Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlandse ddos-doelwitten ontvingen afpersingsmail uit naam van staatshackers

De Nederlandse politie heeft in de afgelopen weken tientallen aangiften van ddos-aanvallen van bedrijven ontvangen, waaronder van bedrijven met vitale dienstverlening. Er zouden ook afpersingsmails zijn gestuurd. Het is niet duidelijk of beide zaken met elkaar verband houden.

Volgens het Nationaal Cyber Security Centrum zijn er geen aanwijzingen dat de dreigingsmails 'uit naam van een statelijke actor' en de daadwerkelijk uitgevoerde ddos-aanvallen verband houden met elkaar. Wel meldt het NCSC dat er internationaal sprake is van een verhoging van het aantal ddos-aanvallen. Ook in andere landen werden afpersingsmails ontvangen.

Volgens het NCSC is er sprake van een toename van het aantal ddos-aanvallen en gaat het om uitzonderlijk grote aanvallen, met pieken van het netwerkverkeer van 250Gbit/s. Het gaat om udp-floodaanvallen die zich op de dns-infrastructuur richten. In 2019 bereikte de grootste in Nederland waargenomen ddos-aanval een piekverkeer van 124Gbit/s. In 2018 was dat 68Gbit/s. Eerder dit jaar concludeerde de Nederlandse Beheersorganisatie Internet Providers al dat ddos-aanvallen steeds groter werden.

Niet bekend is wie er achter de aanvallen zit of zitten en het NCSC meldt ook geen details over de staatshackers die de afpersingsberichten zouden versturen. Volgens het centrum wordt ook het Rijk aangevallen.

De Nederlandse politie meldt in het hele land aangiften te hebben ontvangen van tientallen bedrijven die zijn aangevallen, waaronder van bedrijven voor vitale dienstverlening. Volgens de politie gaat het onder andere om banken en internetproviders. De politie roept bedrijven die slachtoffer zijn op aangifte te doen. Er loopt inmiddels een onderzoek waarbij de politie, Nationaal Cyber Security Centrum, banken, internetproviders, NBIP en internationale politiekorpsen samenwerken.

Onder andere Online.nl, Tweak, Caiway, Freedom Internet, Epdnet, Signet en Tweakers ondervonden eind augustus en afgelopen week hinder van grootschalige ddos-aanvallen.

Een woordvoerder van NBIP zei afgelopen week tegen Tweakers dat de aanvaller goed onderlegd leek te zijn", "De aanvallen zelf verschuiven telkens op het moment dat wij ertussen komen zitten." De Nationale Beheersorganisatie Internet Providers biedt NaWas aan, een dienst om ddos-aanvallen af te kunnen weren.

Door Olaf van Miltenburg

Nieuwscoördinator

04-09-2020 • 13:52

92 Linkedin

Reacties (92)

Wijzig sortering
Het wordt eens tijd dat Nederlandse datacenters ook eens een sterke infrastructuur gaan opzetten. Iedere keer die besparingen op beveiliging.. Anti-DDoS hoort onderdeel te zijn van de infrastructuur in plaats van een reactieve oplossing, zoals NaWas. NaWas is leuk voor kleinere ondernemingen, maar het wordt pas tijdens of na de aanval geactiveerd.

Sorry, maar als een datacenter een 250Gbps aanval niet kan tegenhouden, dan weet ik niet of zij zichzelf wel een echt datacenter mogen noemen. Natuurlijk worden aanvallen groter. 250Gbps is wel flink voor een gemiddelde aanval, maar niets in vergelijking met aanvallen van 1Tbps of 2Tbps.

Voor Anti-DDoS (complex of niet) moeten ze gewoon investeren in het netwerk en in firewalls. Kijk eens naar Arbor oplossingen of naar andere innovatieve datacenters en zorg ervoor dat dit onderdeel wordt van de dienst en infrastructuur. Veel klanten betalen in dit soort gevallen graag een paar euro meer per maand. Ik vond de kleine prijsverhogingen voor krachtige beveiliging bij OVH ook geen probleem. Bedrijven laten dit vaak links liggen, maar het vormt echt een bedreiging tegenwoordig.

[Reactie gewijzigd door Toni90 op 4 september 2020 14:17]

Het datacentre heeft waarschijnlijk terabits aan theoretische capaciteit aan glas dat binnenkomt maar iemand moet dat ook huren/gebruiken. Veel datacentres verkopen ruimte en aansluitingen.
Vervolgens huren mensen bijvoorbeeld een rack of hele room.
De huurder kiest vervolgens hoe de infra wordt ontsloten. Een grotere partij kan bijvoorbeeld 2 x 10Gb direct naar de AMS-IX afnemen maar veel partijen zullen capaciteit inkopen bij een transit provider die voor jou alle peering doet en je weer bv 10Gb geeft.
Uiteindelijk gaan de meeste huurders naar hun eigen rack of room niet 250Gbit kopen.
Dat is veel te duur. Niet alleen de verbinding is duur (voor 100Gbit heb je het over 10K+ / maand) maar ook routers en ddos protectie die 250Gbit kunnen verwerken zijn prijzig.
In praktijk huren mensen dus tijdelijk DDOS "scrubbers" tijdens een DDOS aanval zoals NaWas of via grote commerciele partijen zoals Akamai.
Echter continu dit soort DDOS scrub partijen inzetten is wederom erg duur en vaak heb je extra latency door deze third parties wat de site ervaring niet beter maakt.
Als je een bank bent is het wellicht prima te betalen maar voor een willekeurrige website die een rack met hardware heeft en moet leven van bv advertenties is dat een heel ander verhaal.
Mee eens. Als datacenters dit doen, dan hebben ze een SPOF als ze dit aan de andere kant niet kunnen tegenhouden. Dat is een keuze die ze maken. Is misschien een interessant vraagstuk om te behandelen voor de opzet van een architectuur. Dit zijn inderdaad ook geen diensten om 24/7 in te zetten. Daarom denk ik dat samenwerking tussen datacenters enorm belangrijk is. Het netwerk moet uiteraard voldoende capaciteit hebben en op de PoPs moeten firewalls staan om een aanval te kunnen mitigeren over het netwerk.
Datacenters leveren enkel rackspace en glasverbindingen tussen andere huurders, je moet een datacenter echt los zien van logische netwerk capaciteit. Zoals foobar79 je probeert uit te leggen is het de keuze van een huurder in een datacenter waar en hoeveel capaciteit deze inkoopt.

Je kunt dus als "datacenter" huurders niet beschermen tenzij een datacenter dit als dienst aanbiedt en de huurders deze dienst ook afnemen. En dan nog is het de keuze van de afnemer hoeveel capaciteit deze inkoopt.

Ik stel voor dat je je eens gaat verdiepen in de wereld van datacenters (Telecity, Equinix etc), transit providers (Level3, NTT, Telia, GTT etc.), peering platformen (AMS-IS, NL-IX, DECIX etc), hosting platformen, CDN's (Akamai), eyeball netwerken (KPN, Telefonica, AT&T, Ziggo etc.). Het is iets complexer dan even een sterke infrastructuur neerzetten, deze infrastructuur bestaat namelijk al. Het is de keuze van elk bedrijf dat hier gebruik van maakt hoeveel deze afneemt en hoe deze wordt ingericht.
Datacenters leveren enkel rackspace en glasverbindingen tussen andere huurders, je moet een datacenter echt los zien van logische netwerk capaciteit. Zoals foobar79 je probeert uit te leggen is het de keuze van een huurder in een datacenter waar en hoeveel capaciteit deze inkoopt.

Je kunt dus als "datacenter" huurders niet beschermen tenzij een datacenter dit als dienst aanbiedt en de huurders deze dienst ook afnemen. En dan nog is het de keuze van de afnemer hoeveel capaciteit deze inkoopt.
Het kan een keuze zijn van een 'klant' om colocatie te gebruiken. Dit is wel heel zwart wit. Natuurlijk kun je de infrastructuur van klanten die gebruik maken van colocatie niet zomaar beschermen, tenzij de afnemers daarvoor willen betalen en als het datacenter over de juiste apparatuur beschikt om een aanval te mitigeren. Ik vind daarom het lijstje met datacenters en peering locaties (soms ook PoPs voor datacenters) wel grappig, want dit zegt helemaal niets.

Als het datacenter inderdaad beschikt over de juiste apparatuur en de bovenstaande PoPs en klanten kunnen gebruik maken van het netwerk van dit datacenter, dan zijn ze automatisch beschermd. Ik stel voor dat jij je eens gaat verdiepen in de grotere datacenters die colocatie aanbieden inclusief een uplink met Anti-DDoS mogelijkheden (helaas nog te weinig, dat is vooral mijn punt). 'Klanten' kunnen namelijk gebruik maken van het netwerk van het datacenter die een connectie heeft met meerdere peering points. En ja: Het is complex, maar wel eens tijd dat bedrijven hierover gaan nadenken. Daarom vond ik het voorbeeld van foobar79 wel interessant.

-- Edit --
Dit staat even los van verbindingen en providers waarmee je zaken doet als je gebruik maakt van colocatie met een eigen netwerkconnectie. Dan zijn dit soort diensten in veel gevallen niet inbegrepen en heb je vrijwel nooit bescherming. Dan is NaWas een betere oplossing in NL.

[Reactie gewijzigd door Toni90 op 4 september 2020 22:38]

Nogmaals, de diensten die je beschrijft bestaan allang. Zo'n beetje elke transit provider biedt DDoS bescherming aan, en bepaalde datacenters bieden een totaal pakket met colocatie, transit en DDoS bescherming. En ja, dit soort bedrijven hebben meerdere transits en capaciteit bij Internet Exchanges. Echter als je echt gaat opschalen als netwerk dan koop je dit zelf in, omdat je niet meer afhankelijk wilt zijn van 1 partij.

Echter capaciteit is duur, en DDoS bescherming nog meer. Bedrijven maken een bewuste keuze in hoeverre ze hiertegen tegen willen beschermen. Een kosten vs baten verhaal dus.
Inderdaad, mee eens. Die diensten bestaan al een tijdje bij grotere datacenters. Helaas is de aanpak en samenwerking vaak verkeerd en ontbreekt het nog steeds aan een krachtige bescherming. Gelukkig gaat het de goede kant op en zie ik steeds meer providers die dit soort diensten standaard aanbieden. Ik ben het ook eens met het opschalen. Dan wordt het onbetaalbaar, omdat je dan afhankelijk bent van andere providers en dus ook andere Anti-DDoS oplossingen, tenzij je een backup-mogelijkheid hebt in het datacenter. Maar dat een datacenter standaard goede bescherming heeft... meh. Vaak nog blackhole routing en dan is de dienst alsnog weg.

Wat ik al aangaf: Bedrijven laten dit vaak links liggen en dit moet anders als we dit willen voorkomen in de toekomst. 1 NaWas is nu misschien voldoende, maar volgend jaar misschien niet meer.
Wat een nutteloze discussie. Alsof iedere aanbieder op het einde van z'n netwerk maar die 250gbit moet kunnen verdragen zodat de website die uiteindelijk op de server achter de laatste switch staat zijn content kan serveren. Doe ff normaal joh en neem gewoon lekker CloudFlare of meldt je aan bij de NaWas.

Mijn ICT docent heeft destijds ook niet geïnvesteerd in anti-ddos appratuur toen ik de ISA server van de ICT opleiding plat gelegd had met een ping of death. Zoveel budget hadden ze niet. ;)
Niet elke partij is in staat om 250gbps of meer als capaciteit te hebben en daar hoef je niet zo minderwaardig over te doen. En dan is de NaWas een prima dienst. Je kan automatisch binnen een split second omschakelen naar de NaWas of elke andere scrubbingdienst.

DDoS gaan al lang niet meer alleen om hoge volumes. Je ziet een verschuiving naar maatwerk oplossingen waar je met speciale low volume attacks prima heel veel Mpps (geen mbps dus!) kan genereren.

Daarnaast zal DDoS capaciteit meegroeien met de capaciteit van netwerken. Dus alles in verhouding
DDoS gaan al lang niet meer alleen om hoge volumes. Je ziet een verschuiving naar maatwerk oplossingen waar je met speciale low volume attacks prima heel veel Mpps (geen mbps dus!) kan genereren.
Exact! En daarvoor heb je goede firewalls nodig. Het is niet alleen volume, maar ook gedrag (layer 7) protectie. Dit is ook iets wat je weinig ziet. In de gaming-industrie komen dit soort aanvallen vaak voor en daarom zijn de oplossingen zo belangrijk. Het is niet altijd een flood.

NaWas is een prima dienst, maar ik vind zelf dat dit tegenwoordig te vaak fout gaat. Waarom kunnen andere partijen en datacenters dit wel? Misschien moeten we daar eens over nadenken.
Layer7 protectie? Daar gaat het hier niet om. Daar heb je mooie oplossingen voor en die werken bij de meeste clubs ook prima: Palo Alto, f5 etc.

De ISPS in dit verhaal hebben last van ordinaire implification DDOS aanvallen. Daar kan je, je gewoon amper tegen wapenen. Alleen meer capaciteit inkopen en hopen dat je mitigation/scrubbers het houden. Maar goed, uiteindelijk wint de aanvaller toch wel.

Waarom gaan bv Facebook en Google niet plat? Simpel: anycast. Maar ook daar ga ik niet op in, omdat het niet realistisch is voor consumenten en het MKB.

Voor een consument of MKB eindgebruiker is er geen enkele betaalbare oplossing. Ben jij doelwit en is publieke IP bijvoorbeeld 80.0.0.1, is je eigen downstream (laten we zeggen 10gbit) de bottleneck. Je ISP heeft een scrubber, maar de scrubber heeft een capaciteit van 100 gbit/s. De aanval is 101 gbit/s... je raad het al.. offline.

Nu zijn er nog wat truckjes: bij een aanval je BGP communities instellen op EU of direct peering only. Zodat je prefixes niet worden geadverteerd naar bv China of Rusland etc. Maar goed, dat is een noodgreep. Blackholen kan ook, maar zinloos als de aanvaller je prefixes een voor een af gaat..

De NAWAS is een samenwerkingsverband en een extreem mooie oplossing.. maar ook een noodgreep.

Straffen omhoog gooien is het enige wat helpt.. wellicht zelfs wetgeving aanpassen waarbij iedereen met een internetabonnement verantwoordelijk is voor zijn uitgaande verkeer en verplicht firewalls moeten installeren. Maar goed, dat is een andere discussie.
Straffen omhoog werkt nergens. Pakkans verhogen wel. Verplichte firewalls en lijkt me zinnig. Maar vooral: fabrikanten verplichten tot updates, verouderde software blokkeren.
Ik begrijp hem niet echt met die firrewalls... als de pijp voor de firrewall gewoon verstopt raakt is het gewoon gebeurd, kun je verkeer wel gaan droppen of whatever gaan doen in de firrewall maar dat heeft geen zin.

Ddos is gewoon wie heeft de dikte, is de aanval groot genoeg dan valt alles wel om.
De grote jongens met een serieus botnet hou je niet zomaar tegen.

[Reactie gewijzigd door mr_evil08 op 4 september 2020 21:27]

De grote jongens met een serieus botnet hou je niet zomaar tegen.
Voorlopig zijn die wel tegen te houden omdat ze de capaciteit niet echt bereiken, ze kunnen alleen hun capaciteit amplificeren / vergroten met amplification attacks.

Oftewel als je de dns-amplifications etc weet te blokkeren dan is er weer voor jaren genoeg capaciteit...
Ja zeker wel.
Vervolgen alszijnde terrorisme en executeren.
Zodra er een paar de zon niet meer zien opkomen dan gaan er een aantal zich zeker bedenken.
Hier is het een taakstrafje en een computerverbod.
We moeten van dat softe gedoe af en helemaal van die imago.
Lijfstraffen, publieke folteringen.
Dood en verderf zaaien onder de criminele beroepsgroep.
Tereur met tereur bestrijden.
Maar we kunnen natuurlijk ook gewoon vragen om te stoppen.
In je oplossing lees ik niet dat je nagedacht hebt hoe dat het probleem dat je noemt echt oplost. Een datacenter gaat ook niet zomaar op layer 7 ingrijpen. Als je van mening bent dat het te vaak fout gaat bedenk dan eerst eens wie verantwoordelijkheid over wat heeft en leg uit waarom dat naar jou mening zo is. Dan kan je daarna kijken hoe die verantwoordelijkheid is te nemen en wat er anders voor nodig is om dat wel gedaan te krijgen. Zomaar gaan noemen dat een datacenter of ander bedrijf maar iets moet doen is geen oplossing.
Voor wie het interessant vindt.. ik heb wat screenshots van een aanval van vorig jaar.
Link1
Link2

[Reactie gewijzigd door -Colossalman- op 4 september 2020 18:26]

Je ziet hierbij de laatste jaren, zoals aangehaald in dit artikel, perfect de parallel met de Wet van Moore. Elk jaar een verdubbeling van het piek-verkeer. Iets zegt me dat we volgend jaar dus een max zullen kunnen gaan zien van 500.
In de basis is een DDOS gewoon een gevecht van "wie heeft de grootste". Van zodra de aanvaller voldoende resources heeft om jouw systemen te verzadigen heb je er last van. De enige manier om een DDOS goed tegen te houden is dus meer resources ter beschikking hebben. En dat is echt niet eenvoudig en niet goedkoop.

Wil je als firma bescherming tegen DDOS, dan kan je dat perfect aankopen. Het is niet dat de datacentra in Nederland het niet willen, het is dat de klanten het niet doen.(tenzij je voor wat colo of andere kleine oplossingen kiest ben je over het algemeen zelf verantwoordelijk voor je internetverbinding in het DC)
Het aankopen heeft ook wel een nadeel.

Je probeert als datacenter net meerdere backbones te hebben, meerdere providers, via meerdere fibre's, om redundant te kunnen zijn.

Valt provider A uit dan gaat alles over provider B en wordt alles automatisch gerouteerd via BGP.

Als je echter een DDOS oplossing aankoopt, dan betekent dat dat je al je traffiek via die oplossing (bv. NAWAS, laat ons het een provider noemen) laat lopen, en je dus opeens een single point of failure hebt. Plus, dat het ook heel duur wordt om al die traffiek via daar te laten lopen.

Meestal gebruikt men dus toch gewoon de verschillende providers, en laat men het verkeer enkel via een oplossing a la NAWAS lopen als men op dat moment slachtoffer is van een DDOS attack, maar dan moet er ook wel een aanpassing gebeuren om op dat moment de routering via die oplossing te laten lopen.
Niet alleen wie heeft de grootste, maar wie zit er bovenop. Ook Akamai en Cloudflare willen en kunnen geen 100% uptime bieden tegen geen enkel tarief. De slimst DDoS aanvallen maken gebruik van verschillende req's en lopen over zoveel mogelijk verschillende backbones.
In de basis is een DDOS gewoon een gevecht van "wie heeft de grootste". Van zodra de aanvaller voldoende resources heeft om jouw systemen te verzadigen heb je er last van. De enige manier om een DDOS goed tegen te houden is dus meer resources ter beschikking hebben. En dat is echt niet eenvoudig en niet goedkoop.
Je kan het als sector ook anders bekijken (en daar zit veel meer toekomst in en daar zijn ook een heleboel mensen mee bezig). De gemiddelde aanvaller heeft namelijk helemaal niet zoveel resources.

Alleen door amplification attacks etc krijg je nog de grotere DDOS'en, als je de amplication servers beter weet te beschermen dan gooi je de strijd tegen DDOS'ers weer jaren terug in de tijd.

De directe resources van menig aanvaller / botnet zijn van een totaal andere orde van grootte als deze amplification attacks en de directe resources zijn vrijwel altijd tegen te houden.
Een datacenter huisvest jouw apparatuur en levert kabels naar het internet. Je moet dan zelf of via iemand anders een verbinding opzetten naar andere edge routers. Dat een datacenter een rol zou kunnen spelen in DDOS verkeer filteren is kort door se bocht. Software en protocollen dat uitgebuit kan worden tegen lage kosten is waar men verandering aan moet brengen. DoH zal wellicht een stap die richting zijn. Op het moment met amplified DNS achtige toestanden hebben alleen nog grotere bedrijven met dure anti DDOS filtering bestaansrecht
Het punt is dat dit is voor inkomend en uitgaand verkeer. Als ik vanaf servers bij bepaalde datacenters een aanval uitvoer, wordt mijn server afgesloten en geïsoleerd. Dit is vaak niet het geval. En stel je voor: De aanval komt van klanten van ISPs, dan vind ik dat zij de verbinding van de klant moeten isoleren/uitschakelen.

Is dit kort de bocht? Nee. Het is nou eenmaal zo dat weinig ISPs en datacenters investeren in dit soort oplossingen. Ik zeg dus ook niet dat het in een paar tellen is opgelost. Dit zal een flink traject worden, omdat je packets moet whitelisten of blacklisten. Het is een vak apart. De bescherming moet aansluiten op de diensten. En ja: Veel bedrijven hebben extra verbindingen naar datacenters met Anti-DDoS oplossingen om zo de aanval te stoppen.

[Reactie gewijzigd door Toni90 op 4 september 2020 15:08]

Een DDOS komt echter steeds vaker vanaf een zombie netwerk die bestaat uit PC's van allerhande volk wereldwijd. En daar zit direct je probleem. Er is niet één bron die 10Gb aan DDOS verkeer veroorzaakt, het zijn 10.000 bronnen die 1Mb aan verkeer veroorzaken. Die vallen bij hun provider niet op en door de veelheid aan source adressen zijn die amper te filteren aan de ontvangende kant. Wat je kan doen is op basis van Geo-IP informatie bepaalde landen gaan blokkeren om de stroom data te reduceren.

Als provider in de gaten houden hoeveel "ACK's" er nog moeten komen heeft geen zin omdat UDP verkeer geen "ACK" terug geeft. En dat verbieden wordt nog een tikkie lastig denk ik, alhoewel de DNS servers het dan ook gelijk wat rustiger hebben :)
Zou het niet gewoon beter zijn om UDP verkeer compleet uit faseren? UDP is echt een bron van security leaks en ook DDOS aanvallen. TCP heeft wat overhead, maar weegt dit nog wel op tegen de nadelen?
Beiden hebben specifieke voor en nadelen en daarom worden beiden gebruikt, je kunt niet even UDP uitfaseren en vervangen door TCP wat bijvoorbeeld veel langzamer is omdat je eerst een connectie moet opzetten voordat je een packet kunt verzenden.
Met UDP zelf is niets mis.
Hooguit is het gebruik in sommige gevallen twijfelachtig.

Als je simpelweg een antwoord terug wilt sturen dan is tcp beter. Maar voor multicast / veel streaming etc wil je helemaal geen antwoord terug sturen en is UDP juist perfect.
Wat je mist in het plaatje is dat het datacenter in beginsel alleen de fysieke fiber kabel van klant naar provider levert. Daar heeft het datacenter buiten het fysiek aspect niks op in te brengen. Er zijn ook datacenters waarbij je gebruik kan maken van de switching/routing van het datacenter zelf dan valt dit meer onder ISP/MSP dan datacenter diensten. De ISP/MSP/Hoster you name it zou dus anti-ddos erbij moeten hebben om te waarborgen dat je niks illegaals doet zoals een (D)DOS aanval.

Het vervelende is alleen dat er weinig verschil zit tussen een normale request of reply sturen en eentje naar een aangevallen server tenzij het er "heel veel" zijn. Ook heb je in principe "vrij" internet en niet alleen destination port 443. Om het nog leuker te maken wisselt het per land in hoeverre iets illegaal is en/of gestopt moet worden. Als Nederlanders aangevallen worden door misbruikte thuis verbindingen in Frankrijk en Duitsland wordt lastig te blokkeren met een Nederlandse wet, dus dat wordt wassen.
Een aanval stop je niet als die maar groot genoeg is, men noemt het Anti-DDos omdat er tot nu toe nog geen aanval is geweest die groter is dan je pijp.

Ergens moet de klant op internet jouw diensten kunnen bereiken en via die weg kunnen DDOS,ers het ook, ze versperren gewoon de "toegangsweg" zodat de gewone klant er niet meer doorkomt.

Je kan gewoon blokkeren of whatever je wil, maar er is altijd een apparaat wat het moet verwerken.

[Reactie gewijzigd door mr_evil08 op 4 september 2020 21:35]

Wat je vraagt is dat datacenters oplossingen bieden die al bestaan. Dat het niet naar je zin is wie het levert en je een mening hebt wie het dan wel moet leveren is geen echte oplossing tegen ddos. Het is misschien een aanvulling.

[Reactie gewijzigd door kodak op 4 september 2020 18:18]

Het wordt eens tijd dat Nederlandse datacenters ook eens een sterke infrastructuur gaan opzetten. Iedere keer die besparingen op beveiliging.. Anti-DDoS hoort onderdeel te zijn van de infrastructuur in plaats van een reactieve oplossing, zoals NaWas. NaWas is leuk voor kleinere ondernemingen, maar het wordt pas tijdens of na de aanval geactiveerd.
Wel 'datacenter' (weet niet goed wat je daarmee bedoelt) bied dat niets als optie aan? De providers die wiuj gebruiker wel en voor sommige service gebruiken we dat wel en voor andere niet.

Jij doet het voorkomen alsof je het niet kopen kan, dat is gewoon net waar. De klanten kopen het niet en koemn daarmee af en toe in de problemen. Als gebruiker zie je dat en bepaal je waar je wel en niet zaken mee wil doen. Simpel toch.
Wat je hier doet is de wegbeheerder de schuld geven dat het distributiecentrum jouw vrachtwagen te vol laad terwijl de wegbeheerder daar helemaal niets mee nodig heeft. (Ik kan het even niet simpeler uitleggen)
Weet iemand wat de oorzaak is van de groter wordende ddos aanvallen?
Zijn de botnets groter, is het makkelijker geworden veel data te versturen door krachtigere systemen of worden er bijvoorbeeld dedicated clusters opgebouwd voor ddos aanvallen?
Dat laatste lijkt mij niet, want kostbaar en makkelijk op te sporen.

Er zijn online gewoon softwarepakketten te koop waarmee je je eigen DDOS aanval in elkaar kunt draaien.
En als je malware kunt verspreiden om een botnet op te zetten, dan kom je een heel eind.

Wellicht wat gechargeerd, maar het is gewoon bijna kinderspel om een DDOS aanval op te zetten, omdat malware verspreiden ook nog steeds makkelijk is.
De mens is de zwakste schakel in elk netwerk...
Het ergste is dat je eigenlijk niet eens voor de tools hoef te betalen.

Iedereen kent JMeter als een goeie test tool voor aller zaken, maar je kan dat zo veranderen naar DDOS tool zonder all te veel kennis hoeven te hebben.
DoS is geen DDoS. Ja met JMeter kan je 1000 requests/seconde doen, maar het verkeer gaat nog steeds over jouw ene internetverbinding. Bij een DDoS (de extra D staat voor distributed) heb je zeg maar 1000 PCs (en internetverbindingen) die elke seconde 1 request doen. Eindstand voor de serverzijde is effectief hetzelfde, maar de load op elke PC is minimaal. En dus valt het niet op dat je PC lekker malware loopt te draaien.
Dat, maar veel belangrijker is dat het afslaan van een Distributed DoS aanval lastig is omdat niet duidelijk is of een request van een host valide is zonder naar het request te kijken. Als één host vervelend aan het doen is / abnormaal gedrag vertoont kan je die (tijdelijk) negeren.
De tool op zich is nooit het probleem, het is altijd de mens :)

JMeter is leuk en je kan een simpele site er mee onderuit trekken (en DOS). Maar het nadeel is, dat je zonder problemen te herleiden bent.

Om JMeter als DDOS tool in te zetten, is JMeter zelf een te zwaar programma. Beter is wat kleine programma's te gebruiken die op heel veel devices kunnen draaien. Zoals iot, routers, printers, TV's etc

Soms kan het ook onbewust gebeuren door een bug in een app met heel veel gebruikers.
Ik snap niet dat men hier niet actiever en strenger tegen optreed. Uiteraard is het lastig omdat valide DNS servers deze aanvallen 'vergroten' maar kom op zeg.. Zet de DNS servers op de zwarte lijst tot ze de boel beter op orde hebben, zij kunnen immers best zien wie het return adres spooft (het komt uit hun eigen netwerk, anders waarom accepteer je verkeer het?) of maatregelen treffen dat bepaalde request 'rate-limited' worden.

Tuurlijk weet ik dat er nog veel meer DDOS aanval mogelijkheden zijn maar het gebrek aan verbeteringen is gewoon extreem langzaam te noemen en het probleem wordt duidelijk steeds groter. DNSSEC brengt blijkbaar ook geen verbeteringen (sterker nog, blijkbaar is DNSSEC geschikt om nog grotere aanvallen uit te voeren).

Ik weet nog dat vroeger xs4all internet lijnen volledig werden afgesloten zodra er ook maar een kleine indicatie van malware gevonden werden. De gebruiker werd geforceerd om actie te ondernemen omdat men anders helemaal het internet niet meer op kwam met uitzondering van een paar sites waar je een virusscanner kon downloaden.
Je hebt toch geen DNS servers nodig om een DDoS op een voorafbepaald doelwit af te vuren? Het IP geef je van tevoren mee. En als het target regelmatig zou wisselen van IP dan kun je af met 1 client die een nslookup periodiek doet en deze verspreid onder de bots.
Het wordt niet in dit artikel vermeld (wel eerdere artikelen) maar het gaat hier om een dns-amplication-aanval en een ldap-aanval. Maar de DNS servers zijn natuurlijk enkel als voorbeeld.
nieuws: Ddos-aanvallen treffen verschillende Nederlandse providers - update 3
Old Protocols, New Exploits: LDAP Unwittingly Serves DDoS Amplification Attacks
Dus wat je eigenlijk voorstelt is dat (DNS in dit voorbeeld) servers die low level protocollen gebruiken welke vatbaar zijn voor amplification op een zwarte lijst komen?
Alleen als ze vreemd gedrag vertonen verlaagt bijvoorbeeld hun reputatie (en worden ze dus gerate-limit).
We doen dit al met bijvoorbeeld e-mail servers. Die verlagen in reputatie wanneer er spam over wordt gezonden. Scores kun je hier checken: Sender Score
, Google doet het ook en Microsoft ook.

Dit is echter allemaal enkel e-mail. Ik vraag mij af waarom we dit niet breder trekken.
Ik kan in mijn firewall (OPNSense) binnen 5 minuten alle landen behalve Nederland uitsluiten. Dit moeten ISP's toch ook snel kunnen regelen?
Ik heb een TeamSpeak3 server draaien thuis op mijn home-server. Die wordt ook wekelijks meerdere malen geDDoS'ed. Ik snap alleen niet wat ze er mee winnen ... Dus mij lijkt het gewoon dat DDoS toegankelijker wordt voor "Scriptkiddies"
Ik snap alleen niet wat ze er mee winnen
Ik wel: Jij kunt niet communiceren met je teammaten, dus kun je ook niet effectief met je team CS:GO spelen. Daarnaast speelt een afpersingsrol ook mee: Als jij niet betaalt, dan DDoS je de server toch gewoon? Simpele maffia praktijken, maar dan digitaal.
Maar dat is het nou net, ik krijg geen "afpersingsbericht", het lijkt er mij op dat ze eerder de gebruikers van de server willen weglokken naar hun eigen server? Want telkens het voorvalt blijkt er net iemand met de server te zijn verbonden met nickname "admin" (of iets dergelijks), die iedereen een bericht stuurt dat de server zo meteen zal "herstarten" en ze op een ander IP moeten verbinden, daarna start de DDoS waardoor mijn internet weg valt.

Op mijn server zitten maximaal 10 gebruikers en allemaal zijn ze slim genoeg om niet met dat andere IP te verbinden, maar gewoon geduldig afwachten tot mijn internet herstelt. Dus ... wat winnen ze daar dan uit?
Ff uit de duim, maar wellicht hosten ze een aangepaste server die de clients weet te besmetten.
Het is een normale business waar je gewoon externe diensten voor aan kunt schaffen. Vaak met een gratis 'trail'. Voorbeeld: https://www.loadview-testing.com/
De oorzaak is waarschijnlijk meer aanbod dan vraag in slachtoffers wat betreft bots door ongepatchte IOT aperaten en routers.

Er zijn een aantal dingen namelijk veranderd in de afgelopen met name 10 jaar:

Waar je vroeger op Linux de Tools had moest je ze nog wel onder Unix compileren I.v.m Chrootjails. Daar hingen ze dan per Jail een gespooft Mac + ip adres aan die via een proxyserver jail naar buiten ging. Met een script werden ze gedupliceerd en ook weer vernietigd. Oftewel een pc bestond en het volgend moment was hij verdwenen.
Om zulke dingen te kunnen doen moest je goed kunnen programeren: (je eigen kernels bouwen + compileren voor je host en je jails en dan ook nog beveiliging.

Toen kwam er alleen LXC waar docker enz. Gebruik van maken. Je eigen kernels enz. Compileren hoeft al niet eens meer, die trekken ze ook zo van de zwarte markt af. Hoe beter LXC werd hoe lager de prijs van Bornets is geworden.

Daarnaast is de beveiliging van embedded devices (die ook aan het internet hangen) een ramp. En dat zijn er ook steeds meer. Om resources te besparen is (vooral in het begin) bij bijvoorbeeld embedded aperaten de beveiliging er heel goed uitgesloopt/vervangen. Dit brengt heel veel narigheid met zich mee.

+ De kennis bijvoorbeeld: backtrack/Kali Linux is ook gewoon algemener.

[Reactie gewijzigd door rob12424 op 4 september 2020 17:19]

Weet iemand wat de oorzaak is van de groter wordende ddos aanvallen?
Zijn de botnets groter, is het makkelijker geworden veel data te versturen door krachtigere systemen of worden er bijvoorbeeld dedicated clusters opgebouwd voor ddos aanvallen?
Voornamelijk het eerste en het derde, soort van.

Voor nummer één moet je kijken naar de toename aan allerlei IoT devices en hoe enorm hackbaar die keer op keer blijken. Zolang het maar een internetverbinding heeft, kan het in principe gebruikt worden om aan een DDoS mee te doen.

Het venijnige is namelijk dat nummer twee; een betere verbinding of een krachtiger systeem, er eigenlijk niet zoveel toe doet. Hoewel het natuurlijk zo is dat voornamelijk thuisgebruikers steeds betere verbindingen beschikbaar krijgen en afnemen, waardoor systemen die aan een botnet hangen steeds meer data zouden kunnen verzetten, is dat niet hoe echt geoliede DDoS aanvallen werken. Die werken via systemen als DNS reflection aanvallen waarbij ze zelf niet zo veel verkeer hoeven te genereren, om een enorme bult verkeer ergens anders heen gestuurd te krijgen.

Nummer drie is niet aan de orde mbt inkopen van capaciteit op bijv. een cloud, want dat is te makkelijk neer te laten halen. Maar het is wel een gegeven dat je op de zwarte markt gewoon kant en klare botnets kunt inhuren om DDoS aanvallen mee te plegen.

Vandaar een combinatie van #1 en #3.
Wereldwijd steeds meer mensen online via snellere verbindingen maakt het makkelijker om meer botnets te plaatsen over een steeds groter gebied (wat de opsporing weer moeilijker maakt).

Ik sprak pas een paar collega's in India en daar is de laatste maanden als een gek heel veel vaste breedband naar woningen aangelegd omdat mensen thuis moeten werken. Nog niet zo lang geleden hadden slechts enkelen daar thuis een snelle verbinding. En dat zal in andere landen niet anders zijn gegaan.
Botnets worden groter, klant internet verbindingen(uplink) worden steeds meer, ik had laatst al een video recorder wat gehacked was(linux os ja die kunnen ook gehacked worden), natuurlijk dat ding werd al jaren niet meer geupdate (fabrikant falliet of support gewoon niet meer) dus dat ding hangt op gegeven moment bloot aan het internet want het is toch wel handig om de beelden te zien op je smartphone...

Die recorder zat ook in een botnet, we zagen vreemd verkeer door de firrewall logs.

Je ziet steeds meer prulletjes op het internet, dus helemaal niet gek alles moet tegenwoordig aan het internet van pleeborstel tot aan je eigen auto omdat het "handig" is en de meeste fabrikanten stoppen al na 2-3 jaar met security updates.

[Reactie gewijzigd door mr_evil08 op 4 september 2020 21:43]

Sowieso is het veel makkelijker geworden veel data te versturen, als ik zie dat een digitale foto nu makkelijk de 14 Mb aantikt, dan is dat al bijna 20 3 1/2 inch floppy's en ik verzend hem gewoon even vanaf mijn telefoon...

Alleen ook simpelweg het feit dat internet met IoT maar ook steeds verdergaande automatisering en opkomend afrika/azie steeds meer apparaten gaat omvatten en al die apparaten zijn mogelijke onderdelen van een botnet.
Ik vraag me af en toe nog hoe het zit met automatische tijdelijke (eventueel steeds langer durende) blokkades van IP-addressen, wordt dit nog gedaan, of werkt dit vrijwel niet doordat aanvallers gewoon teveel IP-adressen beschikbaar hebben die ze steeds pas na een blokkade gebruiken?

En worden er geen lijsten gemaakt van IP-addressen die bekend te zijn gebruikt in een aanval, die elke host kan gebruiken om zichzelf te beschermen en om de eigenaar te melden dat zijn systeem mogelijk misbruikt wordt?

Komen de meeste IP-adressen uit het buitenland (en een specifieke land of een bepaalde foute provider die steeds ip adressen aan slechte mensen geeft) of zijn er net zoveel afkomstig van het binnenland?
Wat ik dacht dat misschien een idee was om een groter deel van de bandbreedte alleen bruikbaar is voor binnenlandse connecties en een kleiner deel voor buitenland.

Sinds glasvezel steeds meer wordt toegepast, zou wel ik verwachten dat overgenomen systemen meer bandbreedte hebben.

[Reactie gewijzigd door TweetCu op 4 september 2020 15:35]

Of er meer bandbreedte beschikbaar is in het binnenland i.p.v. buitenland hangt helemaal van je provider af. Zo heeft Liberty Global bijvoorbeeld een eigen Europese backbone waar al hun affiliates op zijn aangesloten. Dus om van Polen naar Nederland te gaan ga je over dezelfde backbone als dat je binnen Polen of binnen Nederland blijft. Andere internatonale providers zullen ook zoiets hebben (werd het T-mobile verkeer een tijdje terug niet via Duitsland gerouteerd?)
Zo simpel is dat niet, Probleem waar je mee zit is dat er ook veel publieke ip,s zijn waar meerdere klanten achter zitten zoals mobiel netwerken vaak gebeurd, een ban betekend een rits klanten meteen een probleem hebben.

En ook zijn er genoeg providers wat dynamische ip,s gebruiken en na x uur/dagen een nieuw ip krijgen...

Ik werk op een school en we moeten af en toe nog partij x van lesmateriaal bellen om 1 van de vele WAN ip,s wat wij hebben uit quarantine te halen, ondanks goede firrewalls gebeurd het toch nog heel incidenteel dat er iemand rotzooit op internet.

Als men tijdelijke Ban,s doet is dat opzich prima ipv permanent.

[Reactie gewijzigd door mr_evil08 op 4 september 2020 22:07]

Dit wordt nog steeds gedaan, het is alleen minder effectief dan vroeger door de brede verspreiding van sommige botnets. Bandbreedte is overigens niet het grootste probleem, de hoeveelheid requests (al dan niet valide) zijn het probleem.
Mmm, dacht ik wel. Lastig om ook iets aan te doen, want je met wilt geen slechte naam krijgen doordat je erg vaak je echte gebruikers blokkeert.

Beste dan denk ik om zoveel mogelijk te limiteren wie en waar met je kan verbinden (en hoe vaak) en een (en een paar) aparte domeinen te hebben en spreiden mocht er 1 uit zijn.

Weet niet of zoiets werkt, maar misschien een idee om apart ip-adres en aparte servers die alleen connecties per land (of steeds selectie aan landen) of provincie toelaten?
Die servers praten dan met elkaar via een backbone en die backbone kan alleen met ingestelde netwerken praten.

Zal vast allemaal wel bedacht zijn en een betere oplossing uitgewerkt...

[Reactie gewijzigd door TweetCu op 4 september 2020 16:46]

In het verleden heb ik zelf de DDOS aanvallen een beetje kunnen afslaan of de impact ervan kunnen verminderen door mijn bezoekers een beetje te tracken. IP adressen loggen, aantal keren en tijdstippen dat ze verbinding gemaakt hebben.

Als je dan aangevallen wordt, de niet bekende IP adressen bij binnenkomst direct droppen. Dit ook op HTTPD niveau en niet later pas voor zo min mogelijk overhead.

Meerdere aanpakken geprobeerd, want ik was vrij regelmatig (bijna maandelijks wel) doelwit van een DDOS, en dat was ~10 jaar geleden al. Dit was niet perfect, maar in veel gevallen werkt het best goed en je vaste gebruikers hebben vaak nergens last van. Alleen als het dagen lang aanhoud of de download van je server weet vol te proppen kan je er niet altijd wat aan doen zonder hulp van derden of je hostings provider.
Alsof staatshackers hun naam aan een afpersingsmail zouden verbinden. Daar hebben ze waarschijnlijk genoeg criminele vrienden voor.
Die zullen wel niet ondertekenen met 'Met vriendelijke groet, de Noord-Koreaanse staatshackdienst'.
Echter verdenken de veiligheidsdiensten dat verscheidene 'criminele' groeperingen gesponsord zijn door een staat. De vraag om losgeld is dan enkel maar een poging tot cover-up.
in het referentie bericht staat dat de DDOS bij tweakers na 30 minuten automatisch stopte.
heeft tweakers eigenlijk nog meer actie ondernomen om minder kwetsbaar te zijn voor DDOS?
....met pieken van het netwerkverkeer van 250Gbit/s. Het gaat om udp flood-aanvallen die zich de dns-infrastructuur richten. In 2019 bereikte de grootste in Nederland waargenomen ddos-aanval een piekverkeer van 124Gbit/s. In 2018 was dat 68Gbit/s.
Een soort wet-van-moore bits? :+
De volgende wordt dus 500 Gbit/s. ;-)
Volgens mij is dit gewoon een cover up. Ik denk dat een buitenlandse mogendheid aan het testen is hoe makkelijke ze hier de infrastructuur kunnen platleggen. Er zit een bepaalde structuur achter deze aanvallen, ze gaan iedereen af.
Ohja, deze post krijgt plusjes terwijl die van mij bij het vorige artikel over de ddos perikelen minnetjes farmde! Je zou er conspiracy theorien van gaan bedenken!
En wat stond er dan in die mails? Wat zijn de eisen? Want die zijn er toch als het om afpersen gaat.
Dat in elk huis een foto komt te hangen van Kim Jong-un
Nee, dat zou gewoon verteld worden.

Ik gok eerder dat in elk huis een foto moet komen te hangen van Donald Trump...
Er wordt door de NCSC aangegeven dat er afpersingsmails zijn ontvangen. Zou dit alleen een actie zijn richting Nederlandse bedrijven of zou het Europa en/of wereldwijd een actie zijn.

Wanneer het een actie is tegen Nederlandse bedrijven dan zie ik een nieuwe versie van Crimediggers aankomen ;) plan: Crimediggers #3 komt eraan! Meld je nu aan voor een exclusief kick-off ...
Interessante manier van zeggen Noord Korea, dit is namelijk de enige state actor die dmv hacking geld probeert binnen te halen. Zo hebben ze Bangladese bank ~80 miljoen afhandig gemaakt.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True