Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

CBR stelt wachtrij in op website na voortdurende ddos-aanvallen

Het Nederlandse Centraal Bureau voor Rijvaardigheidsbewijzen heeft sinds maandag te maken met ddos-aanvallen. Maandag en dinsdag was de site van het CBR 'beperkt tot niet bereikbaar' en ook donderdag gaat inloggen nog met een vertraging.

De dienst heeft een wachtrij ingesteld op de website voor mensen die willen inloggen op Mijn CBR. Volgens de dienst is dat nodig door grote drukte. Gebruikers krijgen twee minuten de tijd om in te loggen met DigiD, als ze aan de beurt zijn.

Sinds maandag 3 mei heeft het CBR te maken met gerichte ddos-aanvallen. De site was daardoor volgens de organisatie maandag en dinsdag 'beperkt tot niet bereikbaar'. Het CBR zegt maatregelen genomen te hebben om nieuwe aanvallen tegen te gaan en zegt er ook 'alles aan te doen om de daders juridisch te vervolgen'.

Door het instellen van de wachtrij kan het CBR ook bij voortdurende aanvallen in de lucht blijven, zegt de organisatie tegen NU.nl. Volgens een woordvoerder lukt het vaak na een paar minuten om in te loggen, maar is het soms beter om op een ander moment terug te komen.

Wachtrij bij CBR

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

06-05-2021 • 14:06

76 Linkedin

Reacties (76)

Wijzig sortering
Kan het CBR echt die paar duizend euro per maand niet kwijt aan een Akamai of een Cloudflare om degelijke DDoS-bescherming af te nemen?
Neem dan de NaWas van het NBIP, is gewoon nederlands en bied echte BGP bescherming tegen DDOS aanvallen >500 Gbps.

https://www.nbip.nl/nawas/

(In tegenstelling tot bv Cloudflare wat enkel via DNS bescherming bied)
NaWas werkt enkel tegen volume attacks. Dit is waarschijnlijk een Layer7 aanval, dus gewoon met heel veel HTTP verkeer een website down brengen zonder dat het waarschijnlijk veel bandbreedte kost.

Voor dit soort aanvallen heb je toch een web application firewall nodig zoals Cloudflare bijv. heeft. Alleen hebben die overheidsinstanties vaak als eis dat alle data in NL moet blijven (bijv ook bij banken) en daardoor kunnen ze geen Cloudflare gebruiken. Omdat de data dan bijv via servers in de VS gaat lopen.

Het blijft een kat en muis spel, soms is het verkeer amper te onderscheiden van legitiem verkeer en dat maakt het lastig om te filteren. Je moet als verdediging realtime aanpassingen doorvoeren. Die scriptkiddies gebruiken vaak meerdere booters met verschillende methodes.
Je kan in ieder geval bij Akamai gewoon aangeven dat je endpoints alleen in Nederland mogen staan.
Selective blackholing. Mooie techniek. Job heeft er een aantal jaren gelden een mooie presentatie gegeven: https://youtu.be/NAbvO4052f0
Hier hebben ze Data Localization voor, het is dus wel mogelijk.
Dan moet je daar maar vanuit gaan dat het ook zo is. En je data loopt alsnog via een Amerikaans bedrijf maar dan wellicht misschien wel via Nederlandse servers.
Een WAF is ook niet iets dat je alleen bij Cloudflare kunt afnamen uiteraard. Genoeg on-premise oplossingen die je kunt kopen inc support. Of gewoon zelf kunt samenstellen.
On-prem is niet te betalen.
Lol, wat een onzin. Als je nou zou zeggen dat on-prem ddos protection niet betaalbaar is had je een punt, maar on-prem een layer 7 firewall kun je gewoon tot in de gigabits zelf bouwen op basis van bijvoorbeeld nginx, of aankopen met nog veel grotere bandbreedtes vanaf wat, 15k? We hebben het over de CBR hier, die hebben vast wel meer dan 15K budget.
Interessant. Is er ook zo een service voor België?
Edpnet.be maakt ook gebruik van NaWas, dus ik denk het niet of het is te duur.
Dat stond wel op de planning om uit te breiden naar België geloof ik.
Weet alleen zo even >niet< of dit al gelukt is
Er zitten in Duitsland en Frankrijk ook partijen met Anti-DDoS diensten. (ook voor colocation) Ik weet niet in hoeverre Layer 7 bescherming beschikbaar is in Nederlandse of Belgische datacenters. Meestal kun je wel een scrub dienst afnemen voor volume en protocol-based attacks, maar het is vooral afhankelijk van de netwerkcapaciteit en apparatuur met volume attacks.

Zo heb ik ooit 2 servers gehuurd in zo'n datacenter en als proxy gebruikt voor mijn webservers. Dat ging prima. Als je een paar gameservers hebt, dan ben je vrij snel de pineut.
(In tegenstelling tot bv Cloudflare wat enkel via DNS bescherming bied)
Cloudflare gaat wel wat verder dan dat hoor:
https://www.cloudflare.com/magic-transit/
Dat is dan vrij nieuw, even gekeken, is idd van eind 2019 pas. We waren er langer geleden mee bezig en toen had Cloudflare dat nog niet en was de dienst in principe waardeloos voor ons (IP geheimhouden is gewoon niet mogelijk in het onderwijs)

Zijn toen bij Nawas terechtgekomen.
Tja, Amerikanen zijn nou eenmaal beter met marketing
Waarom lijkt je veel geld uitgeven aan een (Amerikaans) bedrijf voor dat soort ddos bescherming je redelijker dan een wachtrij? Het lijkt er namelijk niet op dat de wachtrij er nog niet was bij het CBR, alleen verplaatst. Kunnen ze het geld niet beter besteden aan verhelpen van de wachtrijen op keuringen en examens dan aan dure ddos bescherming uit te geven?
CBR en online toepassingen zijn niet bepaald goede combinaties. Helaas is er zoveel bureaucratie binnen het bedrijf (net zoals menig andere overheid instelling) dat veranderingen doorvoeren echt lang duren. Die wachtrij functie was er geloof ik al voor als het echt druk was, bijvoorbeeld toen de rijscholen weer open mochten.
Die bureaucratie hebben de door ons gekozen politici over dit soort instanties heen gestort omdat wij het nodig vinden dat aan een flink pak eisen voldaan wordt. En je mag hooguit 2 kiezen uit "goed, goedkoop en snel klaar".

Nu werk ik bij een bedrijf vol intelligente, tech-savvy mensen en ook wij hebben grote problemen met DDoS aanvallen op belangrijke applicaties. Het CBR is hier absoluut niet uniek in en het zegt m.i. ook niets over hoe goed ze in online toepassingen zijn.
Uit eigen ervaring is de IT-afdeling prima in orde daar, het zijn echt bureaucratische lagen erboven die de boel daar nodeloos moeilijk en onnodig complex maken...(qua besluitvorming)
Ja vindt het ook vreemd. Er zijn zoveeeel middelen die ingezet kunnen worden, om drukte en aanvallen te verdelen, die ook nog is zoveel gebruiksvriendelijker zijn dan een digitale wachtrij.

Van in de rij staan om de supermarkt in te mogen, naar de digitale rij voor overheid websites..
Nadeel van die 2 is dat ze beide Amerikaans zijn. Het is algemeen bekend dat de Amerikanen het niet zo nauw nemen met de privacy. Tevens is er ook een wet die Amerikaanse bedrijven verplicht op verzoek van de Amerikaanse overheid inzicht te geven in hun data.

Dan heb ik zelf meer vertrouwen in de NaWas zoals hieronder genoemd.

[Reactie gewijzigd door Toet3r op 6 mei 2021 14:47]

Verbaasd mij dat Qbine van Serverius hier niet genoemd wordt als dé oplossing voor zulke type aanvallen.. Enige partij in heel Nederland welke een cloud oplossing aanbied tegen DDoS aanvallen op laag 3, 4 en 7 incl. een WAF. En het is niet eens zo duur ter vergelijking met de Amerikaanse partijen zoals een Akamai of een Cloudflare.
Deze wachtrij zit er heel lang op, de wachtrij is nu alleen langer omdat er meer "mensen" voor je zouden zijn
Ja precies, kan me geen moment heugen dat je daar direct in kan loggen. Volgens mij hebben ze ook nogsteeds openingstijden voor MijnCBR, dat blijf ik ook raar vinden. Maar alé.
Ja inderdaad, 's nachts is de website inderdaad op slot om een of andere reden
Waarom hun website openingstijden heeft is mij ook totaal onduidelijk. Dat je een website een keer een nachtje dicht gooit voor onderhoud kan ik begrijpen, maar elke nacht?
Zal wel een bezuiniging zijn. Dan hoeft het IT-personeel ‘s nachts geen standby te draaien (en, als er wat stuk gaat, overuren te maken) om een website in de lucht te houden die ‘s nachts toch nauwelijks gebruikt wordt.
Bizar zeg, nog nooit eerder gezien dat een professionele dienst 's nachts op slot gaat.

Ook zo lekker knullig die tijden op hun website: open van 13.00 tot 24.00 uur
Iemand moet toch gezien hebben dat dat 00.00 uur moet zijn?
Ja net zoals het UWV die heeft bij drukte, maar het CBR spant wel de kroon, die wachtrij zit er al zeker een paar jaar op.
CBR is wel heer en meester in (lange) wachtlijsten; wachtlijsten voor de praktijkexamens, wachtlijsten voor theorieexames en nu om de website op te komen. Je gaat van wachtlijst naar wachtlijst :+
Sluit aan (pun intended) bij de wijze waarop we autofilerijden
Kan je vast wennen...
Die wachtrij hebben ze echt al jaren.
Loop toch al een tijdje mee, maar een DDOS tegengaan met een wachtrij daar heb ik nog nooit van gehoord.
CBR ligt nog steeds plat? Wachtrij schijnt niet echt veel te helpen.
Ik ben aan 't wachten op mijn Motor Theorie,
Deze wachtrij is er al sinds ik in maart aan het wachten ben.
Hoogtepunt was tijdens de persconferentie dat er meer tijden beschikbaar kwamen ook in de avond.
toen was ik nr 7###+ in de wachtrij (om 1u middernacht kon ik er op maar helaas geen nieuwe kans).
Denk dat het motief van de dader wel bekend is. Zijn er mensen blij dat een bedrijf een monopoly heeft op iets wat ons allen betreft? Ik zie Zbo's altijd bovengemiddeld vaak falen.

Bijna 500 examinatoren, terwijl je dit ook virtueel kan afnemen.
Onrealistische medische keuringen gebaseerd op 40 jaar oude kennis.
Geen rijbewijs voor level 3-4 autonome wagens.
Constant falen met ICT.
Onrealistische medische keuringen gebaseerd op 40 jaar oude kennis.
Vooral dit is triest. Zodra je wat hebt moet je elke keer op nodeloze keuringen die vooral een hoop geld en tijd kosten. Vaak gaat het zelfs om aandoeningen die niet of nauwelijks effect hebben op de rijvaardigheid zoals autisme.
Ligt er natuurlijk maar net aan of iemand een stabiel ziektebeeld heeft en geen medicijnen gebruikt die de rijvaardigheid beinvloeden.
Aan de andere kant is het land te klein wanneer iemand van 90 die het niet meer zo scherp ziet een kind doodrijdt want dan had de overheid in moeten grijpen...
Ja, maar "ik heb autisme" is dus wat anders dan "ik heb autisme en gebruik daarvoor medicijnen die mogelijk invloed hebben op mijn rijgedrag". Ze kijken nu naar het labeltje wat je hebt bij het behalen van je rijbewijs en bepalen aan de hand daarvan dat je de rest van je leven periodiek moet worden gekeurd, ongeacht of deze aandoening daadwerkelijk invloed heeft op je rijvaardigheid.

Als iemand niet scherp meer ziet of onder de medicijnen zit dan is het aan de potentiele bestuurder om te beslissen dat het onverantwoord is om te gaan rijden. Zo werkt het in ieder geval voor "gewone" mensen en zo zou het ook moeten werken voor mensen met een aandoening.
Als niet zoveel mensen zichzelf zo zouden overschatten zou dat inderdaad de ideale oplossing zijn.
Helemaal met je eens, maar de CBR controles doen daar niets tegen en zadelen een selecte groep mensen op met onnodige en dure controles.
Geen rijbewijs voor level 3-4 autonome wagens.
jawel hoor. Namelijk het gewone rijbewijs.

Definitie level3: Level 3 (eyes-off): In bekende en niet-complexe omgevingen (een snelweg bijvoorbeeld) kan de bestuurder de aandacht veilig van zijn rijtaken naar iets anders verleggen. Echter, wanneer nodig moet hij de controle van het voertuig overpakken.

Dat betekent dus dat je alle kennis van een normaal rijbewijs nodig hebt, want je weet niet van tevoren wanneer en in welke situatie je terecht komt waarbij je de controle moet kunnen overpakken. Dus je moet volledig alle dingen kunnen doen die bij een normaal rijbewijs horen.
Komt volgens mij pas in beeld bij level 5 (volledig autonoom). En zelfs dan pas als er meer duidelijk is geworden over de juridische aansprakelijkheid.
Je hebt een rijbewijs voor autonome autos en dat noemen we een rijbewijs voor een automaat...
Als je een ddos-aanval ondergaat ligt je lijn plat en kun je dat wachtscherm en de hele front-end ook wel vergeten. Zo een wachtscherm ontlast de back-end, waar een ddos (TCP SYN flood) geen effect op heeft want die pakketten horen daar helemaal niet te komen.

Drogreden dus.
Dit schrijf je wel heel stellig, maar niet iedere DDOS aanval heeft als doel om de lijn te overbelasten. De webserver bezig houden (al dan niet via een bug) zonder de lijn te cappen werkt ook prima.
Dat is wel een beetje kort door de bocht. Er zijn namelijk meerdere vormen van DDoS aanvallen. Het gaat lang niet altijd om het laten vollopen van een verbinding. Zo kan je ook een aanval uitvoeren op bv OSI layer 7 (Applicatie laag) waarbij je soms met veel minder bandbreedte een applicatie / site / dienst door de knieën krijgt.

De TCP SYN flood waar je naar verwijst is ook slechts 1 specifieke aanval. Zo zijn er ook zaken als
ICMP (Ping) Flood, Ping of Death, Slowloris, NTP Amplification, HTTP Flood,DNS Amplification (om maar een paar te noemen). Het steekt niet altijd zo relatief eenvoudig in elkaar als je hier doet voorkomen.

[Reactie gewijzigd door Bor op 6 mei 2021 16:47]

Ah mooi, weer wat leesvoer.
Voor medegeïntresseerden:
https://www.cloudflare.co...cation-layer-ddos-attack/
En die paar <200(?) sessies laten wachten hebben een ontlastend effect op de serverload naast een ddos? Laat me niet lachen.
Nou, de site lag er gisteren even uit (dus de wachtrij helpt niet altijd) maar toen de site terug kwam stond ik als 4884 in de wachtrij, dus zijn denk ik toch wat meer dan 200 sessies.
Ah, ik ging uit van het dubbele in de afbeelding in het artikel.
Maar dan nog, zelfs 5.000 sessies over een hele minuut verdeeld is peanuts voor een nginx op een oude pentium.
Maar dan nog, zelfs 5.000 sessies over een hele minuut verdeeld is peanuts voor een nginx op een oude pentium.
Voor NGINX is het geen probleem, maar wel mogelijk voor de webapplicatie die via NGINX aangeboden wordt. Het ligt er ook aan hoe efficiënt dat is geschreven, in wat dat is geschreven, en op wat voor ijzer het draait.
En daarom denk ik, deductief, dat het hele ddos verhaal een drogreden is. Of in ieder geval uit de context geblazen c.q. ongerelateerd aan dit wachtscherm.

Als je een ddos-aanval ondergaat ligt je lijn plat en kun je dat wachtscherm en de hele front-end ook wel vergeten. Zo een wachtscherm ontlast de back-end, waar een ddos (TCP SYN flood) geen effect op heeft want die pakketten horen daar helemaal niet te komen.

[Reactie gewijzigd door Mushroomician op 6 mei 2021 15:20]

Voor nginx zeker niet, maar bijv voor php-fpm wel.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True