Providers zijn maandag opnieuw getroffen door ddos-aanvallen

Opnieuw zijn verschillende providers slachtoffer geworden van ddos-aanvallen. Maandagavond werden Tweak en Freedom Internet getroffen door een aanval die soms wel tot 100Gbit/s kwam. Ook hostingprovider TransIP werd slachtoffer.

Bij glasvezelprovider Tweak begon de aanval op maandag al. Die werd tijdelijk afgeslagen, maar de aanval ging in de avond weer verder, meldt de provider op Twitter. Het is niet bekend hoe groot de omvang van de aanval precies was. Inmiddels zou internet bij de provider weer werken.

Ook de nieuwe provider Freedom Internet werd maandagavond getroffen. Het ging om een aanval op de dns-servers van het bedrijf. Daardoor werkte de verbinding van klanten niet. Wel konden ze handmatig hun dns-instellingen veranderen naar een alternatieve resolver waardoor de verbinding wel weer werkte. Freedom heeft later op de avond een alternatieve dns-server beschikbaar gemaakt. De provider waarschuwt dat ook dns-over-https en dns-over-tls niet meer werkten.

Naast de providers werd ook hostingbedrijf TransIP slachtoffer van een aanval. Het bedrijf schrijft dat de aanval in de avond begon. Daardoor waren de website en het controlepaneel tijdelijk niet beschikbaar. Ook waarschuwt TransIP dat er mogelijk time-outs waren bij domeinnamen, hostingpakketten en vps-diensten. De problemen waren iets na middernacht opgelost.

De laatste dagen zijn veel providers getroffen door aanvallen. Die lijken zich voornamelijk op de dns-servers te richten. Het is niet duidelijk of het om dezelfde aanvaller of groep aanvallers gaat, maar de modus operandi lijkt bij de meeste aanvallen hetzelfde. Ook bij T-Mobile en KPN vonden internetstoringen plaats, maar die hadden volgens de bedrijven niets te maken met ddos-aanvallen.

IT-banen

Reacties (116)

RemiR 1 december 2020 11:20

En vergeet de DDOS op TRUE niet gisteren avond waardoor ook tweakers soms niet bereikbaar was. Onderstaande email kregen klanten op 01-12-2020 om 10:32

In de avond van 30 november 2020 kan het zijn dat uw server(s) een afwisselde bereikbaarheid hebben ervaren. Dit heeft zich mogelijk voorgedaan tussen 22.24 uur tot en met 23.15 uur.

De oorzaak van de mogelijk afwisselde bereikbaarheid is te verklaren doordat er gisteravond een uitzonderlijk grote DDoS-aanval op een klant van True plaatsvond. Door de grote hoeveelheid van het kwaadwillende verkeer waren onderdelen van het True netwerk initieel kortstondig slecht bereikbaar waardoor het identificeren van het probleem lastig was. Uit het onderzoek dat direct gestart werd kwam naar voren dat de aanval op één specifieke klant gericht was. Nadat het verkeer van deze klant door de Nationale DDoS Wasstraat (NaWas) geleid is was het netwerk van True weer volledig beschikbaar en functioneel.

[Reactie gewijzigd door RemiR op 22 juli 2024 14:00]

Auteur

TijsZonderH Nieuwscoördinator @RemiR • 1 december 2020 11:25

Waar lees je dit? Ik had True gebeld voor meer info, maar die vermoedden dat ik zelf de ddos'er was en wilden me niets zeggen lol

Henkje.doc @TijsZonderH • 1 december 2020 11:58

Niet stiekem je eigen nieuws maken @TijsZonderH

Zonder gekheid. Kwam er gisteravond toevallig achter en volgens mij nog wat meer users samen met mij op Discord.

Spijtig dat het tegenwoordig met regelmaat terugkomt. Veroorzaakt naast de overlast altijd een bak extra werk voor ons ICT'ers waar we niet altijd op zitten te wachten.

nullr0ute @Henkje.doc • 1 december 2020 14:01

True heeft dus een mail gestuurd naar hun klanten. Het stond ook op hun statuspagina

eddie4nl @nullr0ute • 1 december 2020 17:09

Hi, Tijs jij bent niet gemachtigd om verzoeken aan True te doen. Dus uiteraard krijg je dan geen klant specifieke informatie van ons. Als security redacteur had ik juist verwacht dat je hier erg blij om zou zijn.

[Reactie gewijzigd door eddie4nl op 22 juli 2024 14:00]

job_h

@eddie4nl • 1 december 2020 22:29

Er is nog wel een verschil tussen "geen klant specifieke informatie van ons" en "wilden me niets zeggen".

Wellicht lees ik Tijs zijn bericht niet helemaal correct, maar het klinkt alsof True überhaubt niet wilde ontkennen/bevestigen of er een DDOS aanval op hun netwerk geweest was. In dat geval vind ik de geheimzinnige reactie wel wat overdreven

Bulkzooi @eddie4nl • 1 december 2020 20:25

lol, Staatsgeheim of zo? Wat zou je zeggen van mensen informeren? Straks kan niemand meer navigeren, googlen, facebooken, whatsappen. Weet je wat dat kost? Mensen moeten zich kunnen voorbereiden, is namelijk kritieke infrastructuur voor ons.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

eddie4nl @Bulkzooi • 1 december 2020 21:08

We hebben een publieke status pagina. Maar wij gaan geen klant specifieke details delen zonder dat deze persoon door de klant is gemachtigd.

Scriptkid @Henkje.doc • 1 december 2020 12:35

Volgensmij is de reason nog niet bekend,

Men doet dit niet voor de lol dus was die een afleidings manouvre en heeft er binnen kort weer iemand een crypto of zijn dit de stress tests van wat het botnetwerk aan kan en krijg je binnenkort pas de echte aanval.

vervelende met een DDOS is dat hij vaak niet wordt opgeclaimed met de redenen er achter

Verwijderd @TijsZonderH • 1 december 2020 11:32

https://status.true.nl/ Hier staat de melding ook, ik kon gister ook mn notificaties niet laden, en of GoT

Edit : Momentje hier bewijs https://ibb.co/ZHkPDMC foto

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:00]

MrFrans @Verwijderd • 1 december 2020 11:39

Het staat er al niet meer.

ImNotnoa @MrFrans • 1 december 2020 11:48

Een plaatje zegt meer dan 1000 woorden:

http://smokeping.serveriu...i?target=netherlands.True

Edit:

Puur aan de grafiekjes te zien heeft de scriptkiddie nadat hij van tafel mocht na het avondeten eerst Hostnet even gepest, toen hij klaar was met mama helpen met de afwas was Solcon aan de beurt. Nadat dat begon te vervelen heeft hij het nog even bij Transip en True geprobeerd

[Reactie gewijzigd door ImNotnoa op 22 juli 2024 14:00]

Verwijderd @MrFrans • 1 december 2020 12:00

Momentje hier bewijs https://ibb.co/ZHkPDMC <foto

theduke1989 @TijsZonderH • 1 december 2020 11:45

Moet je nagaan hoe true omgaat met hun vaste klanten.

Bender @theduke1989 • 1 december 2020 12:37

Waarom?
Ik denk niet dat ieder persoon welke bij Tweakers werkt de rechten heeft om informatie bij True op te vragen, ik mag aannemen dat daar dedicated personen voor zijn.

theobril @Bender • 1 december 2020 12:48

"Ik denk niet dat ieder persoon welke bij Tweakers werkt de rechten heeft om informatie bij True op te vragen, ik mag aannemen dat daar dedicated personen voor zijn"
Ik denk dat iedereen het recht heeft om informatie op te vragen. Daarnaast heeft True het recht om die informatie al dan niet te geven, als niet vantevoren is afgesproken dat ze dat moeten doen.

dasiro @theobril • 1 december 2020 13:00

Ik denk dat iedereen het recht heeft om informatie op te vragen. Daarnaast heeft True het recht om die informatie al dan niet te geven, als niet vantevoren is afgesproken dat ze dat moeten doen.

bedrijven werken voor bepaalde systemen met authorized/verified callers. Zo kan een nieuwe collega van mij niet zomaar nieuwe firewalls laten komen als we het bedrijf in kwestie niet laten weten dat hij dat mag doen (en omgedraaid natuurlijk ook ex-collega's laten schrappen).
Ik kan me goed inbeelden dat zelfs als hij met z'n kop op de livestream op het tweakers youtube-kanaal zou broadcasten tijdens de call alsnog geen antwoord zou krijgen als er in de SLA staat dat enkel Arnoud dit soort info mag opvragen.

Bender @dasiro • 1 december 2020 15:04

Een ander praktisch voorbeeld wat niet eens security focussed is;

Bij Tweakers werken 81 mensen (volgens LinkedIn), stel die 81 mensen gaan naar True bellen omdat de website plat ligt ga je de klantenservice overbelasten terwijl ze op dat moment juist iets beters te doen hebben.
(en dat ook terwijl in veel gevallen intern al bekend is dat er een probleem is, mogelijk zelfs wat het probleem is)

Bender @theobril • 1 december 2020 15:02

Je benaderd mijn reactie via de andere wijze, dat mag, maar wil nog steeds niet zeggen dat het wel mag (ook als is dat niet wat ik bedoel).

theobril @Bender • 1 december 2020 16:23

Beste Bender,

Sorry, je hebt gelijk, ik heb niet goed gelezen. Er staat "de rechten" en niet "het recht", een essentieel verschil in dezen. My bad.

theduke1989 @Bender • 1 december 2020 12:45

Maar dat is dus niet het geval van jouw d dedicated support

Bender @theduke1989 • 1 december 2020 15:02

Ik heb geen idee wat je bedoeld met "jouw d dedicated support"?

Oon

@theduke1989 • 1 december 2020 14:06

Maar Tijs is geen klant bij True, althans niet vanuit Tweakers. Tweakers zelf is klant, en True zal een overeenkomst hebben waarin staat wie informatie mag opvragen voor Tweakers, maar meestal gaat dit alleen om een financiële en/of technische contactpersoon, niet iedereen die bij een bedrijf werkt.

True heeft dus geen enkele reden om zomaar meer informatie te geven dan op hun eigen website staat.

wifikabelhuren @theduke1989 • 1 december 2020 11:48

Dat krijg je met gratis hosting en een klein true logo op de homepage.

Nox @TijsZonderH • 1 december 2020 11:58

Haha, ergens wel goed dat ze niet zomaar alles weg geven. Ik heb gisteravond wat problemen gehad via Ziggo. Mijn router kon het domein niet eens resolven, ik vermoed dat met name de nameservers van TRUE werden aangevallen en niet het hostingplatform zelf. Via VPN lukte het weer wel met een andere DNS. Maar ook via cloudflare, quad9 en google geprobeerd: o.a. cloudflare gaf als antwoord op de query het IP van de domain nameserver van TRUE dus iets ging er niet helemaal lekker. Wat precies weet ik ook niet, maar zolang je DNS werkte ging tweakers prima. Ik zag echter niks op een Twitter verschijnen of op GoT zelf dus ging eerder uit van een lokaal probleem in beginsel.

Verwijderd @TijsZonderH • 1 december 2020 12:00

Momentje hier bewijs https://ibb.co/ZHkPDMC foto

Cybertinus994 @TijsZonderH • 1 december 2020 13:02

De quote die RemiR geplaatst heeft is een mail die True naar hun klanten gestuurd heeft.

rjberg @TijsZonderH • 1 december 2020 11:34

Webshop Megekko heeft hiervan ook last gehad:.
bron:
https://www.megekko.nl/info/RTX-3080

Tim2929 @RemiR • 1 december 2020 11:24

Dit was dus de reden dat ik gisteren avond mijn berichten niet kon bekijken op Tweakers, was echter al na 5 minuten verholpen

ToolkiT @Tim2929 • 1 december 2020 12:48

Ik had het een paar minuten geleden ook.. maar gelukkig was het maar een heel korte storing..

Tim2929 @ToolkiT • 1 december 2020 13:15

Ja, had ik net ook weer last van

. Hoor tijdens werktijd ook eigenlijk niet op Tweakers rond te struinen

bigoldie @RemiR • 1 december 2020 11:33

Ik merkte gisteravond dat er ook een behoorlijke vertraging was. Soms duurde het een minuut voordat ik op de pricewatch kwam. Toen ik dit nieuwsartikel las dacht ik dat er wel een vermelding over tweakers zou zijn.

Snow_King

@RemiR • 1 december 2020 12:18

Ik werk bij een andere grote hosting partij in Nederland en wij kregen ook een DDoS van ongeveer 75Gbit te verwerken in de afgelopen dagen. Meerdere keren achter elkaar.

Bulkzooi @Snow_King • 1 december 2020 17:43

welke?

Snow_King

@Bulkzooi • 1 december 2020 19:03

Dat doet er niet direct toe

Deel ik liever niet.

Bulkzooi @Snow_King • 1 december 2020 19:48

Even goede vrienden... Ik ben op zoek naar het stukje gedeelde infrastructuur maar ik zal zelf ff kijken. Ik snap het probleem niet maar ja, iedereen heeft redenen om dingen, hoe nietszeggend ook, te verbergen. Zie hier, crisis.

Edit: toch maar ff gelezen maar zie dat het #DNS, incl. dns-over-https en dns-over-tls, en #Hosting betreft.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

Rolucious 1 december 2020 11:21

Ik vraag me altijd af, waarom doen mensen dit?
Wordt er dan losgeld gevraagd, of is het een misselijkmakend concurrentie spelletje wat er gespeeld wordt of wellicht wat anders?

Robbierut4 @Rolucious • 1 december 2020 11:26

Verschillende redenen:
1. script kiddies die met de creditcard van papa denken leuk te zijn.
2. mensen die dit bouwen voor de leuk.
3. goede reclame voor je services. Als jij kunt adverteren met "wij kunnen een ISP uitschakelen" en dit als bewijs laten zien, kun je je services makkelijker verkopen aan groep 1.

Bulkzooi @Robbierut4 • 1 december 2020 17:11

lol, nee.

Politieke motiveringen zijn bijna altijd de oorzaak van DDOS.
Historisch gezien zie je vaak relatie met echt nieuws dat gerelateerd is maar nu met corona is dat niet meer te zien. Alles is politiek geworden.

Scriptkiddies gaan echt niet meer het risico nemen en de cyberdefense coalities/infrastructuur hebben die zo te pakken. De straffen zijn ook niet misselijk. Die tijd is al jaren voorbij. De moderne DDOS infrastructuur is duur en vereist een hoop kennis om überhaupt niet gepakt te worden. Dat gebeurd echt niet van een zolderkamertje, rofl.

Dus die gesuggereerde suggesties in dit topic ontbreekt elke logica en motief. Pure achterhaalde speculatie.@TijsZonderH

De sciptkiddyhoax.. Bijna net zo erg als de studenten die de schuld van Corona krijgen.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

Robbierut4 @Bulkzooi • 1 december 2020 17:27

Om toch even op je reactie in te gaan dan.

De moderne DDOS infrastructuur is duur en vereist een hoop kennis om überhaupt niet gepakt te worden. Dat gebeurd echt niet van een zolderkamertje, rofl.

Nu gaat de techniek vrij snel, en zal de ddos protectie in 2 jaar flink veranderd zijn, de aanvallen zullen dat ook zijn.

nieuws: Nederlandse politie arresteert verdachte op verdenking uitvoeren ddos...

Quote uit artikel: "De verdachte heeft naar eigen zeggen voor 40 euro aan capaciteit ingekocht bij een ‘stresser’,"

Dus ik hoor graag waar je daadwerkelijke bronnen voor al je aannames vandaan komen?

Bulkzooi @Robbierut4 • 1 december 2020 17:30

Nu gaat de techniek vrij snel, en zal de ddos protectie in 2 jaar flink veranderd zijn, de aanvallen zullen dat ook zijn.

Wat nou? Welk element uit een ddos is verandert? Enkel de capaciteit is geschaald, een cloud of een botnet. Dat is een argument TEGEN scriptkiddies.

[...]
nieuws: Nederlandse politie arresteert verdachte op verdenking uitvoeren ddos...
Quote uit artikel: "De verdachte heeft naar eigen zeggen voor 40 euro aan capaciteit ingekocht bij een ‘stresser’,"

Dus ik hoor graag waar je daadwerkelijke bronnen voor al je aannames vandaan komen?

die is gepakt. dus da's een scriptkiddy die een hoop leergeld gaat betalen. Maar verder, zie hierboven. Dat mannetje dacht dat hij slim was maar in werkelijk is het jeugdige overmoed. Dat was overigens 10 jaar geleden ook al, dus hij is niet echt bijdehand.

Je begrijpt hopelijk ook dat 1 voorbeeldje in het niet valt bij 100den voorbeelden dat er geen daders gepakt worden of de enkele keer dat er professionele organisaties opgerold worden?

Verder... Ik ben de bron. Je mag me best quoten.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

Robbierut4 @Bulkzooi • 1 december 2020 17:19

Ik heb zo'n idee dat bijna niemand het in de comments het met je eens is dat het politiek is. Dus ben wel benieuwd waarop je dat baseert? Heb je daar iets van bronnen voor? Altijd goed om meer te leren

Bulkzooi @Robbierut4 • 1 december 2020 17:21

die mensen die scriptkiddies promoten praten nonsense en iedereen praat elkaar na. Die dromen nog over films als Ferris Bueller's Day Off.
Trust me, als het nog steeds zo makkelijk was, dan huurde elke opstandige adolescent van zijn zuur verdiende afwasgeld een Cloud Provider en huurt tie ook ff een DDOS as a Service (DAAS), als die een slecht rapport had op school.

(rest staat in het originele comment)

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

superiter @Robbierut4 • 1 december 2020 15:12

Nochtans is dit aangekondigd door Klaus Schwab (WEF). Het zal alleen maar erger worden

Bulkzooi @superiter • 1 december 2020 20:17

wat bedoel je? de Ddos? Of de uitoering door scriptkiddies?

The Reeferman @Bulkzooi • 1 december 2020 21:41

Grote cyber attacks.

CAPSLOCK2000

freedom internet
Internettoegang

@Rolucious • 1 december 2020 11:46

Ik denk dat voorbereiding is voor afpersing tijdens de feestdagen. Nu wordt gezocht waar de grenzen liggen en ze laten alvast hun spierballen zien zodat ze later serieus genomen worden.

Voor heel wat bedrijven zijn de feestdagen essentieel voor de jaarinkomsten, in die dagen wordt de winst gepakt die hele jaar goed maakt.
Voor heel wat mensen zijn de(ze) feestdagen de tijd dat ze dagen lang thuis zitten met de familie en niet de deur uit mogen en dus afhankelijk zijn van internet voor hun entertainment.

Dus ik verwacht de komende dagen grote aanvallen waarbij ISPs en winkeliers moeten betalen om online te blijven. Tijdens de feestdagen is het ook nog eens extra lastig om iets te doen omdat een groot deel van het technische personeel vakantie heeft. Dat zou dit jaar nog wel eens erger kunnen zijn dan andere jaren omdat een hoop mensen nog vakantiedagen over hebben die door de lockdown niet hebben gebruikt, maar nu wel nog even op moeten.

Standeman @Rolucious • 1 december 2020 11:24

Vaak is het ook een vorm van vandalisme. Bushokjes worden ook gesloopt. Doorgaans door kansloze figuren die zich machteloos voelen en er een powertrip van krijgen.

Woohooo @Standeman • 1 december 2020 11:48

Waarschijnlijk wordt dit dan ook gelezen door de stoere boys van het internet

Auteur

TijsZonderH Nieuwscoördinator @Rolucious • 1 december 2020 11:36

Dit is 100% speculatie hier, maar in dit geval zegt het denk ik iets dat Tweakers ook werd aangevallen. Dan doe je het niet om infra plat te leggen maar voor de kick. Dan wil je je naam terugzien in het nieuws.

dr.joep @TijsZonderH • 1 december 2020 12:03

lol, als we dan toch speculeren dan zou je beginnen te denken dat het een nederlandse tiener is die veel op tweakers komt en vooral wilde zien hoe sterk het, waarschijnlijk gehuurde, botnet was.
namelijk vanwege de duur van de aanvallen en de scope er van lijkt het niet om targets om erkenning.

tweakers en met name true zijn door jullie zelf in het nieuws gezet als zowel slachtoffer en tech-god dus als je dan toch aan het spelen bent en "je" capaciteit wilt testen of je credits wilt opmaken dan ga je toch de (bij jou) bekende namen af? en zo begin je te profileren.

of hij/zij iets er over wilt terug zien? mwa, lijkt mij stom, denken dat je onvindbaar bent maar aandacht wilt.
de tijden zijn zo dat er steeds meer gelogged wordt en het steeds gemakkelijker is om de bronnen terug te leiden en als het even meezit helemaal tot aan een panel met klanteninformatie.
en als het dan kostbaar genoeg is dan kun je dus ook de bezoekers en aankopen rond het tijdstip navolgen.

de trend dat 'hackers' commerciële proxy providers en VPN services gebruiken, ook wanneer ze gestolen/gedeelde login gegevens gebruiken, uiteindelijk naar hun eigen IP adres terug te leiden zijn is dan ook nog een ding.
uiteindelijk zijn mensen toch een stel goedkope gemakslammetjes al zijn sommigen paranoïde genoeg dat het om praktische redenen op een gegeven moment niet navolgbaar is.

providers die dat doelbewust verkopen en vrijwillig niet loggen mogen wat mij betreft per wet verboden worden. want om de schijn privacy in grote getallen criminaliteit faciliteren is al lang zat een doorn in het oog.
het maakt overmoed. opportunity en gemak voor een stel kneuzen.
voeg daar aan toe dat crypto-currency populair is in die kringen en KYC onzinnig is door de hoeveelheden goedkope informatie die er beschikbaar is en je begint dan net het kersje on top te pielen.

op zich wel te verklaren als je iets zoals 'het internet' wat fundamenteel verouderd en gebroken is, jaren lang, en steeds sneller, zichzelf laat invullen, voor de centjes en het idee.
op deze manier kan ik mij heel goed voorstellen dat er straks een heel strakke wet komt waar heel veel mensen om zullen huilen wanneer het om privacy gaat omdat een kleinere groep debielen het verziekt.
iets wat identiteitsfraude de kop in drukt doordat elke verbinding bij iedere provider verplicht via een officiële overheidbekende e-identiteit te linken is oid. in plaats van een email adres, een wachtwoord en eventueel wat (gestolen/gekochte) scans.

[Reactie gewijzigd door dr.joep op 22 juli 2024 14:00]

CAPSLOCK2000

freedom internet
Internettoegang

@TijsZonderH • 1 december 2020 13:40

Ik zie nog wat mogelijkheden die uiteraard ook pure speculatie zijn:

- Eerder is de provider Tweak aangevallen. Ik heb wel eerder gezien dat er verwarring bestaat over de relatie Tweak / Tweakers.

- Tweakers wordt aangevallen om aandacht te scheppen voor deze aanval en de toekomstige slachtoffers alvast bang te maken en te informeren. Dreigementen werken niet als je slachtoffers ze niet begrijpen.

Bulkzooi @TijsZonderH • 1 december 2020 20:19

@TijsZonderH of het is een signaal, zoals het meestal is geweest. Vaak kan je het relateren aan wereldnieuws, thema's topics, problemen, internationale rommel. etc.

Welke gek neemt nou zoveel risico voor de kick? En degene die dat zouden doen zouden dat dan ook dagelijks doen.

Auteur

TijsZonderH Nieuwscoördinator @Bulkzooi • 1 december 2020 20:36

Welke gek neemt nou zoveel risico voor de kick? En degene die dat zouden doen zouden dat dan ook dagelijks doen.

Ene Jelle S.

Bulkzooi @TijsZonderH • 1 december 2020 20:42

Je hebt een idiot gevonden! Noem ff de namen van de laatste 100 ddos aanvallen die hebben plaats gevonden? De daders.

ik zal je alvast verklappen: Dit soort aanvallen zijn uiterst professioneel en niet van het niveau kiddy. De kans van State actors of een interne aanval zijn 100x hoger. Ik zelf denk 10.000x maar dat klinkt zo overdreven vanaf kiddy gezien.

Alternatief is dat de Nederlandse beveiliging gewoon bagger is.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

jordynegen11 @Bulkzooi • 2 december 2020 02:07

Dat is niet helemaal waar. Ja de aanvallen worden steeds groter en geavanceerder maar degene die op de knop drukt is 9/10 keer nog steeds zo'n "kiddy".

De tijd dat iedereen voor 5 euro een ddos pakketje kon afnemen op een willekeurige stresser site, is wel een beetje verleden tijd. Dit soort aanvallen zijn tegenwoordig best makkelijk en goedkoop tegen "te blokkeren" door bedrijven.

Viavia kom je tegenwoordig in Telegram of Discord groepen waar je voor 50-100 euro een hele maand onbeperkt 100Gbit+ aanvallen kan uitvoeren en kan kiezen uit 200 verschillende attack methods.

Veel van deze kids vinden het fantastisch om elkaars gameservertje en thuisverbinding plat te gooien maar er zitten er ook zat tussen die voor de lol even tweakers plat willen gooien en daarop blijven kicken.

Een DDoS aanval is vaak ook niet meer even 100Gbit aan random data versturen. Je hebt honderden (vaak op maat gemaakte) attack methodes die gericht zijn op specifieke diensten. Wil jij een site offline halen die gebruik maakt van Cloudflare? Dan gebruik je de cloudflare-captcha-bypass methode enz.

Lang verhaal kort. Degene die deze ddos aanvallen faciliteren weten vaak wel wat ze doen maar degene die op de knopjes drukken zijn nog steeds kinderen met teveel zakgeld.

Alternatief is dat de Nederlandse beveiliging gewoon bagger is.

Weet je wat bagger is? het 40 jaar oude IPv4 protocol dat wel lekker nog met zijn alle gebruiken.

Bulkzooi @jordynegen11 • 2 december 2020 03:04

Thnx dat is een scherp betoog... De jeugdige onbezonnenheid die geëxploiteerd wordt en basale infrastructuur, zoals bv. IPv6 & DNS zijn zwak... maar ook commercieel en zeker gepoliciteerd door landen, en desnoods faciliteren wat bedrijven of zelfs NGO's.

Ik vind cyber-security bagger want anders was het anders gelopen, werden die security projecten beter aangepakt. Maar ja ik vind ook de meeste ERP implementaties zwak, of veel source code die ik gezien heb. Bv. blacklisting en white-listing zijn levensgevaarlijke design zwaktes. Of bepaalde syscalls. En ik kan nog wel ff doorgaan want de volledige IT is ons aan het insluiten in een C/C++ bubble, dus voor 99% van de mensen is dat gewoon Latijn.
En ik zal maar niet over de archiveringsfunctie beginnen...

Maar thanks, eindelijk een goede reply.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

Mavamaarten @Rolucious • 1 december 2020 11:24

"Kijk wat ik kan", stoerdoenerij. En heel vaak met stoerdoenerij is hetgene waar men over opschept helemaal niks om trots op te zijn, zo ook hier.
Soms vraagt men al eens een vergoeding om het ddos'en te laten stoppen maar dat lijkt hier (nog) niet het geval te zijn.

Cergorach @Rolucious • 1 december 2020 11:24

Het zouden prima andere dingen kunnen zijn. Een test of een bepaald (aanvals)systeem werkt of een demonstratie van dat systeem aan derden.

JorickPlays @Rolucious • 1 december 2020 11:24

Vaak gaat het om geld. Of iets wat niet is na gekomen of beloofd.

FooLsKi @Rolucious • 1 december 2020 11:39

Mijn eerste gedachte was: "Oh, er is weer een kneusje die niets beters te doen heeft". Naar mijn mening heeft dit dezelfde oorzaak als fysiek vandalisme: verveling gecombineerd met "Kijk mij eens stoer zijn".

Hans C @FooLsKi • 1 december 2020 13:03

Of eenzaamheid. En gezien willen worden.

FooLsKi @Hans C • 1 december 2020 13:36

Kan ook, maakt het niet een minder sneue actie imo.

beerse @Rolucious • 1 december 2020 14:56

Bedenkt dat een ddos aanval nogal grof geschut is. Mogelijk gericht tegen 1 of 2 websites of zo. Dan heeft de hele hosting provider daar last van, de ddos klopt daar immers aan de voordeur.

Verder loopt zo'n ddos aanval vanaf veel machines via een beperkt aantal routers die daarmee vol kunnen lopen, zonder dat ze zelf doelwit zijn. Gewoon omdat ze het verkeer samenvoegen.

Natuurlijk, er wordt veel gedaan tegen ddos aanvallen. Maar hoe herken je die? Als er op tv een website wordt genoemd, gaat er ook vanuit het hele land in 1 keer veel verkeer naar die website. Het onderscheid is soms moeilijk.

ep667

1 december 2020 11:28

Ik neem aan dat het hier dan gaat om DNS amplification attacks? Dat wordt me uit de verschillende artikelen niet helemaal duidelijk maar lijkt me het meest waarschijnlijk.

Het is wel vervelend. Gezien de providers die getroffen worden, zou ik denken dat het gewoon om script kiddies gaat die willen laten zien wat ze kunnen. Als het echt grote boeven waren, dan zouden ze KPN en Ziggo wel uitproberen om bijvoorbeeld losgeld te eisen, maar dat lijkt tot nog toe niet te gebeuren.

Het gebeurt wel op grote schaal, wat aantoont dat veel kleinere en middelgrote providers toch iets van maatregelen moeten nemen tegen dit soort aanvallen. Dat kan op zich prima, DNS servers volledig afschermen van de buitenwereld heeft zelfs al effect. Verdere maatregelen vergen wel een investering.

Snow_King

@ep667 • 1 december 2020 12:20

Ja, maar we zien ook NTP attacks.

De NBIP stuurt netjes een overzicht:

Duur: 25-11-2020 08:55 - 25-11-2020 10:10
Piek: 75,10 Gbps / 7,60 Mpps
Type: DNS amplification dst port 80 (88,0%); TCP/ACK flood (3,0%); TCP/SYN flood (7,0%); TCP flag attack .....R.. (1,0%); TCP flag attack ...A..S. (1,0%)

Deze kregen wij bij mijn werk (NL hosting bedrijf) op de 25e dus binnen.

Verwijderd @Snow_King • 1 december 2020 16:55

Kan dat gewoon niet een probeersel zijn geweest van de aanvallers om te kijken waar mogelijke kwetsbaarheden zijn of juist bepaalde mogelijkheden duidelijk afgeschermd?

e_balk @ep667 • 1 december 2020 11:41

Er is meer nodig dan alleen de DNS servers, zoals al meermaals aangegeven was bijvoorbeeld bij Tweak de aanval niet gericht op de DNS servers, verschillende klanten van Tweak gebruikten al non-tweak DNS servers en konden alsnog niet of nauwelijks buiten het netwerk van Tweak komen.

Wanneer de aanvallen gericht worden op de interconnects (de core routers) dan wordt het best moeilijk om al die inkomende traffic te managen tenzij je de mogelijkheid hebt om die traffic te blackholen (dus feitelijk de doel IP addressen omleiden en nieuwe routes opbouwen).

Als ik het goed las, kreeg Tweak meer dan 100Gbits voor zijn kiezen, wat zeker niet misselijk is, maar ik hoop dat ze ondertussen meer dan 100Gbit aan interconnects hebben liggen als het primaire product 1Gbits FTTH is.

Snow_King

@e_balk • 1 december 2020 12:21

Je gaat natuurlijk geen 100Gbit leggen als het niet nodig is. Dat mensen 1Gbit hebben betekend niet dat het gebruikt wordt. Heel veel interconnects zijn nog 10Gbit op peering/Transit niveau danwel een LACP van 2x10Gbit.

e_balk @Snow_King • 8 december 2020 09:50

Ik weet dat er sprake is van overboeking op lijnen en dat ze dus nooit 1Gbit aan interconnect hebben per klant. Voor zover ik weet is de normale overboeking ergens rond de 1:25. Met een 20Gbits interconnect zou dat betekenen dat ze ruimte hebben voor ongeveer 500 klanten op 1Gbits.

Is het zo vreemd dat ik dan zeg dat ik hoop dat ze 100Gbits of meer aan interconnects beschikbaar hebben, dat zou ruimte moeten bieden aan zo'n 2500 klanten met een dergelijke overboeking.

Bij een klantenbestand van 2500 FTTH klanten op 20Gbits spreek je al over een overboeking van 1:125.

Dit zijn fictieve cijfers, ik heb geen idee over het formaat van het klantenbestand van Tweak, het is een kleinere, niche, internet aanbieder, dat is alles wat ik er van buitenaf over kan zeggen.

Ik vermoed op basis van de manier waarop Tweak uitrolt, dat ze interconnects hebben per geografische regio en dat op basis daarvan de regio's verschillende cijfers kunnen laten zien.

Snow_King

@e_balk • 8 december 2020 10:11

Ik denk dat ze niet naar overboeking kijken. Ze kijken naar daadwerkelijk verbruik van de bandbreedte en schalen interconnects daar op mee.

Die 1:125 is denk ik niet eens heel raar. Zo hoorde ik een keer van iemand die in de FttH zit dat zelfs met 1Gbit verbindingen het gemiddelde verbruik 7Mbit/s is.

Dan kan je dus 142 verbindingen van 1Gbit kwijt achter 1Gbit. Ofwel 1:142

Auteur

TijsZonderH Nieuwscoördinator @ep667 • 1 december 2020 11:37

Ja, dat hoor ik tussen de bedrijven door ook, maar nog niet concreet genoeg om in het artikel te zetten.

LiquidCrystal @ep667 • 1 december 2020 13:16

zou ik denken dat het gewoon om script kiddies gaat die willen laten zien wat ze kunnen.

Juist als het zou gaan om script kiddies, zou mijn antwoord zijn "Die kunnen niks".

Enige wat script kiddies voor mijn gevoel meestal doen is het aanpassen van wat parameters in een bestaand script of tool en dus pronken met de veren van een ander (de oorspronkelijke maker)

Komt dan meer neer op "What does this button do...".
https://i.pinimg.com/orig...19342b58abb12f7b80027.jpg

[Reactie gewijzigd door LiquidCrystal op 22 juli 2024 14:00]

Wouterie 1 december 2020 11:23

Jammer dat niet elke provider het eenvoudig aanpassen van de DNS aanbiedt. Mijn ouders en schoonouders zaten destijds met de Ziggo best een tijdje zonder internet.

RobbyTown

@Wouterie • 1 december 2020 11:28

Dit is helaas geen wonder oplossing. Ik zit bij Tweak ik had al andere DNS in de router staan maar helaas gisteren down/up/down/up.....

Voor Ziggo toen werkte dat toen wel (2015), ik heb toen niets gemerkt van de DDOS. En zo te lezen voor Freedom ook

[Reactie gewijzigd door RobbyTown op 22 juli 2024 14:00]

LiquidCrystal @Wouterie • 1 december 2020 13:11

Jammer dat niet elke provider het eenvoudig aanpassen van de DNS aanbiedt.

Dat komt omdat het ook geen "Standaard" oplossing is voor een DDOS aanval.
Het ligt er maar net aan welke systemen worden aangevallen tijdens de DDOS aanval.

Als er andere systemen geraakt worden dan de DNS servers, bied het aanpassen van de DNS namelijk geen oplossing.

Wouterie @LiquidCrystal • 1 december 2020 19:31

Niet standaard, wel een veel voorkomende oplossing.

Verwijderd 1 december 2020 11:27

Jullie vergeten true, https://status.true.nl/ was gister avond ook raak, Tweakers offline

ikt 1 december 2020 11:19

Gisteren, rond 17:00 uur, was ook TriNed slachtoffer van een DDOS aanval. Direct op IPs pingen lukte mij niet, dus er zal daar wat meer omgevallen zijn dan enkel de DNS server.

Het lijkt erop dat vooral kleine glasvezelproviders het slachtoffer zijn geweest?

JL-IP(!) @ikt • 1 december 2020 12:35

Ook een 'kleine' provider hier in het noorden.

https://www.kabelnoord.nl...rcWF1WldxQkE3S0RDK2dUZz09

LVVK @JL-IP(!) • 1 december 2020 12:44

Nog een noorderling met deze problemen: https://www.skv.nl/actuele-storingen-skv/

3raser @ikt • 1 december 2020 11:41

Ik zat in de mix tussen Trined en TransIP volgens mij. Bij Trined liep alles ontzettend traag terwijl ik gebruik maak van een externe nameserver (1.1.1.1). Ook de verbinding met mijn VPS bij TransIP viel weg maar dat zou ook met de aanval op TransIP te maken kunnen hebben gehad.

Ik snap het doel van deze aanvallen niet zo goed. Is het een capaciteitstest of willen ze bepaalde providers een slechte naam geven?

bbob

Internettoegang
TransIP

@3raser • 1 december 2020 12:26

Heb nog server bij cloudvps draaien onderdeel van transip die lagen er ook 1/2 uurtje uit. Vanmorgen ook weer en 10 minuten last gehad van trage verbinding.

Auteur

TijsZonderH Nieuwscoördinator @ikt • 1 december 2020 11:23

Ah thanks, die had ik gemist. Ga ik even naar kijken.

Hans C @TijsZonderH • 1 december 2020 11:33

https://allestoringen.nl/storing/trined/

De mededeling op de site is alweer weg, maar daar stond dat er een DDOS aanval was waar veel last van werd ondervonden.

kami124 @TijsZonderH • 1 december 2020 12:01

ik zit bij de internetprovider SNLR glasvezel en ook daar werkte gisterenmiddag rond 17:30 het internet niet goed. Rond 18:00 en een router reset werkte echter het meeste weer goed.

[Reactie gewijzigd door kami124 op 22 juli 2024 14:00]

wica 1 december 2020 11:17

Wel konden ze handmatig hun dns-instellingen veranderen naar een alternatieve resolver waardoor de verbinding wel weer werkte.

Als eerste, de verbinding werkt blijkbaar daar het veranderen van DNS server, je gewoon verder kan. Hier heb je echt wel een verbinding voor nodig

Ten tweede, worden deze ISP van binnen uit aangevallen? Daar veel providers allang geen publieke DNS resolvers aanbieden.

Blokker_1999

Internettoegang
Ddos

@wica • 1 december 2020 11:21

De resolvers zijn dan vaak niet publiek toegankelijk, ze hebben meestal wel een publiek IP adres omdat ze recursief hun werk moeten kunnen doen.

wica @Blokker_1999 • 1 december 2020 11:24

Maar ook met een publiek adres, kan het beperken tot enke je interne gebruikers. Er is daarom ook geen reden om het toegankelijk te hebben voor het hele internet,

Anders gezegd, ik kan op mijn router 1.1.1.1 configureren, zodat alles in mijn netwerk naar mijn 1.1.1.1 gaat en de rest van de wereld er niet bij kan.

Blokker_1999

Internettoegang
Ddos

@wica • 1 december 2020 11:43

Je kan de rest van de wereld tegenhouden maar de rest van de wereld kan nog wel aan je deur komen kloppen zonder dat ze binnen mogen maar wel heel de verbinding doen dichtslibben omdat het verkeer dat er wel door moet er ook niet meer door kan.

wica @Blokker_1999 • 1 december 2020 11:50

Het stukje van het artikel wat ik aanhaal, zegt dat als je een andere DNS server instelde. Dat je weer gewoon verder kon internetten.
Dat klinkt niet als het dichtslibben van hun verbindingen.

Hans C @wica • 1 december 2020 13:06

Dan moet je dus eerst wel een verbinding hebben. En die viel er gisteren bij mij ook uit. Dan heb je niets aan een andere DNS

wica @Hans C • 1 december 2020 13:27

Ik reageer alleen maar op dit stukje

Wel konden ze handmatig hun dns-instellingen veranderen naar een alternatieve resolver waardoor de verbinding wel weer werkte. Freedom heeft later op de avond een alternatieve dns-server beschikbaar gemaakt.

flashback1989 @wica • 1 december 2020 11:20

uiteindelijk zal er een firewall voor staan welke je toelaat als je een ISP eigen IP hebt bv.
genoeg verkeer naar deze firewall sturen en hij gaat plat.

TheVivaldi @wica • 1 december 2020 11:24

[...]

Als eerste, de verbinding werkt blijkbaar daar het veranderen van DNS server, je gewoon verder kan.

Bij de ddos-aanval op Tweak werkte dat niet omdat de hele infrastructuur geddost werd.

Bulkzooi @wica • 1 december 2020 20:20

Goeie @wica Aangezien het ook hosting servers betreft kunnen daar al geinfecteerde bestanden hebben gestaan. Dus bij het controlpanel bv.
Een multi attack of however ze het ook noemen.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 14:00]

RobbyTown

1 december 2020 11:22

Ik had al een andere DNS dan de standaard van Tweak helaas geen wonderen down/up/down/up....Voor Ziggo was dat toen wel de oplossing

Is er al een partij die het heeft opgeëist? Van Ziggo in 2015 was het toen Anonymous (toch?) de reden was dacht ik omdat ze toen de prijzen als maar omhoog gooide. Ik dacht zelfs dat Anonymous aankondigde dat ze later op de dag weer gingen aanvallen.

Maar nu lijkt het compleet random providers. Ik dacht eerst alle glasproviders Tweak - Fiber - Kabel Noord - Trined en zo kan ik nog wel doorgaan maar nu met Transip en dag eerder Hostnet is zie geen verband?

[Reactie gewijzigd door RobbyTown op 22 juli 2024 14:00]

xiphoid 1 december 2020 11:29

Zal wel iemand grote bek hebben gehad in een online spelletje en iemand die nog laffer is heeft hierop gereageerd.

Verwijderd @xiphoid • 1 december 2020 16:53

Aanvallen waren te breed daar voor. Als dat gebeurt zie je dat puur de lijn wordt aangevallen waarlangs iemand verbinding maakt opeens een boel verkeer te verwerken krijgt (of de provider waar diegene van gebruik maakt). Dit trof meerdere ISPs, hosting bedrijven en sites.

slijkie 1 december 2020 11:32

Met Freedom nergens last van. Gebruik echter niet hun DNS. (Behalve op de Xbox)

Vervelend rotjochie is weer bezig.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (116)

Sorteer op:

Weergave: