CBR stelt wachtrij in op website na voortdurende ddos-aanvallen

Het Nederlandse Centraal Bureau voor Rijvaardigheidsbewijzen heeft sinds maandag te maken met ddos-aanvallen. Maandag en dinsdag was de site van het CBR 'beperkt tot niet bereikbaar' en ook donderdag gaat inloggen nog met een vertraging.

De dienst heeft een wachtrij ingesteld op de website voor mensen die willen inloggen op Mijn CBR. Volgens de dienst is dat nodig door grote drukte. Gebruikers krijgen twee minuten de tijd om in te loggen met DigiD, als ze aan de beurt zijn.

Sinds maandag 3 mei heeft het CBR te maken met gerichte ddos-aanvallen. De site was daardoor volgens de organisatie maandag en dinsdag 'beperkt tot niet bereikbaar'. Het CBR zegt maatregelen genomen te hebben om nieuwe aanvallen tegen te gaan en zegt er ook 'alles aan te doen om de daders juridisch te vervolgen'.

Door het instellen van de wachtrij kan het CBR ook bij voortdurende aanvallen in de lucht blijven, zegt de organisatie tegen NU.nl. Volgens een woordvoerder lukt het vaak na een paar minuten om in te loggen, maar is het soms beter om op een ander moment terug te komen.

Wachtrij bij CBR

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 06-05-2021 14:06 76

06-05-2021 • 14:06

76

Lees meer

Belgische overheid is getroffen door ddos-aanval bij Belnet
Belgische overheid is getroffen door ddos-aanval bij Belnet Nieuws van 4 mei 2021
Internetproviders zijn getroffen door ddos-aanvallen - update 2
Internetproviders zijn getroffen door ddos-aanvallen - update 2 Nieuws van 22 maart 2021
TransIP is getroffen door ddos-aanval - update 2
TransIP is getroffen door ddos-aanval - update 2 Nieuws van 22 maart 2021
Storing Belastingdienst is na een dag nog niet over en oorzaak is onbekend
Storing Belastingdienst is na een dag nog niet over en oorzaak is onbekend Nieuws van 2 maart 2021
Ict-project CBR valt miljoenen euro's duurder uit dan begroot
Ict-project CBR valt miljoenen euro's duurder uit dan begroot Nieuws van 17 april 2019
CBR: rijden met navigatiesysteem wordt verplicht bij Nederlands rijexamen
CBR: rijden met navigatiesysteem wordt verplicht bij Nederlands rijexamen Nieuws van 21 december 2018
Meer producten en artikelen
Economie en maatschappij Ddos Nederland

Reacties (76)

-Moderatie-faq
76
72
33
3
0
31
Wijzig sortering

Sorteer op:

Weergave:
Jeoh 6 mei 2021 14:14
Kan het CBR echt die paar duizend euro per maand niet kwijt aan een Akamai of een Cloudflare om degelijke DDoS-bescherming af te nemen?
Navi @Jeoh6 mei 2021 14:29
Neem dan de NaWas van het NBIP, is gewoon nederlands en bied echte BGP bescherming tegen DDOS aanvallen >500 Gbps.

https://www.nbip.nl/nawas/

(In tegenstelling tot bv Cloudflare wat enkel via DNS bescherming bied)
mkools24 @Navi6 mei 2021 14:40
NaWas werkt enkel tegen volume attacks. Dit is waarschijnlijk een Layer7 aanval, dus gewoon met heel veel HTTP verkeer een website down brengen zonder dat het waarschijnlijk veel bandbreedte kost.

Voor dit soort aanvallen heb je toch een web application firewall nodig zoals Cloudflare bijv. heeft. Alleen hebben die overheidsinstanties vaak als eis dat alle data in NL moet blijven (bijv ook bij banken) en daardoor kunnen ze geen Cloudflare gebruiken. Omdat de data dan bijv via servers in de VS gaat lopen.

Het blijft een kat en muis spel, soms is het verkeer amper te onderscheiden van legitiem verkeer en dat maakt het lastig om te filteren. Je moet als verdediging realtime aanpassingen doorvoeren. Die scriptkiddies gebruiken vaak meerdere booters met verschillende methodes.
Jeoh @mkools246 mei 2021 14:52
Je kan in ieder geval bij Akamai gewoon aangeven dat je endpoints alleen in Nederland mogen staan.
muppet99 @Jeoh6 mei 2021 16:38
Selective blackholing. Mooie techniek. Job heeft er een aantal jaren gelden een mooie presentatie gegeven: https://youtu.be/NAbvO4052f0
Superior1986 @mkools246 mei 2021 15:14
Hier hebben ze Data Localization voor, het is dus wel mogelijk.
mkools24 @Superior19866 mei 2021 15:28
Dan moet je daar maar vanuit gaan dat het ook zo is. En je data loopt alsnog via een Amerikaans bedrijf maar dan wellicht misschien wel via Nederlandse servers.
killercow @mkools246 mei 2021 16:25
Een WAF is ook niet iets dat je alleen bij Cloudflare kunt afnamen uiteraard. Genoeg on-premise oplossingen die je kunt kopen inc support. Of gewoon zelf kunt samenstellen.
mocem @killercow7 mei 2021 08:46
On-prem is niet te betalen.
killercow @mocem7 mei 2021 09:48
Lol, wat een onzin. Als je nou zou zeggen dat on-prem ddos protection niet betaalbaar is had je een punt, maar on-prem een layer 7 firewall kun je gewoon tot in de gigabits zelf bouwen op basis van bijvoorbeeld nginx, of aankopen met nog veel grotere bandbreedtes vanaf wat, 15k? We hebben het over de CBR hier, die hebben vast wel meer dan 15K budget.
GunterO @Navi6 mei 2021 14:33
Interessant. Is er ook zo een service voor België?
datakiller @GunterO6 mei 2021 15:03
Edpnet.be maakt ook gebruik van NaWas, dus ik denk het niet of het is te duur.
GunterO @datakiller6 mei 2021 15:57
Bedankt!
-Colossalman- @GunterO6 mei 2021 15:59
Dat stond wel op de planning om uit te breiden naar België geloof ik.
Weet alleen zo even >niet< of dit al gelukt is
TumTum @GunterO6 mei 2021 16:16
Er zitten in Duitsland en Frankrijk ook partijen met Anti-DDoS diensten. (ook voor colocation) Ik weet niet in hoeverre Layer 7 bescherming beschikbaar is in Nederlandse of Belgische datacenters. Meestal kun je wel een scrub dienst afnemen voor volume en protocol-based attacks, maar het is vooral afhankelijk van de netwerkcapaciteit en apparatuur met volume attacks.

Zo heb ik ooit 2 servers gehuurd in zo'n datacenter en als proxy gebruikt voor mijn webservers. Dat ging prima. Als je een paar gameservers hebt, dan ben je vrij snel de pineut.
PolarBear @Navi6 mei 2021 14:46
(In tegenstelling tot bv Cloudflare wat enkel via DNS bescherming bied)
Cloudflare gaat wel wat verder dan dat hoor:
https://www.cloudflare.com/magic-transit/
Navi @PolarBear6 mei 2021 16:56
Dat is dan vrij nieuw, even gekeken, is idd van eind 2019 pas. We waren er langer geleden mee bezig en toen had Cloudflare dat nog niet en was de dienst in principe waardeloos voor ons (IP geheimhouden is gewoon niet mogelijk in het onderwijs)

Zijn toen bij Nawas terechtgekomen.
Harm_H @Navi6 mei 2021 14:39
Tja, Amerikanen zijn nou eenmaal beter met marketing
kodak
@Jeoh6 mei 2021 15:33
Waarom lijkt je veel geld uitgeven aan een (Amerikaans) bedrijf voor dat soort ddos bescherming je redelijker dan een wachtrij? Het lijkt er namelijk niet op dat de wachtrij er nog niet was bij het CBR, alleen verplaatst. Kunnen ze het geld niet beter besteden aan verhelpen van de wachtrijen op keuringen en examens dan aan dure ddos bescherming uit te geven?
bloodlynx @Jeoh6 mei 2021 15:02
CBR en online toepassingen zijn niet bepaald goede combinaties. Helaas is er zoveel bureaucratie binnen het bedrijf (net zoals menig andere overheid instelling) dat veranderingen doorvoeren echt lang duren. Die wachtrij functie was er geloof ik al voor als het echt druk was, bijvoorbeeld toen de rijscholen weer open mochten.
bzzzt @bloodlynx6 mei 2021 15:14
Die bureaucratie hebben de door ons gekozen politici over dit soort instanties heen gestort omdat wij het nodig vinden dat aan een flink pak eisen voldaan wordt. En je mag hooguit 2 kiezen uit "goed, goedkoop en snel klaar".

Nu werk ik bij een bedrijf vol intelligente, tech-savvy mensen en ook wij hebben grote problemen met DDoS aanvallen op belangrijke applicaties. Het CBR is hier absoluut niet uniek in en het zegt m.i. ook niets over hoe goed ze in online toepassingen zijn.
GenomDalar1983 @bzzzt6 mei 2021 18:02
Uit eigen ervaring is de IT-afdeling prima in orde daar, het zijn echt bureaucratische lagen erboven die de boel daar nodeloos moeilijk en onnodig complex maken...(qua besluitvorming)
Christoxz @Jeoh6 mei 2021 14:33
Ja vindt het ook vreemd. Er zijn zoveeeel middelen die ingezet kunnen worden, om drukte en aanvallen te verdelen, die ook nog is zoveel gebruiksvriendelijker zijn dan een digitale wachtrij.

Van in de rij staan om de supermarkt in te mogen, naar de digitale rij voor overheid websites..
Toet3r @Jeoh6 mei 2021 14:37
Nadeel van die 2 is dat ze beide Amerikaans zijn. Het is algemeen bekend dat de Amerikanen het niet zo nauw nemen met de privacy. Tevens is er ook een wet die Amerikaanse bedrijven verplicht op verzoek van de Amerikaanse overheid inzicht te geven in hun data.

Dan heb ik zelf meer vertrouwen in de NaWas zoals hieronder genoemd.

[Reactie gewijzigd door Toet3r op 22 juli 2024 15:19]

insyN @Jeoh7 mei 2021 09:50
Verbaasd mij dat Qbine van Serverius hier niet genoemd wordt als dé oplossing voor zulke type aanvallen.. Enige partij in heel Nederland welke een cloud oplossing aanbied tegen DDoS aanvallen op laag 3, 4 en 7 incl. een WAF. En het is niet eens zo duur ter vergelijking met de Amerikaanse partijen zoals een Akamai of een Cloudflare.
Profdumbledore 6 mei 2021 14:09
Deze wachtrij zit er heel lang op, de wachtrij is nu alleen langer omdat er meer "mensen" voor je zouden zijn
WhatsappHack
@Profdumbledore6 mei 2021 15:14
Ja precies, kan me geen moment heugen dat je daar direct in kan loggen. Volgens mij hebben ze ook nogsteeds openingstijden voor MijnCBR, dat blijf ik ook raar vinden. Maar alé.
Profdumbledore @WhatsappHack6 mei 2021 15:18
Ja inderdaad, 's nachts is de website inderdaad op slot om een of andere reden
MaxTheKing @WhatsappHack6 mei 2021 15:49
Waarom hun website openingstijden heeft is mij ook totaal onduidelijk. Dat je een website een keer een nachtje dicht gooit voor onderhoud kan ik begrijpen, maar elke nacht?
downtime @MaxTheKing7 mei 2021 02:30
Zal wel een bezuiniging zijn. Dan hoeft het IT-personeel ‘s nachts geen standby te draaien (en, als er wat stuk gaat, overuren te maken) om een website in de lucht te houden die ‘s nachts toch nauwelijks gebruikt wordt.
nickpma @downtime7 mei 2021 04:39
Bizar zeg, nog nooit eerder gezien dat een professionele dienst 's nachts op slot gaat.

Ook zo lekker knullig die tijden op hun website: open van 13.00 tot 24.00 uur
Iemand moet toch gezien hebben dat dat 00.00 uur moet zijn?
Bongoarnhem @Profdumbledore6 mei 2021 15:48
Ja net zoals het UWV die heeft bij drukte, maar het CBR spant wel de kroon, die wachtrij zit er al zeker een paar jaar op.
Mrjraider 6 mei 2021 14:14
CBR is wel heer en meester in (lange) wachtlijsten; wachtlijsten voor de praktijkexamens, wachtlijsten voor theorieexames en nu om de website op te komen. Je gaat van wachtlijst naar wachtlijst :+
Get!em @Mrjraider6 mei 2021 14:23
Sluit aan (pun intended) bij de wijze waarop we autofilerijden
bzzzt @Get!em6 mei 2021 15:15
Kan je vast wennen...
JZ1803 6 mei 2021 14:10
Die wachtrij hebben ze echt al jaren.
Cyberpuppy 6 mei 2021 14:47
Loop toch al een tijdje mee, maar een DDOS tegengaan met een wachtrij daar heb ik nog nooit van gehoord.
Desiler 6 mei 2021 14:49
CBR ligt nog steeds plat? Wachtrij schijnt niet echt veel te helpen.
Gorlimtouk 6 mei 2021 15:57
Ik ben aan 't wachten op mijn Motor Theorie,
Deze wachtrij is er al sinds ik in maart aan het wachten ben.
Hoogtepunt was tijdens de persconferentie dat er meer tijden beschikbaar kwamen ook in de avond.
toen was ik nr 7###+ in de wachtrij (om 1u middernacht kon ik er op maar helaas geen nieuwe kans).
PrismSub7 6 mei 2021 14:24
Denk dat het motief van de dader wel bekend is. Zijn er mensen blij dat een bedrijf een monopoly heeft op iets wat ons allen betreft? Ik zie Zbo's altijd bovengemiddeld vaak falen.

Bijna 500 examinatoren, terwijl je dit ook virtueel kan afnemen.
Onrealistische medische keuringen gebaseerd op 40 jaar oude kennis.
Geen rijbewijs voor level 3-4 autonome wagens.
Constant falen met ICT.
ErikT738 @PrismSub76 mei 2021 14:44
Onrealistische medische keuringen gebaseerd op 40 jaar oude kennis.
Vooral dit is triest. Zodra je wat hebt moet je elke keer op nodeloze keuringen die vooral een hoop geld en tijd kosten. Vaak gaat het zelfs om aandoeningen die niet of nauwelijks effect hebben op de rijvaardigheid zoals autisme.
bzzzt @ErikT7386 mei 2021 15:24
Ligt er natuurlijk maar net aan of iemand een stabiel ziektebeeld heeft en geen medicijnen gebruikt die de rijvaardigheid beinvloeden.
Aan de andere kant is het land te klein wanneer iemand van 90 die het niet meer zo scherp ziet een kind doodrijdt want dan had de overheid in moeten grijpen...
ErikT738 @bzzzt6 mei 2021 16:13
Ja, maar "ik heb autisme" is dus wat anders dan "ik heb autisme en gebruik daarvoor medicijnen die mogelijk invloed hebben op mijn rijgedrag". Ze kijken nu naar het labeltje wat je hebt bij het behalen van je rijbewijs en bepalen aan de hand daarvan dat je de rest van je leven periodiek moet worden gekeurd, ongeacht of deze aandoening daadwerkelijk invloed heeft op je rijvaardigheid.

Als iemand niet scherp meer ziet of onder de medicijnen zit dan is het aan de potentiele bestuurder om te beslissen dat het onverantwoord is om te gaan rijden. Zo werkt het in ieder geval voor "gewone" mensen en zo zou het ook moeten werken voor mensen met een aandoening.
bzzzt @ErikT7386 mei 2021 16:49
Als niet zoveel mensen zichzelf zo zouden overschatten zou dat inderdaad de ideale oplossing zijn.
ErikT738 @bzzzt6 mei 2021 22:23
Helemaal met je eens, maar de CBR controles doen daar niets tegen en zadelen een selecte groep mensen op met onnodige en dure controles.
mjtdevries @PrismSub76 mei 2021 14:37
Geen rijbewijs voor level 3-4 autonome wagens.
jawel hoor. Namelijk het gewone rijbewijs.

Definitie level3: Level 3 (eyes-off): In bekende en niet-complexe omgevingen (een snelweg bijvoorbeeld) kan de bestuurder de aandacht veilig van zijn rijtaken naar iets anders verleggen. Echter, wanneer nodig moet hij de controle van het voertuig overpakken.

Dat betekent dus dat je alle kennis van een normaal rijbewijs nodig hebt, want je weet niet van tevoren wanneer en in welke situatie je terecht komt waarbij je de controle moet kunnen overpakken. Dus je moet volledig alle dingen kunnen doen die bij een normaal rijbewijs horen.
Cyberpuppy @mjtdevries6 mei 2021 14:49
Komt volgens mij pas in beeld bij level 5 (volledig autonoom). En zelfs dan pas als er meer duidelijk is geworden over de juridische aansprakelijkheid.
stewie @PrismSub76 mei 2021 14:40
Je hebt een rijbewijs voor autonome autos en dat noemen we een rijbewijs voor een automaat...
Mushroomician 6 mei 2021 15:34
Als je een ddos-aanval ondergaat ligt je lijn plat en kun je dat wachtscherm en de hele front-end ook wel vergeten. Zo een wachtscherm ontlast de back-end, waar een ddos (TCP SYN flood) geen effect op heeft want die pakketten horen daar helemaal niet te komen.

Drogreden dus.
eric.1 @Mushroomician6 mei 2021 16:08
Dit schrijf je wel heel stellig, maar niet iedere DDOS aanval heeft als doel om de lijn te overbelasten. De webserver bezig houden (al dan niet via een bug) zonder de lijn te cappen werkt ook prima.
Bor Coördinator Frontpage Admins / FP Powermod @Mushroomician6 mei 2021 16:44
Dat is wel een beetje kort door de bocht. Er zijn namelijk meerdere vormen van DDoS aanvallen. Het gaat lang niet altijd om het laten vollopen van een verbinding. Zo kan je ook een aanval uitvoeren op bv OSI layer 7 (Applicatie laag) waarbij je soms met veel minder bandbreedte een applicatie / site / dienst door de knieën krijgt.

De TCP SYN flood waar je naar verwijst is ook slechts 1 specifieke aanval. Zo zijn er ook zaken als
ICMP (Ping) Flood, Ping of Death, Slowloris, NTP Amplification, HTTP Flood,DNS Amplification (om maar een paar te noemen). Het steekt niet altijd zo relatief eenvoudig in elkaar als je hier doet voorkomen.

[Reactie gewijzigd door Bor op 22 juli 2024 15:19]

Mushroomician @Bor6 mei 2021 22:50
Ah mooi, weer wat leesvoer.
Voor medegeïntresseerden:
https://www.cloudflare.co...cation-layer-ddos-attack/
Mushroomician 6 mei 2021 14:13
En die paar <200(?) sessies laten wachten hebben een ontlastend effect op de serverload naast een ddos? Laat me niet lachen.
MeNTaL_TO @Mushroomician6 mei 2021 14:14
Nou, de site lag er gisteren even uit (dus de wachtrij helpt niet altijd) maar toen de site terug kwam stond ik als 4884 in de wachtrij, dus zijn denk ik toch wat meer dan 200 sessies.
Mushroomician @MeNTaL_TO6 mei 2021 14:19
Ah, ik ging uit van het dubbele in de afbeelding in het artikel.
Maar dan nog, zelfs 5.000 sessies over een hele minuut verdeeld is peanuts voor een nginx op een oude pentium.
The Zep Man
@Mushroomician6 mei 2021 14:26
Maar dan nog, zelfs 5.000 sessies over een hele minuut verdeeld is peanuts voor een nginx op een oude pentium.
Voor NGINX is het geen probleem, maar wel mogelijk voor de webapplicatie die via NGINX aangeboden wordt. Het ligt er ook aan hoe efficiënt dat is geschreven, in wat dat is geschreven, en op wat voor ijzer het draait.
Mushroomician @The Zep Man6 mei 2021 15:19
En daarom denk ik, deductief, dat het hele ddos verhaal een drogreden is. Of in ieder geval uit de context geblazen c.q. ongerelateerd aan dit wachtscherm.

Als je een ddos-aanval ondergaat ligt je lijn plat en kun je dat wachtscherm en de hele front-end ook wel vergeten. Zo een wachtscherm ontlast de back-end, waar een ddos (TCP SYN flood) geen effect op heeft want die pakketten horen daar helemaal niet te komen.

[Reactie gewijzigd door Mushroomician op 22 juli 2024 15:19]

mkools24 @Mushroomician6 mei 2021 14:42
Voor nginx zeker niet, maar bijv voor php-fpm wel.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq