Hostingprovider Argeweb is getroffen door een ddos-aanval - update

Hostingprovider Argeweb ervaart momenteel een dns-verstoring door een ddos-aanval. Verschillende klanten melden hierdoor problemen met internet waardoor verschillende apps en servers niet toegankelijk zijn.

Op de website meldt Argeweb dat er een verstoring is op het dns-platform van het bedrijf, na een ddos-aanval. Het bedrijf onderzoekt waarom gebruikelijke maatregelen om zich te wapenen tegen ddos-aanvallen niet effectief zijn.

Door de aanval zijn verschillende diensten uit de lucht, waaronder mail van Argeweb, maar ook externe apps en servers van klanten, melden zij op Twitter. Allestoringen meldt meer dan honderd meldingen sinds 9 uur vandaag, waarbij vooral problemen met hosting en domeinen gemeld worden. Argeweb meldt op de website geen problemen te hebben met andere diensten, zoals Linux- en Windows-hosting, VPS, cloud en online back-up, enkel met dns.

Update 10:20 - Argeweb meldt dat het probleem is opgelost.

Door Stephan Vegelien

Redacteur

28-05-2021 • 10:06

36

Submitter: Sepiroth

Reacties (36)

36
35
13
3
0
10
Wijzig sortering
Is duidelijk of Argeweb iets technisch heeft weten te doen om het te laten stoppen, of dat de aanvallers om een of andere reden zelf hebben besloten om de aanval te staken?
Ik heb nog geen uitgebreide toelichting van Argeweb gezien, behalve dat ze het uitzoeken. Ik zal het ze later nog eens vragen.
Mooie timing, drie minuten na publicatie. Bedankt voor je toevoeging.
Ik kan je uit eigen ervaring vertellen dat dit type DDoS steeds vaker voor komt en deze net als alle andere DDoS varianten lastig te mitigeren zijn.

Wat helpt is een grote mate van schaalbaarheid waardoor je deze gigantische hoeveelheid requests aan kan. Maar het houdt natuurlijk ergens op. Daarna heb je de optie om de dns verzoeken te blackholen of door een wasstraat te sturen.

Er zijn al wel geavanceerdere DNS diensten zoals Azure Defender for DNS die soelaas bieden bij aanvallen maar ik vraag me af of zij daadwerkelijk een aanval als deze kunnen stoppen.
Ik werk zelf bij een game hosting provider en zie dit uiteraard ook gebeuren. Probleem is ook een beetje dat DDOS aanvallen steeds "slimmer" worden. Al een tijdje zijn high-volume attacks niet meer nodig.

Het is vaak gewoon DDOS op maat wat betekend dat de aanval gebruik maakt van kwetsbaarheden in de huidige mitigatie of applicatie. Dat kan dan bijvoorbeeld resulteren dat de mitigatie ook echte spelers/gebruikers gaat rate-limiten of blokkeren waardoor je mitigatie tegen je gaat werken. Hier is dan geen 100Gb/s aanval voor nodig, maar een aanval van 1Gb/s kan daarin al enorm effectief zijn.

Ander voorbeeld is dat een bepaalde payload kleinschalig op een bepaalde port afgevuurd wordt waardoor je applicatie in de war raakt of overloaded wordt. Zulke aanvallen zijn vaak zo klein, waarbij iedere request via een een ander IP adres binnenkomt, waardoor je mitigatie dat bijna niet kan blokkeren.

De nieuwe trend is daarom ook dat deze aanbieders van DDOS aanvallen specifieke aanval methodes aanbieden zoals NFO-bypass, OVH-UDP, OVH-TCP, FiveM-bypass, Steam bypass, Rust-UDP enz. Dit is natuurlijk ook veel goedkoper dan als je 100+Gb/s moet gaan sturen.

Heel veel hostingbedrijven hebben hier erg veel moeite mee omdat hun €300k+ mitigatie het gewoon niet tegen kan gaan en het fixen van zo'n "bypass" aanval is vaak een lang traject :+

Uiteraard is overal een oplossing voor, mag helaas niet precies zeggen wat O-)

[Reactie gewijzigd door jordynegen11 op 23 juli 2024 23:24]

Uiteraard is overal een oplossing voor, mag helaas niet precies zeggen wat O-)
Zo houden we het een kat-muis-spel. Hopelijk staan jullie nu voorlopig 1 streepje voor.
Kat en muis zal het altijd blijven. Het is zelfs zo erg dat we DDOS bounty's gegeven aan personen die onze test server plat kunnen leggen. Wij analyseren dan de aanval, strooien er wat geheime magie overheen en het is patched.

Eigenlijk te triest voor woorden maar in dit geval moet je nou eenmaal out of the box denken.

[Reactie gewijzigd door jordynegen11 op 23 juli 2024 23:24]

Mischien een tip / techinische details hoe dit beter zou kunnen?

We heben hier behoorlijk last van gehad en zijn mede hierdoor opzoek naar ander opties / oplossingen.

Alvast bedankt!
Ben je zelf game-hosting klant? In dat geval wil ik best wel even onze website sturen in een privé bericht. Wellicht dat we je een oplossing kunnen bieden.

Mocht je zelf bij een hosting provider werken moet ik je helaas teleurstellen. De protectie die we aanbieden is ons paradepaardje en ik ben helaas verbonden aan een NDA ;(
En wat is je oplossing tegen een volume aanval?
Zolang je genoeg bandbreedte in huis hebt en de juiste apparatuur dan is dat tegenwoordig vrij simpel te tackelen. Probleem is alleen dat een beetje degelijke spullen honderd duizenden euro's kost en dan moet nog iemand alles gaan installeren 8)7.

Vanwege die prijs schakelt Argeweb waarschijnlijk ook NaWas in om voor hun het verkeer te filteren, maar dat kun je (denk ik) niet 24/7/365 aan laten staan. Overigens heb ik de afgelopen 2 jaar gewoon NaWas-bypass methodes voorbij zien komen....

Het zal altijd kat en muis blijven hoe groot de aanval ook is.
Mijn vraag is hoe los jij dat op. Je geeft namelijk aan dat je allerlei manieren hebt op low volume aanvallen tegen te gaan, maar wat doe je bij een high volume aanval?

Bandbreedte is erg kostbaar, dus dat leg je niet even aan voor een eventuele aanval.
NaWaS kost - relatief gezien - geen drol, maar om nou je hele subnet via hen te laten routeren in geval van een aanval...
Het bedrijf waar wij onze bare metal servers huren heeft op alle locaties al zeer geavanceerde mitigatie hardware staan, behalve in Brazilië, dit komt eind van volgende maand. Dit is een zeer grote speler met een enorme netwerk capaciteit. In tegenstelling tot NaWas hebben wij gewoon permanente mitigatie.

Dit regelt de high volume attacks voor ons en wij vangen zelf de low volume attacks op via onze eigen firewall nodes.

[Reactie gewijzigd door jordynegen11 op 23 juli 2024 23:24]

Je hebt het toch niet over AS49544 ? :P
Nee bij I3D waren we jaren terug al snel weg 😵
Het eerste wat ik doe als ik een nieuwe modem ontvang is het aanpassen van de DNS server. Dit voorkomt de meeste problemen bij DDOS aanvallen op providers. Echter was het laatst het geval dat Tweak haar DNS EN Gateway servers geraakt werden. Toen lag wel echt het hele netwerk plat |:(

Tegenwoordig heb ik een eigen recursive dns o.b.v. pi-hole die niet terugvalt op google/cloudfare o.i.d.
Video: https://www.youtube.com/watch?v=FnFtWsZ8IP0
Dit gaat niet om resolving DNS-servers die je in je modem/router instelt. De authorative nameservers worden hier aangevallen. Op het moment dat je een domein opvraagt die de deze nameservers gebruikt maakt het niet uit of je dit via de resolving nameserver van je provider of een publieke als Google/Cloudflare opvraagt. Zolang de authorative nameservers geen reactie geven is je website gewoon down.
Ik vraag me met dit soort dingen altijd het volgende af:
1. Is het echt waar?
2. Wie zou het doen en waarom?
3. Hoe wordt het gemitigeerd? (Misschien een leuk Plus artikel)
1: Er wordt aan de lopende band van alles en nog wat geddoss'd.
2: Voor de lulz is 1 van de hoofdredenen van DDOS
3: Daar zijn verschillende oplossingen voor, meeste DDOSers zijn skiddies met weinig kennis en die zijn doorgaans redelijk makkelijk af te slaan zolang je meer bandbreedte dan de aanvaller tot je beschikking hebt. Meestal worden bepaalde verzoeken gedaan die je kan afvangen of je filtert de aanval weg met anti-ddos oplossingen.

Zelf had ik in het verleden als regelmatig doelwit wel wat mooie oplossingen verzonnen, vraag me af of het nu nog zo maar mag ivm AVG. Want ik trackte mijn reguliere gebruikers en tijdens een aanval dropte ik al het verkeer behalve van de in het systeem bekende gebruikers.
Denk dat je daar, mits enkel gebruikt voor deze filtering, best wel een juridisch sluitende 'noodzakelijk voor je dienstverlening' van kunt fabriceren die je enkel je gebruikers hoeft te melden.
Waarom zou het niet waar zijn? Een DDOS is slecht voor je imago dus je hebt er echt niks aan om te doen alsof.
Maar is een DDOS slechter voor je imago dan een interne HW storing of door human error? DDOS is namelijk iets wat in principe buiten je macht ligt.

Veel storingen zouden in principe te voorkomen kunnen worden door goed onderhoud en procedures, als je toegeeft dat het een interne storing/human error is, dan lijkt me slechter voor je imago (want zaakjes niet op orde) dan een externe DDOS aanval.

Je zou dan DDOS kunnen gebruiken als excuus voor iets anders, maar misschien is dit wel onzin hoor, is zoiets te checken als een externe?

[Reactie gewijzigd door OMEGA_ReD op 23 juli 2024 23:24]

DDOS kan zeker slecht voor je imago zijn. Bijvoorbeeld bij game-hosting bedrijven wordt tegenwoordig maar verwacht dat ze hun DDOS protectie "in orde" hebben. Klanten zijn snel weg in het geval dat hun server vaak door DDOS plat ligt.

Deze trend waait ook langzaam over op VPS en dedicated server hosting.

[Reactie gewijzigd door jordynegen11 op 23 juli 2024 23:24]

Dus je vergelijkt Gamers die een beetje over de zeik zijn omdat hun spelletje het niet werkt is wat anders dan een ondernemer die begrip kan tonen voor de situatie.
Ja want dat is gewoon een gigantische markt. Zeker nu in tijden van corona is het geëxplodeerd. Dus omdat het particulieren zijn is dat een slechte vergelijking? Zijn game servers die honderden euro's per maand betalen voor hun hosting.

Zat ondernemers die hier ook steeds meer naar kijken bij eventuele overstap naar een nieuwe host. Als host A te lang plat ligt dan gaan ze gewoon naar host B die betere DDOS protectie aanbied.

Al kan je voor een website erg goedkoop je ddos probleem oplossen door gewoon Cloudflare te gebruiken en under attack mode aan te zetten, maar veel mensen weten dat niet. }>

[Reactie gewijzigd door jordynegen11 op 23 juli 2024 23:24]

Ik denk dat een DDOS slechter is juist omdat het buiten je macht ligt en daardoor niet te voorspellen is hoe lang het duurt en hoe krachtig die is.

Als je het wil gooien op 'slechte reclame is ook reclame' dan kun je beter zeggen dat er een server op de grond kapot gevallen is, dus een beperkte impact en snel te herstellen.
Hoe bedoel je 'is het echt waar' precies?
2. Wie? Dat verschilt per keer. Alles van een boze tiener tot een georganiseerde criminele bende. Waarom? Voor de lol, uit ontevredenheid of het is de actie na een afpersing.
Ze melden inmiddels dat het probleem al opgelost is.

https://argeweb.netwerkst.../60b0970410bdfb23b4b5113a

[Reactie gewijzigd door So_Surreal op 23 juli 2024 23:24]

DNS problemen met Argeweb zijn hier nog gewoon aanwezig.
Heb je de DNS cache geleegd, of wellicht een DNS provider in gebruik die sneller update?
Is dit een aanval op ArgeWeb zelf, of wordt er misschien een aanval uitgevoerd door misbruik te maken van de DNS-servers van ArgeWeb?

Momenteel zijn reflectie/amplificatie-aanvallen erg populair in de DDOS wereld. Het principe is dat je een pakketje naar een onschuldige server toe stuurt met vervalst afzenderadres. Het antwoord gaat daarom naar het slachtoffer toe. Niet alleen verbergt dat de aanvaller, het kan de aanval versterken als het antwoord langer is dan de vraag.

Voor de beheerder van de server die hier voor misbruikt wordt kan het echter lastig zijn om te bepalen hoe zo'n aanval nu echt in elkaar zit. Is het doel om jouw systeem aan te vallen, of ben je maar een tussenstap? Aanvallers houden typisch geen rekening met overlast bij de tussenpersonen, dus dat jouw systeem er last van heeft zegt niks.

Ik ga er overigens van uit dat ze het bij Argeweb zelf wel zullen weten. Die partij is groot genoeg om dit soort kennis in huis te hebben, maar ik weet niet of ze er ook mee naar buiten willen komen. Dat soort subtiele details zorgen al snel voor verwarrende verhalen en onrust bij klanten.
Hostingprovicer moet natuurlijk Hostingprovider zijn? :+
Handig weetje dat kan je melden via Feedback ;) niet via een reactie.
Is/was al gemeld: https://gathering.tweaker...message/67491438#67491438

Op dit item kan niet meer gereageerd worden.