DDoS aanvallen zorgen voor faillissement

Een van de oudste internet providers is door veelvuldige DDoS aanvallen zo hard getroffen, dat het Britse bedrijf faillissement heeft moeten aanvragen. Het is de eerste keer dat deze reden gegeven wordt voor een faillisement, aldus het artikel bij Reuters. Met een DDoS aanval, die meestal vanaf een groot aantal computers tegelijk plaatsvindt, wordt het slachtoffer van buitenaf onbereikbaar. Omdat er lang niet altijd wat aan te doen is, geeft dit saboteurs een machtig wapen in handen. Het netwerk van CloudNine Communications was regelmatig zo slecht bereikbaar dat ze uiteindelijk hun klanten hebben moeten overdragen aan een rivaal, zegt mede-oprichter Emeric Miszti:

CloudNine, six years old, was forced to sell its business and hand over 2,500 customers to its rival Zetnet. "The basic reasoning was we would have needed to bring the network offline for far too long (to make repairs). We just came to the conclusion that we couldn't continue," said co-founder Emeric Miszti. Two other recent victims of DDOS attacks were the British Internet portal of the Italian ISP Tiscali, whose service was halted for several days, and the British Internet provider Donhost, whose outage lasted a few hours. "It's not just a game of taking down one server," said Stephane Huet, acting chief operating officer for Tiscali UK. "It affects portal revenues if the rest of the world cannot access it. It has a powerful business impact."

Verwijderd wees ons op dit interessante nieuws.

IT-banen

Reacties (66)

WhiteDog 4 februari 2002 14:12

toch wel een beetje raar... er zal wel wat meer mis geweest zijn. Toch wel ziek die DDOS-attacks. Daar mogen ze gerust zware straffen opzetten.

Verwijderd @WhiteDog • 4 februari 2002 15:29

is dat dan nog niet het geval

dit is toch van de zotten.
Een provider die zo zwaar getroffen wordt door DDoS aanvallen dat hij zijn klanten niet meer van dienst kan zijn.

Ik denk dat er wel meer aan de hand is want voor zover ik weet kan een ISP alles scannen wat over zijn servers gaat dus als ze aangevallen worden moet het wel te achterhalen zijn door wie dat gedaan is.

Verwijderd @Verwijderd • 4 februari 2002 16:57

met gespoofde IP's zijn dit echt enorme problemen. er is bijna niet te achterhalen hoe die DoS attacks worden uitgevoerd. Gespoofde IP's zijn niet uit de logs te achterhalen...

daarnaast is er zoeits als dat ZOmbie progje. Veel mensen weten niet dat ze het hebben draaien. Via een IRC server worden de Zombies aangeroepen en gaan ze met z'n allen lekker pingen naar een machine. Machine vertoont vervolgens DDoS en uit de log blijken de onschuldige 'vervuilden' de kwajongens.

Vind ik heel gemeen! Het schijnt dat script-kindjes heel eenvoudig hun eigen zombie kunnen maken. Het zou zo bloedsimpel in elkaar zitten...

bwt @Verwijderd • 4 februari 2002 17:32

dat is inderdaad kinderlijk simpel volgens Steve Gibson
Je hoeft niet altijd alles te geloven wat steve te vertellen heeft, maar dit verhaal laat zien hoe zo'n DDoS in z'n werk zit.

edit:

linkje aangepast

blaatenator @Verwijderd • 4 februari 2002 20:10

Ook al 'spoof' je je IP, iemand die daadwerkelijk wil kan nog altijd heel dicht bij je komen. Is alleen meestal wel samenwerking met andere netwerkbeheerders voor nodig, en wat tijd.
Dit is iets anders, een dDos, waarschijnlijk gelanceerd vanaf een hoop 'zombies' (pc's (of netwerkapparatuur) van onwetende mensen die een trojan oid hebben geinstalleerd).

Verwijderd @Verwijderd • 4 februari 2002 20:32

Dat leest als een spannend verhaal

leuke tip

nu ben ik ook maar een sukkel, maare hoe tik je dat verticale streepje wat hij gebruik bij die netstat commando's, ik kom er GVD niet uit

hellbringer @Verwijderd • 4 februari 2002 20:54

Die | typ je door de toetscombinatie SHIFT + \ te gebruiken (bij mij zittie boven de ENTER toets, maar soms zit hij op een andere plaats)

....JR

Doe dit niet, dit lijd af, tweakers zeggen elkaar altijd gedag dus is overbodig om dat er iedere keer bij te zetten.

_Pussycat_ @Verwijderd • 4 februari 2002 16:04

Waarschijnlijk zijn dat mensen die stom genoeg een .exe hebben geopend. Bij de volgende aanval zullen het weer anderen zijn.

bitpixl @Verwijderd • 5 februari 2002 08:19

"Een provider die zo zwaar getroffen wordt door DDoS aanvallen dat hij zijn klanten niet meer van dienst kan zijn."

...Misschien dat sommige Nederlandse Providers...

Verwijderd 4 februari 2002 14:13

Waarom zouden mensen een DDoS uitvoeren om een inetprovider failliet te krijgen? Als ze het neit eens zijn met de beleiedsvoering of iets anders van dat bedrijf, dan gaan ze toch naar een ander bedrijf?
Ze zijn toch niet aan dat bedrijf vast gebonden?

* 786562 sir5

NINjak @Verwijderd • 4 februari 2002 14:22

Mischien wel gewoon uitgevoerd door mensen die de boel hebben willen afpersen en als ze niet netjes betalen dan gooien we je site plat....

Gaat wel ver maar ik kan me wel het voorstellen dat het gebruikt wordt/gaat worden.

RetepV @NINjak • 4 februari 2002 14:33

Mischien wel gewoon uitgevoerd door mensen die de boel hebben willen afpersen en als ze niet netjes betalen dan gooien we je site plat....

Ik vind het vooral gek dat nu het bedrijf failliet is verklaard NOG niet op tafel komt WAAROM die DDOS aanvallen werden gepleegd. Er zit toch een reden achter? Waarom moet die verborgen blijven? Dat maakt me toch wel aardig wantrouwig t.o.v. die ISP.

De gegeven verklaring klakkelos voor waar aannemen lijkt me nogal kort door de bocht en het bewijs van ondoordachtzaamheid.

BadRespawn @RetepV • 4 februari 2002 14:55

voor het waarom zal je bij de daders moeten zijn, en die zijn moeilijk te achterhalen.
kan zijn dat het "voor de lol" was, dat maakt voor de gevolgen niet uit.

raptorix 4 februari 2002 14:20

Enige tijd terug was er een interview met een Nederlander die een hondertal sexsites exploiteerde, een russchische concurrent viel hem continue lastig met DDOS aanvallen waardoor zijn sites onbereikbaar werden, ik vrees dat dit soortp praktijken steeds vaker voor zullen komen, het is een eenvoudige simpele manier om concurrenten te dwarsbomen, en er zijn genoeg scripkiddies die voor een paar duizend piek de hele boel plat willen leggen.

Mijns inziens is de enige manier om dit te voorkomen de eigenaren van de machines waarvan de DDOS aanvallen worden gepleegt verantwoordelijk te stellen.

Ik vind dat als je een machine op het internet aansluit dat je zelf voor security hoort te zorgen, als je ziet hoeveel procent van de machines totaal geen beveiliging hebben dan is dat schrikbarend.

Probleem wordt natuurlijk wel weer het mondiale probleem, er zullen altijd landen zijn waar zo een wet er toch niet door heen komt dus wat dat betreft is het een beetje utopisch denken.

Verwijderd @raptorix • 4 februari 2002 14:40

Hoe kun je de eigenaren vd. machines waarvan de DDOS aanvallen worden gepleegd verantwoordelijk stellen, als ze niet eens weten dat er 'n DDOS aanval vanaf hun machine plaatsvindt

Die eikels die dit soort aanvallen uitvoeren zullen dat echt niet vanaf hun eigen systeem doen, maar doen dat via trojans die op PC's geinstalleerd worden & 't liefst machines die op 'n universiteits-net zitten, want die hebben snelle verbinding, wat noodzakelijk is voor DDOS aanvallen.

Ik vind 't in ieder geval heel triest dat door dit soort akties internet verziekt wordt

raptorix @Verwijderd • 4 februari 2002 19:58

Duh, het gaat erom dat als je een op internet aangesloten bak hebt dat je er voor zorgt dat niet jan en alleman jouw hardware en verbinding kunt gebruiken, probleem is dat het aan DDOS aanvallen alleen kunt voorkomen als je begint met het aanpakken van de bron. Zie het maar als een rijbewijs, een rijbewijs is er niet alleen voor jezelf maar ook voor de medeweggebruikers te behoeden tegen andere mensen op de weg.

Verwijderd 4 februari 2002 16:26

Op dit moment is het gewoon een feit dat wanneer een aantal (ingehuurde) script kiddies als doel hebben een site (of router) te DDos-en je er gewoon niets aan kan doen....

Ik had zat net even een beetje te brainstormen en kwam op een grappig idee... Ik ben benieuwd wat jullie er van vinden en denken of dit scenario mogelijk is:

DDossen is eigenlijk een vorm van 'oorlog voeren' waarbij al je packetjes je munitie is...
Je schiet net zo lang met zo veel mogelijk aanvallers (zombies) tot de boel kapot is..

Bij een oorlog kan je je meestal verdedigen (muur bouwen, bunkers, enz). Bij een Ddos gaat dat echter grotendeels (afgezien van Firewal) niet op, aangezien een firewall ook makelijk 'down' te halen is als je maar genoeg pakketjes stuurt..

Maar!
Zou je niet een vorm van Lucht afweer systeem kunnen opzetten...?
Hiermee bedoel ik het volgende:

Zodra je een Ddos detecteerd laat je een applicatie alle IP adressen verzamelen van de zombies waar de aanvallen vandaan komen. Deze applicatie stuurt (middels een isdn lijntje) alle IP nummers door naar een organisatie welke meteen een COUNTERSTRIKE uitvoerd op deze zombies (ook middels een DDos)...
Zo leg je een voor een alle zombies plat en is je aanval voorbij.....

Deze organisatie zou natuurlijk een groot bedrijf kunnen zijn, maar net zo makkelijk ook in de vorm van de bekende

Iedereen een appje op ze computer welke meehelpt aan een Ddos zodra dit nodig is.
Deze app zou dan natuurlijk wel middels bv. een PKI (Public Key Infrastructure) opgezet moeten worden zodat alleen een onafhankelijke organisatie het commando om te vuren kan geven

.....

Ik zie zelf 2 problemen bij dit (lange) verhaaltje:

- Hoeveel IP adressen van zombies kan je verzamelen als je aangevallen wordt voordat je machine waarop je app draait op ze bek gaat?

- Hoe voorkom je dat er misbruik gemaakt wordt van deze Counterstrike service.. (gewoon voor de lol het IP adres van je buurman aan de organisatie doormailen) (112 wordt ook nog 10000 x per jaar voor niets gebelt, en dat alleen in Nederland).
> Zou je kunnen detecteren dat het echt om een DDos gaat?

Dat wat betreft deze 'brainwave' ......

Janoz Moderator PRG/SEA @Verwijderd • 5 februari 2002 08:51

D'r is nog een nadeel. Je kunt de CS DOS server ook lekker misbruiken zonder een nummer te hoeven doorgeven.

Als je een paar zombie's met 'gespoofde' ipadressen een dos laat uitvoeren op willekeurige plaatsen. Het gespoofde ip wordt opgestuurt en de counter attack begint. Door als gespoofed ip overal hetzelfde in te vullen kun je nu met heel weinig zombie's, de CS-server misbruiken voor enorme aanvallen.

Verwijderd 4 februari 2002 14:13

Dit opent weer mogelijkheden voor de illegale manier van zakendoen . Huur wat hackes in en DDoS je concurrenten naar de verdoemenis ...

Verwijderd 4 februari 2002 14:40

ja inderdaad, je word meestal niet voor de lol DDos'ed
daar zit meestal wel iets achter.
en of je er wat aan kan doen, het zou kunnen maar dan moet je zelf van goede huizen komen wil je alles kunnen tracen etc. etc.

http://grc.com/dos/grcdos.htm
dit is nog zo'n verhaal over een DDos aanval, maybe wel interresant om eens door te lezen en vooral om te lezen hoe die man die die ddos voor z'n sokken kreeg het oplost etc.

Leipo 4 februari 2002 14:12

kijk dit vind ik nou zielig van die persoontjes die de Ddos aanvallen begonnen zijn!

kijk dat ze ergens boos over zijn en de provider een paar uurtjes uit de lucht helpen ok.. maar dat de provider zelfs failliet gaat? dat vind ik toch te ver gaan...

eigenlijk zijn alle Ddos aanvallen onnodig maar ja...

blouweKip @Leipo • 4 februari 2002 14:27

Dit is gewoon een mooi smoesje, een provider die zichzelf falliet zou laten gaan door ddos aanvallen heeft toch niet voldoende expertise in huis om goede diensten aan te bieden

TumbleCow @blouweKip • 4 februari 2002 14:32

Als jou bandbreedte gewoon dicht zit, dan kan je daar *echt* niks tegen doen..

Tegen vastlopen/overbelasten van servers kunnen wel een paar dingen gedaan worden, hoewel ook niet veel.

Tegen het simpelweg dichttrekken van complete verbindingen met grote aantallen computer tegelijk, is erg weinig te doen.

HermeS @TumbleCow • 4 februari 2002 15:00

Als je op de border-router of gewoon de router(s)/node waar je aan hangt opdracht geeft om dat verkeer teblokken.

Want dit zal nimmer nooit de enige reden zijn dat een bedrijf failiet gaat, het zal mee gespeelt hebben maar dan meer in de vorm van de druppel die het deed overlopen!

Maar ja, managers van bedrijven schrijven het falen van hun onderneming dan ook zo goed als altijd toe aan de externe (markt) omstandigheden (bijv het zijn slecht tijden voor isp's, de leverancier kwam zijn verplichtingen niet na, we hebben een dos attack(dat we geen reservers hadden of maatregelen hebben genomen zeggen we er niet bij) , terwijl het 9/10 het probleem bij de organisatie ligt!

EDIT: op "Jit", de meeste aanvallen kun je op de buitenste routers wel onschadelijk makne als isp, kun je dan niet dan zul je inderdaad dus een stapje hoger moeten, Je kunt natuurlijk ook altijd als het een ping aanval is ICMP protocol tijdelijk uitzetten (dit levert natuurlijk wel weer andere probs op!).

maartena @TumbleCow • 4 februari 2002 15:10

Je kunt niet zozeer iets doen *tegen* een DoS aanval, maar zo'n DoS aanval is gewoonlijk gericht tegen 1 site, of 1 gebruiker. Er kan bijv. 1 bepaalde site aangevallen worden, of bijv een vervelende gebruiker op IRC.

Zo'm klant kun je bij herhaling gewoon afsluiten, en verzoeken een andere provider te kiezen. Als het gaat om een gebruiker, dan heeft ie toch iets uitgevreten op internet om zo'n DoS aanval te verdienen denk ik zo.... natuurlijk kun je dit nooit bij de eerste keer doen, maar als het bijv. al 3 keer is voorgekomen bij 1 gebruiker binnen bijv. een jaar dan vindt ik dat een hele goede reden om zo'n gebruiker af te sluiten. Zo'n gebruiker kost namelijk meer dan dat ie opleverd.

Bij websites kun je na 3 keer ook afvragen of de inhoud van zo'n site niet een DoS aanval uitlokt. De grootten onder ons zoals CNN en Yahoo hebben een eigen serverpark met eigen lijnen dus moeten hun eigen boontjes maar doppen (herrinner je dat 15 jarige canadeze hackertje nog?)

Ik vindt een DoS een goede reden om iemand af te sluiten, en ook vindt ik dat een systeembeheerder die makkelijk te misbruiken systemen heeft een boete moet kunnen krijgen. Uiteraard moet de pleger gewoon worden opgepakt en alle schade vergoeden.

Jit @TumbleCow • 4 februari 2002 15:26

Als je op de border-router of gewoon de router(s)/node waar je aan hangt opdracht geeft om dat verkeer teblokken.

Leuk, maar dit werkt alleen tegen een DoS. Een beetje goed opgezette DDoS gebruikt al gauw een paar duizend nodes die helpen met verkeer genereren en dat zijn er iets te veel om makkelijk in een (border-)router te blokkeren.

Bovendien verplaats je alleen maar het probleem naar een eerder stadium. De bandbreedte wordt nog steeds gebruikt. Alleen als je top-level provider meehelpt om het probleem bij de bron op te lossen kun je de schade beperken.

* 786562 Jit

HermeS @TumbleCow • 4 februari 2002 15:37

reactie op "maartena"

Ik vindt een DoS een goede reden om iemand af te sluiten,

Een amerikanse adsl isp deed dat ook (toen met code-red).

geloof me of niet, maar ik heb wel eens klanten aan de lijn gehad die compleet overstuur waren omdat de isp waar voor ik werk ze afgesloten hadden ivm het draaien van een openrely server, en nog liepen ze tedreigen met een rechtzaak enzo (wtf is wrong with them?).
Wat ik wil zeggen is dat je gewoon niet zo makkelijk gebruikers kan afsluiten als isp, omdat je afhankelijk bent van je klanten en ze anders dan weglopen,
Een oplossing zou zijn, dat de wet verplicht dat zombie's (de clients in het ddos netwerk) welke aan het dossen zijn binnen 24 uur afgesloten zouden moeten worden , en dat er anders een dwangsom betaald moet worden.

Verwijderd @TumbleCow • 4 februari 2002 17:58

Reactie op Maartena

Je verhaal klinkt wel aardig maar je mist het punt.
We hebben het hier over DDoS aanvallen en niet gewone DoS aanvallen.
Zoals eerder gezegd is hier *echt* niets aan te doen. Je bandbreedte slipt idd dicht en niemand meer die bij je servers kan. Afsluiten van de betreffende IP's is erg moeilijk omdat een DDoS aanval al snel met meer dan 3000 computers wordt uitgevoerd. Het is een soort dweilen met de kraan open en er is géén enkele manier om de kraan dicht te draaien behalve je servers offline halen en dan is de DDoS aanval alsnog geslaagd.

Als iemand een adequate remedie tegen DDoS aanvallen weet te bedenken, kan diegene daar heeeeeeeeeel erg rijk van worden

Verwijderd @TumbleCow • 5 februari 2002 00:19

Als het gaat om een gebruiker, dan heeft ie toch iets uitgevreten op internet om zo'n DoS aanval te verdienen denk ik zo...."

vind je?het is vrij makkelijk om ruzie te krijgen met andere internetters tijdens het chatten. een dos tegen een andere user vind ik meer een laffe uiting van frustratie, en tamelijk ongepast.
Als ik iemand een lullo vind heb ik toch ook niet het recht hem een mep te verkopen?
kortom: dos is imho een typisch geval van digitaal zinloos geweld.
Helaas zit het IP protocol zo in elkaar dat grappen als ip spoofing mogelijk zijn. Tijd misschien om het protocol eens te heroverwegen, anders wordt het nooit wat met internet voor iedereen.

Verwijderd @TumbleCow • 5 februari 2002 10:13

waar wil je op blocken als de aanval van 3500 verschillende ip's op diverse poorten komt?

maartena @TumbleCow • 4 februari 2002 16:57

reactie op hermes

Ik vindt dat als een bepaalde klant meer KOST dan dat ie OPLEVERD doordat er DoS aanvallen plaatsvinden moet kunnen worden afgesloten.

Immers, als je de klant laat zitten, en er volgen meer DoS aanvallen dan zijn ook de andere klanten de dupe, en zullen die klanten ook vertrekken naar een andere hoster....

In het geval van een DoS op een kabel en/of dsl gebruiker moet het duidelijk zijn. Three strikes and yer out. Afsluiten die handel.

Verwijderd @blouweKip • 4 februari 2002 17:00

heb jij weleens van massaal pingen gehoord? en wat heb je daartegen als oplossing dan

goalgetter @Verwijderd • 5 februari 2002 10:53

icmp protocol blocken. Maar dat is over het algemeen niet het probleem.

Het gaat meestal om connecties naar bijv. de webserver, en die kan je wel gaan blocken, maar dan hebben ook normale gebruikers geen toegang meer en is het doel van de ddos (het offline halen) behaald.

nulkelvin @Leipo • 4 februari 2002 14:53

kijk dat ze ergens boos over zijn en de provider een paar uurtjes uit de lucht helpen ok..

Nou, zelfs als ze ergens boos over zijn om dan de provider "uit de lucht" te helpen vind ik niet ok, zo bereik je toch niets.
Het enige wat je er mee bereikt is dat je andere klanten van die provider het onmogelijk maakt om internet op te komen.
Het is zielig dat mensen dit doen, en ik vind dat er hard opgetreden mag worden tegen zulke zieke geesten, die denken op deze manier hun "15 minutes of fame" te krijgen.

Verwijderd 4 februari 2002 14:33

Om een netwerk van een ISP onbereikbaar te maken heb je behoorlijk wat bandbreedte nodig als ddos-er, zelfs met grote aantallen hosts.

Zulke hoeveelheden bandbreedte is niet bij dialups te verkrijgen. Mijn punt is dat zulke grote aanvallen naar bepaalde netwerken te traceren moeten zijn (op basis van static ip). Als ISP moet je die netwerken in hun geheel kunnen weren totdat de dos attack ophoud (liefst ism collega isp's). Vervolgens kun/moet je exploitanten van die netwerk op hun verantwoordelijkheden wijzen natuurlijk...

* 786562 EvilBert

mavink @Verwijderd • 4 februari 2002 14:40

Hoezo zulke hoeveelheden zijn niet bij dialups te verkrijgen? Stel eens dat ze 34 megabit bandbreedte hebben; dan heb je aan 250 @home accounts met 128k upload genoeg om ze plat te leggen.

Voor 155 mbit kom je aan rond de 1200 computers... Dat is dus echt niet veel! Een beetje scriptkiddie kan makkelijk duizenden computers ter beschikking hebben. En vergeet niet dat er ook zat computers zijn met een hogere upload dan 128 kilobit...

Verwijderd @Verwijderd • 4 februari 2002 23:44

Leuk bedacht EvilBert, maar denk je nou echt dat al de gecompromitteerde computers die betrokken zijn bij een DDoS zich op het zelfde netwerk bevinden? Vergeet het maar, een DDoS komt meestal van alle kanten, lijkt mij. Als je mazzel hebt kan je misschien de DDoS ontkrachten door handmatig genoeg van deze computers toegang tot je netwerk te ontzeggen, en anders gewoon de boel tijdelijk platleggen...

Leader98 4 februari 2002 14:13

Dit is niet leuk meer... Een goede (europese?) wetgeving zou daders van dit soort acties stevig moeten kunnen aanpakken!

RetepV @Leader98 • 4 februari 2002 14:35

Nope, het is namelijk zo moeilijk om zo iemand te traceren dat het te makkelijk is om de verkeerde te pakken.

We leven nog steeds in een democratie hoor, kinderen met het waswater weggooien is iets wat in landen als Afghanistan gebeurt. je moet wel een beetje onderscheid houden.

Hillie @RetepV • 4 februari 2002 15:58

We leven nog steeds in een democratie hoor, kinderen met het waswater weggooien is iets wat in landen als Afghanistan gebeurt. je moet wel een beetje onderscheid houden.

Deze opmerking begrijp ik niet helemaal. Wie zegt er dat 'kinderen met het waswater weggegooid worden'? Niemand. Gasten die dit soort acties uithalen, moeten gewoon kei- en keihard gestraft worden. Ook de 13-jarige puistenbekkies dus. Het is hun eigen fout geweest. Tenzij je wilt gaan beweren dat kinderen onschuldig zijn. Want dat is ook onzin. Er zijn altijd een paar etterlijers te vinden. Als je die nu gewoon hard aanpakt, dan is dat ook nog eens een mooi voorbeeld voor de wannabe-meelopertjes. Gewoon een computerverbod voor een jaar of 10, naast de straf. Dan kunnen ze een mooie carriere starten in de groenvoorziening of op de vuilniswagen.

Carnagy 4 februari 2002 14:21

Ik snap het niet, mijn provider casema is ook echt gewoon zwaar k** maar ik ga toch ook geen ddos aanvallen doen, als ik al zou weten hoe, dan ligt ie nog meer uit de lucht en moet ik op zoek naar een andere

als je ergens niet tevreden mee bent, ga dan gewoon weg bij die provider, dat doe ik ook

Carnagy

Leader98 @Carnagy • 4 februari 2002 14:22

Misschien is een virus dat DDOS aanvals machines platlegt een idee :-)

Op dit item kan niet meer gereageerd worden.

DDoS aanvallen zorgen voor faillissement

Lees meer

IT-banen

Reacties (66)

Sorteer op:

Weergave: