EFnet IRC netwerk doelwit van zware DDoS attacks

Hans liet ons weten dat vrijwel alle servers van EFNet sinds gisterenavond doelwit zijn van een heftige Distributed Denial of Service attack. EFNet ('Eris Free Network') werd in 1990 opgericht en is het eerste én grootste IRC netwerk van het internet. De achterliggende reden van de aanval is onduidelijk, hoewel sommigen al suggeren dat hier sprake moet zijn van vakantie vierende k1ddies met een overdaad aan vrije tijd. Op dit moment is de situatie dermate ernstig dat het EFNet IRC netwerk zo goed als plat is. Vrijwel alle servers worden aangevallen en het netwerk is volledig in stukken ge-netsplit. Een aantal server eigenaren en instanties hebben zelfs besloten permanent ofwel tijdelijk hun diensten te staken. Inmiddels zijn zes servers gesneuveld, waarvan er één niet meer in het netwerk zal terugkeren. Onderstaand een paar quotes van de EFNet nieuws pagina:

EFNet logo Madmax @ 2001/07/11 21.16 irc.ins.net.uk / dianora: Just incase the rumours are true and somebody's attacked all the servers dianora opers on, can I point out that Diane hasnt been opered on irc.ins.net.uk for about a week... If you're going to DOS servers because you dont like their opers, at least /stats o first ;P

Hardy @ 2001/07/11 16.05 ircd.solidstreaming.net / irc.solidstreaming.net: SolidStreaming's irc client and hub servers have been null routed at the moment due to a massive core router flood. Currently, there is no ETA for return.

Madmax @ 2001/07/11 12.44 irc.ins.net.uk / irc.hub.uk: C&W INS has been under such a large attack that they have now null routed the irc servers. We do not know at this stage if or when they'll be returning.

Madmax @ 2001/07/11 09.31 Efnet's broken: You heard it here first. To those concerned, quit with the attacks, learn not to shit where you sleep. You know who you are.

Madmax @ 2001/07/11 09.25 irc.lightning.net: Lightning is disconnecting from efnet for the immediate future due to DOS attacks. They will look at the situation again as soon as possible and hopefully make a comeback.

Hardy @ 2001/07/10 21.49 irc.emory.edu: irc.emory.edu has officially de-linked from EFNet as of today due to excessive Denial of Service Attacks for unknown (but most likely IRC-Related) reasons. It's a great loss for the EFNet community as Emory University's IRC server has for 5 years been a very stable, reliable, and open one. We would like to thank the irc.emory.edu staff for their time and dedication to EFNet, you will be missed. [break] Op IRCHelp.org werd het volgende bericht geplaatst: [/break] On the evening of July 10, a series of denial of service attacks began, which have crippled most EFnet servers, including most of the servers which permit users from the United States. Users can expect near total unavailability of all EFnet servers for an indefinite period of time. Don't ask us how to restore ops, or if/when things will be fixed - we don't know either. When we find out more, we'll let you know.

Door Femme Taken

UX Designer

Feedback • 12-07-2001 05:11 51

12-07-2001 • 05:11

51

Bron: Efnet.org

Lees meer

Microsoft slachtoffer van DDoS aanval
Microsoft slachtoffer van DDoS aanval Nieuws van 26 januari 2001
IRCNet staakt!
IRCNet staakt! Nieuws van 5 april 2000
FBI website slachtoffer van DDoS aanval
FBI website slachtoffer van DDoS aanval Nieuws van 28 februari 2000
Schade DDoS aanvallen $1,2 miljard
Schade DDoS aanvallen $1,2 miljard Nieuws van 15 februari 2000
Internet performance lijdt onder DDoS attacks
Internet performance lijdt onder DDoS attacks Nieuws van 14 februari 2000
DoS attacks wijzen naar Californische universiteiten
DoS attacks wijzen naar Californische universiteiten Nieuws van 13 februari 2000
Meer producten en artikelen
Bedrijfsnieuws

Reacties (51)

-Moderatie-faq
51
48
40
2
1
0
Wijzig sortering
Dawai 12 juli 2001 05:22
Triest... :'( Deze middag raakte ik niet eens meer op EFNet, maar nu lijkt de situatie wat gestabiliseerd. Geen idee hoe het zit voor Amerikanen maar voor Nederland en omstreken werkt efnet.vuurwerk.nl.
xiphoid @Dawai12 juli 2001 10:52
Een van de vervelende dingen met DDoS is dat de persoon verantwoordlijk voor de DDoS aanvallen, aangehouden kan worden op vermoeden en zelfs omdat hij het zelf zegt. Er kan helaas meestal niets gedaan worden, omdat de log-files volgens de rechters niet als bewijsmateriaal aangediend mogen worden, en de persoon op zijn PC niets heeft staan wat bewijs is dat hij het heeft gedaan. Dit omdat hij een klein commandotje via een encrypted verbinding stuurt naar een DoSnet hub ergens in de .ru, die vervolegns alle broadcasts over duizenden PC's laat requesten naar een host adres. In de meeste gevallen zijn deze zelfs gespoofde tcp/ip & upd packets/fragments. Dus ookal heeft de FBI een log file, de meeste host adresjes zijn nep, de rest is van servers die moeilijk te tracen zijn. En als ze gevonden zijn, dan zegt de admin ervan zich niet bewust te zijn dat hun machines er voor misbruikt werden (en natuurlijk vinden ze het niet leuk dat ze gehacked zijn en een client draaien die gebruikt wordt voor DoS); tevens is er op die machine dus geen login of dergelijk geweest van de persoon die aangehouden is, gezien zijn DoSnet hub (die ook op rooted bak staat) dit alles gerealiseerd heeft en niet de persoon direct. Dit DoSnet hubje tracen is (blijkt) zeer lastig. Dit alles weet ik uit ervaring met packet monkeys op het IRCnet netwerk waar we dagelijks mee geconfronteerd worden (helaas), en authoriteiten waar we vervolgens mee in contact komen om eventuele oplossingen hiervoor te vinden/ eventuele aanklachten bij in te dienen jegens deze misbruikers. Tevens omdat er op IRC veel vraag naar was, heb ik een artikel geschreven en deze onder een domeintje gegooid @ http://www.monkeybusters.com/ misschien hebben sommige er nog wat aan. Er staat ook een link naar een .pdf document wat over DDoS gaat.
markvt @xiphoid12 juli 2001 12:46
op www.grc.com staat ook nog meer info
over hoe ze massaal sub7 ervoor gebruiken
Verwijderd @Verwijderd12 juli 2001 10:30
ik weet niet of jij het ook weet maar irc.nijenrode.nl is al lang gestopt met hun EFNet server, op dit moment is het gewoon een forward naar vuurwerk.nl (was eerst isdnet.fr)
_Arthur 12 juli 2001 11:32
Ook al block je die packets op je main router, dan nog krijgt die router al het verkeer over zich heen. Dus als die main router maar een 100mbit link heeft naar inet en er wordt meer dan 500mbit aan trash naar toe gestuurd, dan zit gewoon de pijp naar internet helemaal stamp vol. Heeft dus helemaal niets met architecturen van irc-netwerken te maken. Want hoe goed die ook zou zijn, is je pijp naar internet vol? Jammer dan.

Lang leve de scriptkiddies (kuch).
T-h-i-j-s @_Arthur12 juli 2001 11:46
De kunst is inderdaad om je ISP (of een netwerk waar je ISP bandbreedte heeft) zover te krijgen dat ze op hun dikste border router(s) een ACL aan te brengen die al het [DDoS Target] verkeer discard. Daar merkt een dikke Juniper of Cisco vrij weinig van. Knappe jongen als je een OC-48 vol krijgt }>.

In dit geval valt er niet veel te redden. De DDoS vind plaats op de main service van de servers... tsja... null-routen haalt dan wel de druk van je machine en netwerk, maar je gebruikers hebben er weinig aan.

Jammere actie inderdaad

edit: typo
Hans @T-h-i-j-s12 juli 2001 12:01
Knappe jongen als je een OC-48 vol krijgt
Mwoah, als je bestookt wordt met meer dan 3 Gb/sec aan crap verkeer kom je een heel eind denk ik. Dan ben je nergens meer met je OC-48je
Verwijderd @_Arthur12 juli 2001 11:41
Euhm ....Zeker nooit van packetshapers of packeteer gehoord ???
_Arthur @Verwijderd12 juli 2001 11:49
Goldrush: Die helpen geen zier. Dat verkeer komt toch bij JOU main router aan. En de uplink NAAR die router toe wordt gewoon vol gepompt met shit. En DAARNA komt dat verkeer pas bij je trafficshaper of packeteer software. En, dan zit je internet lijntje toch al helemaal vol met gedefragmenteerde packets.

Zoals iemand anders al opmerkte, lees eens het stukje op http://grc.com/dos/grcdos.htm ,dan snap je wat ik en vele andere bedoelen.

T-h-i-j-s: Lees : http://www.efnet.org/news.html

hardy @ 2001/06/19 12.55 irc.solidstreaming.net
irc.solidstreaming.net has been hit with a 3+ gig/sec DDoS attack throughout the last couple of days. Due to this the servers open I:Line has been temporary reduced and the server is a bit restricted. When the DDoS attack subsides they will slowly open it up again. Any information regarding the attack or who did it can be reported to irc@solidstreaming.net

3+gb/sec .. zeg maar dag tegen je OC48 linkje. (oc48 = +/- 2.5gb/sec)
T-h-i-j-s @_Arthur12 juli 2001 19:33
Mijn: "Knappe jongen als je een OC-48 vol krijgt" was niet specifiek op dit voorbeeld gestaafd en dus is de essentie van m'n verhaal een beetje in de verdrukking gekomen.

Wat ik bedoelde te zeggen met "de kunst.. " was dat het in het geval van en DoS je de backbone provider met de dikste pijpen (UUNet, Level3 etc), die de netwerken interconnecten zover moet krijgen op hun routers te gaan nullrouten. Probleem is dat hoe verder jij bij je server vandaan het net op gaat, hoe meer mogelijk routes er zijn, dus hoe meer routers aangepakt moeten worden ( en hoe kleiner de kans dat dat haalbaar is).

M'n bedoeling was om te zeggen dat je die routers moet vinden die het verkeer nog wel makkelijk kunnen verstoken. Maar met een 3 Gb/s wordt dat inderdaad erg lastig. Maar bij dergelijk bandbreedtes neem de kans echter wel weer toe dat een grote jongen (backbone provider) z'n netwerk wil gaan aanpassen om die 3 Gb/s troep eruit te krijgen, want op interconnecties gaat dat niet meer alleen ten koste van een enkele server/dienst...
Verwijderd 12 juli 2001 08:58
Een soortgelijk verhaal is te vinden op http://grc.com/dos/grcdos.htm.

Zeker de moeite om te lezen. Akelig gewoon.

1 enkel 13 jarig pubertje vond het leuk om op de manier stoer te doen.

Wie weet is het dezelfde die van de IRC servers gebanned was en nu wraak neemt. :(
WheeleE @Verwijderd12 juli 2001 10:45
1 enkel 13 jarig pubertje vond het leuk om op de manier stoer te doen.
Sterker nog, een paar dagen terug was er weer een attack, idd door een 13-jarige jongen die het niet eens was met uitspraken die er op diesite werden gedaan.

Ik vind het triest. Dat je het 1 keer doet om te laten zien dat men niet met je moet spotten, daar kan ik inkomen. Maar dan heb je toch echt wel laten zien wat je kan. Waarom is het dan nodig om door te blijven gaan? De mensen van zo'n website of netwerk weten dan heus wel dat ze op hun woorden moeten passen. Als je door blijft gaan met Ddos-sen krijgt men ook niet de kans om dingen recht te zetten.

Hopelijk komen de zogeheten 'scriptkiddies' er nou eindelijk achter dat ze het heus wel kunne nen dat we geen vervelende dingen meer over ze zullen zeggen...
TheGhostInc @WheeleE13 juli 2001 22:14
De vraag is of ze er nog wel mee kunnen stoppen, als er een paar scripjes over de zeik zijn en niet meer stoppen heb je ook een probleem.
The Source @Verwijderd12 juli 2001 10:45
Je url doet het niet vanwege die punt die er achter staan:

http://grc.com/dos/grcdos.htm .
witchdoc 12 juli 2001 09:09
EFNET nu ook al? Jaartje ofzo geleden had undernet ook al last van zoiets.. Alleen was het toen gelukkig enkel naar de channelservices server gericht.. Je kon dus nog wel chatten mlaar chaos was het.
Verwijderd @witchdoc12 juli 2001 09:19
Errr, undernet en services? Heh.

[edit] Bij undernet werden ook gewoon net als efnet, de servers geraakt. Undernet heeft nooit IRC services gehad.
Hans @Verwijderd12 juli 2001 09:30
Kweetniet wie die kerel hierboven naar beneden gemod heeft met -1 overbodig, maar hij heeft wel gelijk. Undernet werkt niet met channel services, dat is DALnet.
bruto @witchdoc12 juli 2001 09:43
EFNet heeft geen services like chanserv en dat soort channel bots.

Waarom denk je dat EFNet eggdrop paradijs is.
Channel takeover d.m.v. huge botnets zijn aan de orde van de dag.
Verwijderd 12 juli 2001 10:04
Ik vind het eigenlijk nog veel belachelijker dat EFnet niet wat aan haar structuur gaat verbeteren, en dat ze die packets niet gewoon blocken op een een of andere manier, er zijn zeker wel manieren voor. Ze hadden in ieder geval genoeg tijd om daarover na te denken het is immers niet de eerste keer dat EFnet onder vuur word genomen, de laatste keer was een tijdje geleden, en die splits die normaal zoveel zijn ligt gewoon aan de baggerarchitectuur en de slechte servers die erop aangesloten zitten. Die moeten ze gewoon eruit pleuren! :)
Verwijderd @Verwijderd12 juli 2001 10:16
Onzin.. Zelfs al blokkeer je bijv. ICMP (en dat hebben ze allemaal al gedaan) kan je nog steeds geraakt worden door een ICMP attack. De architectuur is ook prima. Je kan je niet zodanig beschermen tegen die scriptkids dat je het helemaal kan voorkomen, of zelfs voor het grootste deel. Het ligt niet aan EFnet, maar aan degenen die 't DoSen.
Verwijderd @Verwijderd12 juli 2001 10:40
Als je nou ff goed gelezen had, had je gezien dat ik het niet alleen over de momenten had dat EFnet aangevallen werd maar ook gewoon doorgaans, en EFnet is zeker wel bagger.
bruto @Verwijderd12 juli 2001 11:40
EFNet IS niet bagger, l00sers van scriptkiddies MAKEN EFNet bagger. Zoals je op de forums leest daar, en dat is waarschijnlijk ook wel waar, is dat het waarschijnlijk dus mensen zijn die leven onder het motto " We live, eat, breath and sleep IRC" hebben zich gewoon verveeld en dachten "goh, laten we eens ons thuis verzieken".
Verwijderd @Verwijderd12 juli 2001 10:38
Enig idee hoe jij deze attacks wou blockeren zonder te dlinken van het netwerk of zonder te stoppen met je service ? De attacks worden uitgevoerd op de IRCd niet op een port die toch alles discard. Verder iedere atacker blocken in je fireall is een onbegonnen werken omdat het hier gaat om een DDoS en dus veel verschillende computers die op jou een aanval uitvoeren.
Dit krijg je ervan als iedereen een onbeveiligde computer gebruikt en de zo genaamde geinige kleine programmatjes download die een trojan bevatten.
DeTeraarist 12 juli 2001 05:22
Wat een lolbroeken.

Te koop!

update...

Op het EFNet Forum gaan er geruchten dat ze weten om wie het gaat.
NiGeLaToR @DeTeraarist12 juli 2001 09:37
Beetje boel triest idd. Wat ik nog steeds niet snap is dat servers die ge-DoS-ed worden niet even unplugged gaan. Dan kan er niets stuk gaan, en is de lol er gewoon snel vanaf. Ondanks dat die servers dan down zijn is er verder weinig schade. Het is zelfs een id om de DNS meteen te veranderen zodat de servers niet voor iedere DoS atack bereikbaar zijn (grr, dus ook niet voor alle clients). Maar het blijft gewoon in en in triest. Tis zo makkelijk dat elke iemand met een IQ >80 het zou kunnen en toch zien sommige wizzkids (lees: Jonge systeembeheerders op bejaardetehuizen met tijd over) het als een overwinning. Nou jah.. het gaat vast wel weer es over.
sab @NiGeLaToR12 juli 2001 16:38
offtopic:
Er blijven altijd jongetjes van een jaar of 15 die het stoer vinden om dit soort dingen te 'regelen'.
Misschien gaat de periode van DDoSes voorbij, maar dan hoogstwaarschijnlijk omdat ze iets anders vinden, wie weet nog destructiever.
Verwijderd @DeTeraarist12 juli 2001 18:47
gaap

die 'grappen' zijn al zo oud
stonden er volgend jaar ook al (op ebay)
EoF @Verwijderd12 juli 2001 19:48
stonden er volgend jaar ook al (op ebay)
Tweakers heeft nu al een helderziende in huis ;)
jep 12 juli 2001 07:36
Nu maar hopen dat de op EFNet net zo slim zijn als ze op DALnet waren, die lui die daar aanvielen zijn door de FBI aangehouden :) Terecht overigens..
Verwijderd @jep12 juli 2001 10:32
Ik vraag me af hoe jij iemand uit rusland/israel/turkije door de FBI laat op pakken. FBI doet alleen dingetje in Amerika en daar komt de attack niet vandaan.
cefas @Verwijderd12 juli 2001 14:40
Heel simpel ....

Je richt een nep security advies bureau op in Amerika, en je biedt ze een baan aan }> ... zodra ze komen .........hmmm bekende truc :)

Natuurlijk moeten er wel US servers het slachtoffer zijn geworden
Squee @Verwijderd13 juli 2001 21:48
Ik vraag me af hoe jij iemand uit rusland/israel/turkije door de FBI laat op pakken.
Volgens mij heeft de FBI daar echt niet zo'n probleem mee hoor... B-)
Je bent plotseling gewoon spoorloos van de aardbodem verdwenen en niemand hoord ooit nog wat van je ;)
Verwijderd 12 juli 2001 08:14
Dit is een typisch toenemend fenomeen in de wereld,
mensen / etters, die andere mensen het licht in de ogen niet gunnen.
Mensen met mooie auto's vinden om de zoveel tijd krassen op hun auto, of een straat vol lekgeprikte banden, en mensen die internet hebben word o.a.
bestookt met dit soort vormen van overlast.
En de oorzaak....verveling jaloezie whatever.

Ben bang dat dit soort figuren erg lastig te stoppen is.
bruto @Verwijderd12 juli 2001 08:26
Het gaat er vaak om wie de grootste mond heeft en wie het wel durft/kan. Was laatst ook zo'n rage om allemaal sites te defacen. Wie dan wel niet de grootste site durfde te pakken. Was een competitie van twee k1dd0's die allebei 4 uur de tijd hadden om 7 sites te pakken. Verder zijn er zoveel illegale bezigheden op efnet te bespeuren dat als de FBI daar onderzoek gaat doen dan gaan ze echt niet die scriptkiddies pakkken die een shell plat etteren.
]Byte[ 12 juli 2001 12:02
Dit soort gasten moeten eens een voorbeeld krijgen.
En niks geen gezeik van 'maar hij is nog zo jong'
Opsluiten en de sleutel voor een paar jaar weggooien.
Vanaf het moment dat je je hierin gaat begeven (ongeacht de leeftijd!!) weet je dat dit soort zaken schadelijk zijn.
Als je het dan toch uitvoert weet je gewoon dat je zwaar fout bezig bent.
Wie z'n billen brandt, moet maar op de blaren zitten, en wat mij betreft heeeel lang!
tweakerbee @]Byte[12 juli 2001 12:55
Tja, ga jij dat maar even aan die gasten in Rusland vertellen. In Amerika doen ze er al minder moeilijk over om kiddo's op te pakken, in Rusland pakken ze uberhaupt niemand op. }> Das gelijk het tweede probleem van internet, je zou intercontinentale wetgeving voor alles en iedereen op de wereld moeten hebben mbt internet. Alleen is dat nog wel erg lastig... ;(
beany 12 juli 2001 07:50
Ach, EFNet is niet het enigste IRC netwerk dat wordt aangevallen. Ook DALnet en Undernet zijn al slachtoffer geweest. Het is erg triest wat die scriptkiddies doen, want dat zijn het. Beetje pielen met een scrippie.

Ik hoop dat er snel een oplossing gevonden wordt voor dit probleem, want tot op heden zijn de slachtoffers machteloos. Er is maar 1 oplossing voor ze: de stekker eruit :(

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq