen een uur weer beginnen (eventueel met een hogere capaciteit).

Voro zover ik heb kunnen nagaan in mijn kring zijn de ISPs die nu slachtoffer zijn ook niet benaderd om te betalen. Dus financieel gewin lijkt op dit moment nog niet te spelen. Gezien de slachtoffers van deze DDoS aanvallen is het aannemelijk dat je wraak ook kunt uitsluiten. Dan blijven nog de motivaties verveling, politiek of activisme* nog over.

Maar vooral: we weten er op dit moment te weinig van. Het zijn mogelijkheden, ik kan het ook fout hebben.

* = In de zin van "kijk, dit is mogelijk, update jullie resolvers en LDAP servers naar een niet-kwetsbare versie en blokkeer dit verkeer binnen jullie netwerk", wat niet geheel onlogisch is tegen een ISP.

Scriptkid @jurroen • 1 september 2020 19:55

Voor de motivaties die jij noemt zou ik niet verwachten dat je meerdere isps target, dan moet je van betere huizen komen dan de magere 200 gbps.

De motivatie die je nog mist ien die ook mogelijk is is smoke en mirrors, Aandacht weg trekken van wat ze echt aan het doen zijn.

jurroen @Scriptkid • 1 september 2020 20:15

Er zijn zeker grotere DDoS aanvallen bekend, maar 200Gbit/s is niet mager. Het is gelukkig niet voldoende om de pijpen van een ISP te vullen met troep, maar wel voldoende om delen van de infrastructuur onbereikbaar te maken, zoals de DNS servers.

Een smokescreen opwerpen door consumenten ISPs aan te vallen vind ik persoonlijk ook niet heel logisch. Tenzij ze data bij een consumenten ISP willen exfiltreren in groten getale, dan zou het wel weer logisch zijn. Begin steeds meer benieuwd te worden naar de feiten en de technische kant van het verhaal

[Reactie gewijzigd door jurroen op 26 juli 2024 21:36]

Crazy Harry @jurroen • 2 september 2020 10:38

Een politieke reden was het eerste dat bij mij op kwam. In 2018 zat de aanval rond een presentatie van het JIT over MH17.
In dat dossier is er momenteel weinig noemenswaardig (naar mijn mening, geprobeerd vanuit het gezichtspunt van een aanvaller te bekijken) aan de hand.
Maar dan kunnen het nog duizenden andere redenen zijn waarschijnlijk.

Als het activisme zou zijn, zouden we de boodschap al lang gehoord hebben lijkt me. Anders heeft het niet zoveel nut.

jurroen @Crazy Harry • 2 september 2020 11:09

Interessante gedachte! Persoonlijk vermoed ik wel dat een nation state aanvaller meer capaciteit zou hebben en andere doelwitten zou kiezen. Bij een dergelijke politieke ontgelding zou "kritische infrastructuur" mijn inziens wat logischer zijn. Consumenten-ISPs een paar uur offline gooien is vervelend (zeker gezien het toegenomen thuiswerk) maar ook niet veel meer dan dat.

Iemand in mijn persoonlijke omgeving opperde ook de mogelijkheid van een mogelijke nieuwe booter-dienst die hiermee wil demonstreren wat ze kunnen. Dat zou wellicht ook nog een mogelijkheid zijn. Ben vooral benieuwd naar de feiten achter dit verhaal

Some12 @jurroen • 2 september 2020 12:38

Een nation state zou ook expres weinig bytes kunnen sturen; het doet z’n werk en leid af.

Misschien is deze capaciteit voldoende om mobiel te zijn: lanceer de aanval vanuit waar dan ook op de wereldbol.

HoppyF 1 september 2020 16:57

Je zou haast denken een inside job.
Dit soort DDOS aanvallen zijn inderdaad zeer hinderlijk, bij providers zou dit prio 1 moeten zijn om de daders te achterhalen. Ja, het is distributed maar dan nog moet er iets achter zitten.
In het verleden zijn er vaker internet criminelen hiervoor opgepakt.
150 of 200Gbit/s zijn ook script kiddies meer die wat van thuis af zitten te spelen.

mjtdevries @HoppyF • 1 september 2020 17:16

ehm..., doordat het bij allerlei verschillende providers gebeurt lijkt mij een inside job nou het laatste om aan te denken.

HoppyF @mjtdevries • 1 september 2020 19:08

Het artikel schrijf al dat er veel kennis bij de aanvaller is over de infrastructuur en hij precies weet waar hij moet zijn. Een hacker van buitenaf heeft deze kennis niet en gaat lukraak te werk met als doel de zaak plat te leggen. Dat geeft te denken toch? Het is niet mijn idee maar gebaseerd op wat er beschreven staat.

Dorank @HoppyF • 1 september 2020 19:46

Elke provider vertelt zelf welke DNS servers door hun klanten gebruikt kunnen worden. Traceroutes vertellen je waar de router waarschijnlijk uithangen. Allemaal publieke info.

HoppyF @Dorank • 1 september 2020 20:09

Klopt, maar dat is slechts een deel van het verhaal.
De aanvallers wisten blijkbaar nog veel meer.

nieck1992 @HoppyF • 2 september 2020 09:55

Hi HoppyF,

Een netwerk in kaart brengen is niet onmogelijk. Meeste routers/diensten hebben DNS namen die "ergens op slaan" bv BR = Border Router, FW = firewall etc... Vaak zijn ze ook redundant uitgevoerd en zodoende zullen ze bij de meeste partijen (uit gemak en duidelijkheid) een op 1 volgende naam hebben, bv FW-1, FW-2 etc...

Het is dus vrij simpel om core infra te "scannen" van buitenaf met een poortscan oid en zodoende op basis van DNS record een idee te krijgen welke servers/poorten/ips je "kan proberen" om de hele infra down te halen.

Uiteraard is dit niet iets wat pietje puk zomaar in kaart kan brengen, echter zullen er vast tools zijn die infra in kaart kunnen brengen op basis van deze data. Zet daar een paar slimme Admins/programmeurs en netwerk engineers achter en je krijgt een mooi schema hoe het netwerk helemaal loopt als outsider.

Pick your poison en trap er data overheen en kijk wat er gebeurd.

Ik ben het eens met

ehm..., doordat het bij allerlei verschillende providers gebeurt lijkt mij een inside job nou het laatste om aan te denken.

Ookal werk ik bij provider X, dan heb ik nog geen inzage in het netwerk bij provider Y.

mcDavid @HoppyF • 1 september 2020 17:18

Hoezo zou je denken aan een inside job? Lijkt me erg omslachtig... dan zouden ze dus tientallen providers fysiek geinfilteerd hebben? Om enkel en alleen een DDoS'je te flikken?

Daoka @mcDavid • 1 september 2020 17:43

Samenwerking tussen meerdere ontevreden medewerkers zou kunnen. Al lijkt het me wel heel ver gezocht.

K-aroq @Daoka • 1 september 2020 19:14

ZOu ook uiterst onprofessioneel zijn als je dit soort dingen gaat doen omdat je niet tevreden bent.

Daoka @K-aroq • 2 september 2020 02:13

Dat ben ik ook zeer met je eens. Maar mcDavid laat het klinken alsof het onmogelijk is. Ik geef alleen aan van het hoeft geen uitgebreide meesterplan te zijn waar men moet infiltreren. Ik heb het dan over medewerkers van verschillende bedrijven die slecht behandeld worden. Dan heb ik heb over jarenlang promotie overgeslagen, geen respect van of gepest door de collega's, jou ideeën gestolen waardoor andere juist promotie maken, altijd veel langer moeten werken en de rest vroeg naar huis en geen overuren uitbetaald krijgen, altijd maar rot klussen krijgen en andere de makkelijkere klussen, ect. Die mensen hebben elkaar over een langere tijd leren kennen omdat ze bijvoorbeeld samen moesten op verschillende rot klussen. Uiteindelijk besloten ze hun bedrijven te pesten door dit te doen.

Het zou zeker een overdreven reactie zijn. Ik verwacht ook niet dat dit zo gebeurt is. Maar is wel een mogelijke situatie waar het wel een inside job zou zijn zonder dat ze er jarenlang voor gepland is of geïnfiltreerd is. Dus de idee van HoppyF dat het een inside job is kan dus wel mogelijk zijn. Hoe onwaarschijnlijk het ook is.

jcbvm

@HoppyF • 1 september 2020 17:15

Het achterhalen lijkt mij beter een taak voor de cyber politie. Die zijn denk ik veel kundiger hierin dan de providers zelf.

twizzle @jcbvm • 1 september 2020 23:13

De providers hebben wel toegang tot de straatkast. Als je daar deep packet inspection zou toepassen en dan op DNS requests die vanaf een IP adres komen wat niet in de range valt zou je toch eigenlijk geïnfecteerde systemen moeten kunnen vinden.

Vervolgens contact opnemen en analyseren om de command server te vinden.

Of denk ik nou te makkelijk?

nieck1992 @twizzle • 2 september 2020 10:08

Hi,

Je denkt idd te makkelijk, de DDOS'en komen van buiten hun netwerk (het internet). een "straatkast" is het laatste wat je nodig hebt, alle data die je wil kan de provider op zijn/haar eigen routers/firewalls/flowcollectors inzien. Je DNS server moet kunnen resolven naar het "internet" wil het nuttig zijn. Dat maakt het dat dat IP adres van buitenaf bereikbaar moet zijn.

Dit geeft weer welk IP mogelijk als doel gebruikt word voor je DDOS. Hier begint de ellende eigenlijk, hoe zorg je ervoor dat het IP (wat waarschijnlijk nodig is voor bepaalde tooling/service) bereikbaar blijft voor je klanten/eindgebruikers terwijl je op 1 of andere manier de data die niet gewenst is afschermd? Hoe dit te doen hangt af van de dienst/service die achter dit IP zit.

Het klinkt vrij simpel hoe ik het hier wegtype maar in praktijk is dit een aardige k*t klus en vergt vele jaren ervaring en veel bestaande "DDOS"(Netwerk/Firewalling/BGP/Mitigatie/Netflow) tooling/routering die je moet implementeren wil je een beetje bruikbare data hebben en mitigatie willen toepassen.

wica @HoppyF • 1 september 2020 17:22

Ze zijn in het verleden opgepakt door dat ze gingen opscheppen, of zelf naar buiten kwamen of door dat ze een stress test website gebruikte.

Anders is het zoeken naar een spel[t|d] in de hooiberg.

[Reactie gewijzigd door wica op 26 juli 2024 21:36]

trogdor @wica • 1 september 2020 18:08

Speld, niet spelt

K-aroq @trogdor • 1 september 2020 19:13

Of speltkorrel. Die vindt je ook niet makkelijk in een hooiberg :-)

trogdor @K-aroq • 2 september 2020 11:17

+1 :-)

dakka @HoppyF • 1 september 2020 17:45

"stresstester" service 100-300€ betalen (hebben 4 puistenkoppies zo bij elkaar) en hopla, je heb een paar 100 Gb/s tot je beschikking voor een week

Odie @HoppyF • 1 september 2020 20:42

Oh please, denk je dat “we” niets beters te doen hebben dan onszelf de graveyard-shift in te DDoSen? En zijdelings effe een criminele activiteit te ontplooien? Met welk doel?

Douweegbertje 1 september 2020 17:43

Met alle respect vind ik de reactie van het NBIP wel het geen wat je nu exact verwacht.

> "De aanvaller lijkt goed onderlegd te zijn"

Ik zou ook mijn klanten ook tevreden houden.

> "De aanvallen zelf verschuiven telkens op het moment dat wij ertussen komen zitten."

Of je bent net te laat

Maar dit is ook uiteindelijk de flaw van iets als NaWaS. In principe natuurlijk een mega goed initiatief maar in de praktijk soms niet heel sterk. Want je verschuift je DoS gewoon. Desnoods pak je iets anders zoals een hub voor een datacenter en dan heeft het opeens instant geen effect meer.

> "Wie erachter zit heeft eerst goed de infrastructuur bestudeerd. Hij heeft goed uitgezocht welke subnets hij allemaal moet aanvallen."

Ja laten we dat alleen niet veel spannender maken dan het is. Een mapping maken van de infra is zo gebeurd.

eric.1

@Douweegbertje • 1 september 2020 18:32

Of je bent net te laat Maar dit is ook uiteindelijk de flaw van iets als NaWaS. In principe natuurlijk een mega goed initiatief maar in de praktijk soms niet heel sterk. Want je verschuift je DoS gewoon

Dan heeft het toch gewerkt? Dan ben je weggekomen met een downtime van amper een minuut ipv hoelang ze het maar willen. Dat ze daarna iets anders aanvallen, so be it.

Gomez12 @eric.1 • 1 september 2020 22:10

Het nadeel is dat dit soort groepen heel vaak rondjes gaat maken, waardoor je veel keren een downtime van een minuut gaat maken en dat merkt de klant toch echt wel.

eric.1

@Gomez12 • 1 september 2020 22:19

Rondjes met wat voor interval? De routes haal je over het algemeen niet direct na zo'n aanval weer weg. Ja, als ze het iedere dag even proberen dan heb je dus over een minuut per dag. Even een mailtje naar je klanten dat er een kortstondige onderbreking in de dienstverlening heeft plaatsgevonden door een DDOS aanval en klaar.

Maar goed, wat is het alternatief? Blijkbaar dus gewoon onbereikbare diensten. Sjah. Veel beter. Er zijn wel andere alternatieven, maar die hebben uiteraard ook weer bepaalde voor- en nadelen.

Gomez12 @eric.1 • 1 september 2020 22:26

Rondjes met wat voor interval? De routes haal je over het algemeen niet direct na zo'n aanval weer weg.

Tja, maar je kunt ze ook niet dagenlang laten staan, aangezien de attackers door gegaan zijn naar de volgende in het rijtje en die heeft nu Nawas nodig, Nawas is er praktisch op gericht om 1 van de grotere providers te kunnen helpen, niet meerdere grotere providers...

Daoka @Douweegbertje • 2 september 2020 02:41

> "De aanvallen zelf verschuiven telkens op het moment dat wij ertussen komen zitten."

Of je bent net te laat

Uiteindelijk blijft het de vraag wat echt is. Maar ik zie hier ook wel mogelijke waarheid in. Als op die servers dan het probleem "opgelost" is waarom zou je meer tijd steken in iets wat moeilijker is als je toch andere doelwitten heb die makkelijker zijn?

stftweaker 1 september 2020 17:10

Dat is grappig, vanmorgen nog een bericht gehad van een hacker.
Of ik even een paar 1000 euro wilde betalen en anders ging mijn shop op zwart. Uur later begonnen met aanvallen hoster(grade A managed hosting) kon het gelukkig aan en website ging niet op zwart. Vreet wel aardig resource nu dus een WAF aan het aanschaffen. Toeval? Of zijn de bots nu in de aanbieding? pfff

Auteur

TijsZonderH Nieuwscoördinator @stftweaker • 1 september 2020 17:12

Kwam dat van Armada Group of zo?

stftweaker @TijsZonderH • 1 september 2020 17:19

Geen idee wie of wat armada group is.

Maar dit is de hacker

H4ck3r_BTC h4ck3rbtc@protonmail.com

Waarschijnlijk een script kiddie die dacht even wat snel geld te pakken.
We probeerde hem nog te trollen door hem belachelijk te maken dat de site nog draait... maar geen reactie

Auteur

TijsZonderH Nieuwscoördinator @stftweaker • 1 september 2020 17:24

Armada Collective is een notoire ddos-afpersbende. Als het die waren geweest dan hadden ze dat in de eerste zin geschreven. H4ck3r_BTC klinkt iets minder professioneel

HollowGamer @stftweaker • 1 september 2020 17:23

Ik zou niet gaan trollen, daar genieten deze mensen alleen maar van. Liever rapporteer je deze 'script kiddies' en werk je samen met de hoster, al denk ik wel dat je het al hebt doorgegeven.

stftweaker @HollowGamer • 1 september 2020 17:40

Heb de hoster preventief benaderd. Zo kon de sys admin monitoren. Beetje lol moet je wel hebben toch?
Zie het als een inbreker die het dak op klimt maar er vanaf glijdt.

Ben de hacker wel dankbaar weer fijn met de neus op de feiten gedrukt.

HollowGamer @themadone • 1 september 2020 21:03

Wat een domme opmerking, sorry. Ik gebruik zelf ook PM en ik heb nog nooit gehacked of ge-ddos.
De service is prima en je betaald gewoon voor privacy. Helaas maken sommige daar misbruik van, het hetzelfde dat Bitcoin gebruikt wordt voor minder mooie doeleinden.

Scriptkid @stftweaker • 1 september 2020 20:01

Is het redable een waf te nemen voor ddos onprem voor een kleine site, dacht dat ze dan met gemak alsnog je lijn dicht trekken je moet tich de capoaciteit hebben om incommings te droppen.

Is een hosted niet beter en voordeliger, azure of cloudflare enz

stftweaker @Scriptkid • 1 september 2020 21:57

Ja we nemen het ook hosted via securi. Meerdere level protection. Cloudfare was handig om even heel snel in te zetten.Maar geen long term solution. En to be fair onze hosting kon het ook gewoon aan site ging niet plat. Alleen de data die werd gepompt en het aan requests hehehe. We gebruiken een managed hoster die alles via google cloud doet. Dus on prem heeft niet echt nut.

laptopleon 1 september 2020 20:46

Ik ben vooral benieuwd waarom iemand dit doet. Als je gepakt wordt krijg je er serieus problemen mee en wat schiet je er mee op?

Overigens kreeg ik vanavond een mailtje van Webreus die stelt dat er pieken van 'ruim 300 Gb/s' in de DDOS aanval zaten.

Gomez12 @laptopleon • 1 september 2020 22:14

Als je de gevolgen niet kan/wilt overzien dan is het een heel goedkope manier om "wraak" te nemen.

En in de praktijk is het als je 2 hersencellen hebt nog anoniem ook.

laptopleon @Gomez12 • 2 september 2020 01:23

OK, stel dat het iemand is die wraak wil nemen. Wie heeft er nou een appeltje te schillen met zoveel verschillende internetbedrijven? Met zowel Tweak als Webreus, Signet, Caiway en Delta? Eigenlijk een hele verzameling kleinere internet providers / internet service providers.

En hoezo kan het anoniem, het komt toch altijd ergens vandaan? Zeker als het zulke grote streams zijn moet dat toch terug te vinden zijn naar een bron of naar een botnet?

Gomez12 @laptopleon • 2 september 2020 11:08

En hoezo kan het anoniem, het komt toch altijd ergens vandaan? Zeker als het zulke grote streams zijn moet dat toch terug te vinden zijn naar een bron of naar een botnet?

Vanwege hoe reflectie-attacks werken.

Ik zeg tegen een dns-server dat ik de server van tweakers.net ben en ik vraag aan diezelfde dns-server om mij alle informatie over domein x te sturen (waarbij het antwoord x keer groter is dan de vraag), doordat ik zeg dat ik de server van tweakers.net ben, gaat de dns-server het grote antwoord naar tweakers.net sturen.

Doe dit vaak/snel genoeg en tweakers.net heeft een DDos en als tweakers.net gaat kijken wie de aanvaller is, dan is dat de dns-server. Want die overbelast de tweakers.net server.
En in theorie kan je dan de mensen van de dns-server vragen wie die requests doet, maar dan moet net hun logging wel uitgebreid genoeg zijn (want ik doe me voor als tweakers.net server) en ze moeten er maar net zin in hebben...

De DNS-server kan vertellen wie ik ben (als ik daarvoor niet wat vpn's /tor's heb hangen) maar voor tweakers.net ben ik anoniem.

laptopleon @Gomez12 • 2 september 2020 11:54

Dat begrijp ik, maar als een aanval op een van de servers van Webreus een hele week duurt, en tegelijkertijd worden nog een half dozijn ISP’s en IP’s aangevallen, lijkt me toch dat er wel relevante bedrijven zulken zijn die mee willen werken, al was het maar omdat ze zelf ook dicht bij het vuur zitten?

Crazy Harry @laptopleon • 2 september 2020 10:52

In 2018 was er ook zo'n aanval in Nederland en was het rond de tijd van de presentatie van het JIT (MH17). Ik weet niet of het ooit zeker is geworden dat Rusland achter de aanval zat maar 1+1 is nog altijd 2.

Er zijn op politiek vlak vast vele redenen te bedenken.

laptopleon @Crazy Harry • 2 september 2020 11:50

Dat zou zomaar kunnen. Het zou ook verklaren waarom er geen enkel motief te vinden is in de media. Men zal Rusland – of welk land dan ook – alleen willen beschuldigen met harde bewijzen en dat kost vaak veel tijd. Of men bewaart het voor een strategisch handig moment.

Op dit item kan niet meer gereageerd worden.

Opnieuw vinden grootschalige ddos-aanvallen op Nederlandse providers plaats

Lees meer

De destructiviteit van ddos-aanvallen

Een ddos'er betrapt

Reacties (178)

Lees meer

De destructiviteit van ddos-aanvallen

Een ddos'er betrapt

Reacties (178)

Sorteer op:

Weergave: