SURF en onderwijsinstellingen opnieuw getroffen door ddos-aanval

SURF heeft opnieuw te maken met een ddos-aanval. Daardoor hebben onderwijsinstellingen in heel Nederland last van trage of geen internetverbindingen. Gisteren vond ook een ddos-aanval plaats.

SURF merkt sinds vanmorgen 8.30 uur soortgelijke activiteiten op het netwerk als gisteren, meldt de organisatie op zijn website. Net als bij de vorige aanval gaat er veel netwerkverkeer naar het zuiden van Nederland. "Door deze grote hoeveelheid verkeer lopen ook andere punten in het netwerk buiten deze regio vol. Daarom kunnen instellingen die op ons netwerk zitten buiten deze regio ook last ondervinden van trage internetverbindingen", aldus de organisatie. Sinds 11.40 uur hebben alle instellingen op het netwerk van SURF te kampen met trage internetverbindingen of hebben geen verbinding.

SURF meldt dat de aanval van vandaag een andere ddos-aanval is dan gisteren, maar wel wederom een enorme hoeveelheid volume aan verkeer bevat. "De aanval is veel groter dan de 'reguliere' DDoS-aanvallen waar ons netwerk dagelijks mee te maken heeft en afslaat." Daarnaast zit het verkeer op een punt in het netwerk waar filteren niet (goed) mogelijk is. "We zijn diverse maatregelen aan het onderzoeken om de aanval af te slaan. Dat neemt de nodige tijd in beslag." Wanneer de problemen zijn opgelost, is nog onbekend.

Update, 12.06 uur - In het artikel stond dat op de website van eduroam te zien is welke onderwijsinstellingen last hebben van de storing. Dat blijkt niet te kloppen. Het artikel is daarop aangepast. SURF meldt verder dat het om een andere ddos-aanval gaat dan gisteren. Dat is in het artikel verwerkt.

Reacties (108)

Bazz0847 16 januari 2025 11:56

Het is treurig dat notabene universiteiten slachtoffer zijn van deze aanvallen. TU/e is ook al een gericht slachtoffer geworden deze week. Universiteiten nemen doorgaans geen politieke standpunten in, doen transparant onderzoek en verwelkomen mensen van alle afkomsten. Verder zijn het geen commerciële instellingen, en is er dus niet veel qua cash te halen.

Met andere woorden: als het niet op politieke en niet op financiële gronden is, kan dit toch slechts bedoeld zijn om onrust te stoken? Ons onderwijssysteem is het fundament van onze kenniseconomie, en ik kan maar een paar partijen bedenken die het zien zitten om op deze schaal dat systeem te ondermijnen.

tom.cx @Bazz0847 • 16 januari 2025 13:24

Klopt en er zijn volgens mij nog veel meer publieke instellingen die er gebruik van maken. Volgens mij maakt de NPO en haar omroepen er ook gebruik van.

VPRO Tegenlicht heeft ook een docu gemaakt over het internet 'Error 404: het internet in crisis'. Aanrader om te kijken.

-Colossalman- @tom.cx • 16 januari 2025 19:28

Ik heb voor een ziekenhuis gewerkt die er ook gebruik van maakt.
Dit treft veel meer dan alleen onderwijs.

Paul @Bazz0847 • 16 januari 2025 12:21

Niet alleen universiteiten, er zijn ook ziekenhuizen die gebruik maken van SURF.

Heersbeer @Paul • 16 januari 2025 12:58

Klopt, hier in het ziekenhuis al heel de ochtend last van. Er komt gelukkig nog wel een beetje internet door.

PCG2020 @Heersbeer • 16 januari 2025 13:00

...maar dat beetje internet zit jij nu te gebruiken om Tweakers te lezen?!

ijdod

@PCG2020 • 16 januari 2025 13:18

Uiteraard. Sowieso weet de gemiddelde servicedesk dat internet er uit ligt voordat de monitoring alarm heeft geslagen...

Hpsmart @Bazz0847 • 16 januari 2025 13:02

Merk op dat universiteiten over veel nieuwe kennis bezitten. Zeker op de TU/e, die veel samenwerkt met bedrijven in de Brainport-regio, is er veel kennis te halen. Persoonlijk denk ik dat de inbrekers vooral op zoek zijn naar kennis (die zij zelf dan kunnen gebruiken).

Tozz @Hpsmart • 16 januari 2025 13:32

Dat vergaar je niet met een DoS aanval

CAPSLOCK2000

Beveiliging en antivirus
Cybercrime

@Tozz • 16 januari 2025 13:44

Dat vergaar je niet met een DoS aanval

Zo'n aanval kan afleiding zijn. De DoS-aanval eist alle aandacht van de verdediging op zodat niet opvalt dat er ook nog andere aanvallen plaatsvinden. Alle alarmen staan al te loeien en monitor/filter-systemen zijn overbelast en geven meer waarschuwingen dan het personeel kan verwerken.

Marctraider @CAPSLOCK2000 • 17 januari 2025 08:36

Volgens mij heb jij te veel films gekeken.

Denk je nou echt dat er allemaal mannetjes 24/7 achter een PC zitten en zogenaamd actief de verbindingen 'beschermd', realtime logs monitored, en constant van systeem switcht zoals een battalion / leger?

Ik zie nu serieus rode zwaailicht taferelen voor me xD

[Reactie gewijzigd door Marctraider op 17 januari 2025 08:37]

pieterha @Marctraider • 17 januari 2025 12:35

Nee daarom juist. Als er zo'n leger zat dan is het moeilijk afleiden. Nu zitten er een paar systeembeheerders op die in hun hoofd al op de vrijmibo zijn

CAPSLOCK2000

Beveiliging en antivirus
Cybercrime

@Marctraider • 17 januari 2025 14:44

Volgens mij heb jij te veel films gekeken.

Denk je nou echt dat er allemaal mannetjes 24/7 achter een PC zitten en zogenaamd actief de verbindingen 'beschermd', realtime logs monitored, en constant van systeem switcht zoals een battalion / leger?

Dat is gewoon precies hoe het wel werkt. Dit soort organisaties hebben inderdaad 24/7 toezicht op logs, uiteraard met behulp van software en er zitten mensen actief klaar om daar op te reageren. Bij een aanval als deze bellen die de andere beheerders en specialisten uit bed en zullen ze proberen de aanval te onderzoeken en te stoppen. Actief, terwijl het loopt. Dat zijn soms James Bond-achtige taferelen.

Nee, ze zitten alleen niet in een hoodie in een grote kamer met verlicht met groene monitoren, ze hebben gewoon kleurenschermen.

Zie bv https://www.surf.nl/en/services/surfcert om een kleine indruk te krijgen.

Maar alles heeft z'n grenzen en het is relatief makkelijk om zo'n team te overspoelen met meer informatie dan ze kunnen verwerken.

Zoop @Tozz • 16 januari 2025 13:52

Het een hoeft het ander niet uit te sluiten. Je kan prima een brute force combineren met een DoS.

mr_evil08 @Tozz • 16 januari 2025 19:11

En toch kan dat gebeuren, tijdens DDOS zijn admins afgeleid waardoor de echte hackers naar een opening kunnen zoeken zonder snel op te vallen.

Een DDOS kan een rookgordijn zijn zeg maar.

Zie het als vuurtje stoken in het pand, iedereen is dan afgeleid en de hacker kan zonder opvallen een serverruimte insluipen.

[Reactie gewijzigd door mr_evil08 op 16 januari 2025 19:13]

Pep7777 @Bazz0847 • 16 januari 2025 12:05

Beetje off-topic. Maar "geen politiek standpunt innemen" wordt in deze tijd van polarisatie vaak al gezien als een standpunt innemen. (Wie niet tegen onze tegenstanders is... is onze tegenstander)

Justevo @Bazz0847 • 16 januari 2025 13:07

Universiteiten nemen doorgaans geen politieke standpunten in

De Uni zelf misschien niet, de docenten daarentegen wel. Zie de UvA bezetting vorig jaar waar gewoon leraren tussen stonden. Je docenten zijn je uithangbord en daardoor indirect de mening van de Uni.

GertMenkel

Beveiliging en antivirus

@Bazz0847 • 16 januari 2025 14:05

Universiteiten doen een hoop onderzoek, ook samen met het bedrijfsleven, waar menig ander land wel interesse in heeft. De papers die er publiek uit komen rollen bevatten lang niet alle kennis die opgedaan is.

Met een DDoS alle monitoring overspoelen kan mooi helpen om gerichte hackpogingen te verhullen. Er kan politiek achter zitten, maar het kan net zo goed gewoon ordinaire spionage zijn.

Anderzijds heb je tegenwoordig ook digitale toetsen en zou het niet de eerste keer zijn dat een incompetente/luie student het netwerk platlegt om onder een toets uit te komen. Voor een tientje heb je een botnet dat een netwerk naar keuze platlegt.

[Reactie gewijzigd door GertMenkel op 16 januari 2025 14:06]

Botmeister @Bazz0847 • 16 januari 2025 14:27

Valt niet veel te halen? Onderwijsinstellingen hebben exploitatiebegrotingen die in de 100'en miljoenen lopen (het jaarverslag van de TU/e met exploitatie van rond de 0.5 miljard). Kunnen de meeste commerciële bedrijven toch echt niet aan tippen hoor.

[Reactie gewijzigd door Botmeister op 16 januari 2025 14:37]

kdekker @Bazz0847 • 16 januari 2025 20:28

Dat van geen politiek standpunt innemen is niet waar. Politieke onrust ontstaat vaak op universiteiten, zie de geschiedenis van de afgelopen 50 jaar, en ik beperk me tot NL. En recent was er ook eea in het nieuws, waar duidelijk uit blijkt dat ook (een deel van de docenten en/of bestuur) politieke standpunten in neemt of juist wel/geen afstand van neemt. En soms zijn het gewoon raddraaiers die de universiteit als locatie gebruiken, waar je dan verder van het bestuur weinig tegengas van hoort.

Samenvattend: universiteiten zijn niet a-politiek.

Bazz0847 @kdekker • 16 januari 2025 23:00

@kdekker niet mee eens. De onrust ontstaat typisch juist omdat universiteiten geen politiek standpunt innemen. Denk eraan dat het doorgaans niet de universiteiten zijn die de onrust veroorzaken, maar demonstranten die het universiteitsterrein bezoeken.

Je refereert aan de protesten van pro-Palestijnen tegen het aannamebeleid van Israëliërs. Een diverse nationaliteitenmix is doodnormaal op een universiteit. Echter, dat kan/kon sommige mensen (voor zover ik weet is dat vooral van buiten overigens) vanwege hun politieke/geloofsopvattingen niet bekoren. De universiteiten waren hier niet de onruststokers, dat waren demonstranten die onder andere als totaalidioten een complete faculteit met inboedel geruïneerd hebben en docenten bedreigd en verwond. De universiteit zou (en als het goed is zal) hier echter geen gehoor aan geven, omdat de wetenschappelijke vrijheid het hoogste streven zou moeten zijn. Politiek hoort er niet thuis, ookal wordt op deze manier gepoogd het politiek te maken. En er is ook inderdaad geen gehoor aan gegeven voor zover ik weet.

Afgezien daarvan: deze zit diep bij mij. Ik kan je namelijk uit eigen ervaring vertellen dat het geen pretje is als demonstranten je collegezaal binnendringen om hun politieke opvattingen door de strot van de docent en studenten te duwen, terwijl je bezig bent met het onderwijzen van een exacte wetenschap. Niemand in die zaal is bezig met politiek. Ga weg. Ze moeten naar Den Haag om te protesteren. Betalen ze trouwens ook de schade even? Dit moest er even uit

kdekker @Bazz0847 • 17 januari 2025 07:38

Dat van die schade: 100% mee eens.
Ik dacht idd aan de Palestijnse protesten, maar dan meer aan Nijmegen, waar een twijfelachtige spreker een podium kreeg mmw een docent (en ws een toestemming van het bestuur).

Daarnaast het niet uitspreken van de VU tegen antisemitisme en het onveilige gevoel voor Joodse studenten. Al denk ik dat meer mensen zich onveilig voelden.

En als laatste: een poster over abortus die wel weggehaald werd, omdat die te schokkend geweest zou zijn. Dat lijkt toch een stukje politiek (e correctheid) te zijn.

En geschiedenis: het Maagdenhuis. Dat waren studenten. En buiten NL zijn wel meer voorbeelden van studenten protesten. De oorsprong van de VU is louter politiek (Kuyper). Daarom denk ik dat je niet kunt zeggen dat een uni a-politiek is.

Bazz0847 @Marctraider • 17 januari 2025 09:06

De medewerkers moeten kunnen vinden wat ze willen. Er mag geen politiek beleid zijn wat dat ondermijnt.
Wikipedia: Academische vrijheid

[Reactie gewijzigd door Bazz0847 op 17 januari 2025 09:19]

blatenja 16 januari 2025 11:48

Criminaliteit loont tegenwoordig. Het risico van een zware straf is te klein tegenwoordig ten opzichte van de beloning die daar tegenover kan staan. Het is toch jammer dat we ons blijkbaar amper kunnen wapenen tegen dit soort aanvallen, ook bij banken en dergelijke. Of hogere straffen helpen geen idee, maar het zou een afschrikkend effect moeten hebben, al heb je er weinig aan als het Russische hackers bijvoorbeeld betreft. Je zou bijna zeggen dat dit soort organisaties internationaal uitgesloten moeten worden van het internet om in ieder geval internationaal minder bedreiging te hebben, maar zolang we een internet hebben dat overal toegankelijk is zul je dit soort hacks en aanvallen blijven houden vrees ik. Je zou bijna denken dat het isoleren van Europa voor dit soort organisaties of landelijk misschien de enige oplossing nog is om een beetje stabiel te kunnen blijven opereren.

[Reactie gewijzigd door blatenja op 16 januari 2025 11:49]

CAPSLOCK2000

Beveiliging en antivirus
Cybercrime

@blatenja • 16 januari 2025 13:25

Of hogere straffen helpen geen idee, maar het zou een afschrikkend effect moeten hebben, al heb je er weinig aan als het Russische hackers bijvoorbeeld betreft.

Je legt de vinger op de zere plek, de pakkans is vrijwel 0 dus het maakt niet uit hoe zwaar de straf is. Een DDOS maakt typisch misbruik van systemen van anderen, die zelf ook slachtoffer zijn en geen dader. Meestal weten we dus niet eens waar de aanval vandaan komt en zelfs als we een vermoeden hebben is het lastig te bewijzen.

Je zou bijna zeggen dat dit soort organisaties internationaal uitgesloten moeten worden van het internet om in ieder geval internationaal minder bedreiging te hebben, maar zolang we een internet hebben dat overal toegankelijk is zul je dit soort hacks en aanvallen blijven houden vrees ik. Je zou bijna denken dat het isoleren van Europa voor dit soort organisaties of landelijk misschien de enige oplossing nog is om een beetje stabiel te kunnen blijven opereren.

Ik denk niet dat isoleren echt helpt. Zo'n DDOS aanval bestaat uit talloze kleine speldenprikjes van gehackte systemen over de hele wereld, inclusief systemen binnen onze grenzen. Het is wel zo dat het makkelijker is om zo'n systeem aan te pakken als het in je eigen land staat maar het blijft lastig, zeker als het om consumentenapparatuur bij mensen thuis gaat. Je kan wel vertellen dat iemand z'n slimme koelkast is gehacked maar de kans is groot dat de consument niet in staat is om daar zelf iets aan te doen.

Misschien moet je dan overwegen om de internetverbinding af te sluiten maar dat kun je eigenlijk pas doen nadat er misbruik is gemaakt van zo'n systeem. Preventief alle onveilige systemen afsluiten is niet realistisch, ik denk dat er geen huishouden in Nederland is dat echt alles op orde heeft. Iedereen heeft wel ergens een telefoon, tv, printer of iets dergelijks in huis dat gebruikt zou kunnen worden in een aanval. Zelfs met grote druk van de wet zie ik dat de komende jaren niet veranderen en dat zal toch eerst moeten gebeuren.

Ik denk dat er betere maatregelen te nemen zijn zoals BCP38 (zodat aanvallers niet meer kunnen liegen over hun afzenderadres). Dat heb je toch nodig als je ooit wil overgaan tot isoleren.

willieverhoef @CAPSLOCK2000 • 16 januari 2025 15:51

Toch zou je verwachten dat het blokkeren van de 1000 meest gebruikte ip adressen (op dat moment) ook even moet helpen. Dan 1 voor 1 erbij brengen. Zullen helemaal niet zoveel adressen zijn maar de aanvraag zal wel een complexe vraag zijn.

uFx @willieverhoef • 16 januari 2025 16:11

Maak daar maar een paar miljoen IP-adressen van waarvan je dus niet meer weet wie een echte bezoeker is en wie een aanvaller is. Afhankelijk van de aanval moet het ook geblokkeerd worden aan de kant vóór je netwerk, anders is het alsnog overbelast. Goed uitgevoerde DDoS-aanvallen zijn complex om tegen te houden.

mugenmarco @blatenja • 16 januari 2025 12:03

Hoe wil jij ons (of iig bedrijven als surf) beschermen tegen Ddos aanvallen? zoveel netwerkverkeer in 1x kan niemand tegen houden.

bzuidgeest @mugenmarco • 16 januari 2025 12:15

Blijkbaar wel, want wij nemen er functionerende diensten voor af.
De grotere knooppunten en netwerkboeren leveren daar gewoon diensten voor en die werken nog ook. De piek komt en al je verbindingen schakelen over naar een route die nergens last van heeft. De aanvaller merkt er niets van, en wij niets van de aanval, diensten gaan gewoon door. kost wel wat in redundantie en geld e.d. Maar dat is realiteit tegenwoordig. heb je nodig.

[Reactie gewijzigd door bzuidgeest op 16 januari 2025 12:16]

Niema @bzuidgeest • 16 januari 2025 12:38

Veel ddos bestendigde services nemen allemaal van het zelfde groote amerikaanse bedrijf af, wat niet altijd een optie is door bijvoorbeeld geldende privacy wetgeving.
Vindt het vrij logisch dat niet iedereen hetzelfde kan doen als de rest

p.m. @Niema • 16 januari 2025 12:51

Of maken gebruik van een soortgelijke EU service, NaWas: https://www.nbip.nl/en/nawas/

bzuidgeest @Niema • 17 januari 2025 10:40

Ik mag niet uitweiden over wat mijn werkgever gebruikt, maar je hoeft er echt de eu niet voor uit.

KoffieAnanas @blatenja • 16 januari 2025 11:52

Op zich is SURF goed gewapend tegen DDOS aanvallen. Die vinden regelmatig plaats zonder merkbare invloed en worden goed afgeslagen. Echter, er zijn aanvallen van buitencategorie, zoals deze. Dit zal geen gecoördineerde aanval zijn van een verveelde student, maar eentje met serieuze organisatie. Door wie zal voor ons nog wel even gissen blijven, vermoed ik.

Remc0_ @KoffieAnanas • 16 januari 2025 12:07

Ik zou een verveelde student niet direct uitsluiten. Mirai is ooit opgezet door een stel tieners om Minecraft servers te DDOSsen

ZinloosGeweldig @KoffieAnanas • 16 januari 2025 19:27

Ik vind het opvallend dat we deze week aanvallen op onderwijsinstellingen en diensten van Logius zien. En ook, dit is minder in het nieuws geweest, maar een aantal klanten (ziekenhuizen) van mijn werkgever hebben ook storingen gehad wat achteraf om een DDOS bleek te gaan. Lijkt wel alsof deze week de Nederlandse publieke infra meer onder vuur ligt.

Keyb @blatenja • 16 januari 2025 12:04

Hogere straffen niet zo. Pakkans is veel belangrijker, en die is dramatisch vwb cybercrime.

keigezellig123 @Keyb • 16 januari 2025 12:43

Niet alleen bij cybercrime.. Aan de andere kant het is lastig om daders in China, Rusland of andere landen zonder uitleververdragen op te pakken en te vervolgen.

mphilipp @blatenja • 16 januari 2025 12:39

Ja, we isoleren Europa, zodat Rusland er niet meer in kan. En dan is het voorbij?
Ik denk dat ze dan met de servers naar Litouwen gaan oid en van daaruit verder. Voor zover ze het al niet vanuit een heel ander land gebeurt.

En dat zwaarder straffen is weer zo'n onderbuik verhaal. Er wordt de laatste jaren steeds zwaarder gestraft, alleen halen soms bepaalde gevallen de krant, waarbij vooral de (juridische) nuance niet aanwezig is. Wij hebben een rechtssysteem dat 2 kanten op werkt. Ook een verdachte heeft rechten en om de schuld aan te tonen, moet je met goed bewijs komen. Als dat maar deels overlegd kan worden, krijg je ook een mildere straf. Het komt wel voor dat in het geval van cybercrime men worstelt met de strafmaat omdat de vergrijpen niet als zodanig in het wetboek staan en men zoekt naar de juiste omschrijving. Hopelijk komen ze daar snel uit zodat lieden die dit doen passend gestraft kunnen worden.

bzuidgeest @Macboe • 16 januari 2025 12:17

Het komt nog wel eens uit Rusland. Maar iedereen die wil kan dat vanuit hier als een "dienst" afnemen. Dus "uit rusland" zegt weinig.

watercoolertje @Macboe • 16 januari 2025 13:25

Ik denk dat jij het was zodat je ons wijs kan maken dat het de amerikanen zijn die willen dat we naar rusland wijzen

Kan je ook nog een argument geven of blijft het bij een lege/loze beschuldiging?

[Reactie gewijzigd door watercoolertje op 16 januari 2025 13:26]

I_Alone 16 januari 2025 11:52

Update 11.40 uur @ grotestoring.nl

"Uit onderzoek blijkt dat het een andere DDoS-aanval is dan gisteren, maar met wederom een enorme hoeveelheid volume aan verkeer. De aanval is veel groter dan de “reguliere” DDoS-aanvallen waar ons netwerk dagelijks mee te maken heeft en afslaat. Het verkeer bevindt zich op een punt in ons netwerk waar filteren niet (goed) mogelijk is. Inmiddels hebben alle instellingen op ons netwerk te kampen met trage internetverbindingen of hebben geen verbinding.

We zijn diverse maatregelen aan het onderzoeken om de aanval af te slaan. Dat neemt de nodige tijd in beslag."

Dreamvoid @I_Alone • 16 januari 2025 13:20

Dit impliceert dat het geen normale DDoS aanval is van buiten, maar een botnet binnen het universiteitsnetwerk? Dat is natuurlijk wel ernstig.

(edit: ah ok dan is dat duidelijker - "het verkeer bevindt zich op een punt in ons netwerk waar filteren niet (goed) mogelijk is." leek voor mij dat het een intern punt was, niet op de edge)

[Reactie gewijzigd door Dreamvoid op 16 januari 2025 15:04]

tomhoven @Dreamvoid • 16 januari 2025 14:16

Dat is niet aan de orde en ook niet wat er staat. Maar snap dat je dit zo (zeer) creatief er in kunt lezen, dat passen we tekstueel even aan.

Ik kan echter aangeven wat wat je stelt niet correct is.

Tom Hoven
Woordvoerder SURF

[Reactie gewijzigd door tomhoven op 16 januari 2025 14:17]

The_Undertaker @Dreamvoid • 16 januari 2025 13:35

Ik denk (of hoop) dat die woordkeuze verkeerd is.

WybrenPC 16 januari 2025 11:59

Het lijkt er ook op dat een hoop traffic wordt omgeleid. Krijg hier op de wageningen universiteit vooral lange response times bij het pingen van vrij algemeen bereikbare websites (100+ms). ook zo nu en dan is wat packet loss. De impact lijkt hier nu wel een stuk kleiner dan gisteren, aangezien het nu wel mogelijk is om gewoon bestanden te downloaden

AceAceAce @WybrenPC • 16 januari 2025 12:10

Ik merkte gister dat wanneer ik via de SIM kaart van mijn werklaptop verbinding opzette, deze niet langs wat SURF hops ging die problemen hadden/hebben, maar langs andere SURF hops.

WybrenPC @AceAceAce • 16 januari 2025 12:33

Ja als ik zo even een traceroute gooi krijg ik inderdaad niet de meest logische hops die ik normaal wel zou verwachten. Al richting mijn thuisnetwerk 2 km verderop doet ie al gekke dingen...

mapa2011 16 januari 2025 11:51

Is er meer bekend waar deze DDOS aanvallen vandaan komen?

bzuidgeest @mapa2011 • 16 januari 2025 12:11

Soms gewoon studenten die zich vervelen. Een "ddos" aanval is de goedkoopste domste aanval mogelijk, heb je voor een paar euro. Maar hun klasgenoten zijn vaak nog dommer dus lijkt het stoer.

zoals het artikel het al zegt, dat soort aanvallen is doodnormaal helaas.

[Reactie gewijzigd door bzuidgeest op 16 januari 2025 12:12]

Groningerkoek @bzuidgeest • 16 januari 2025 12:24

De echte grote aanvallen liggen buiten het bereik van scriptkiddies /dienst huren voor een paar Euro.

bzuidgeest @Groningerkoek • 16 januari 2025 12:26

Maar "groot" word gedefinieerd door waar surf op voorbereid is. Ik zie geen getallen zo vlug. Het enige dat je leest is dat ze er meer last van hebben dan normaal. Misschien een student een paar bitcoin over

Maar het hoeft geen student te zijn van mij, maar het hoeft ook echt niet meteen een vreemde mogenheid te zijn.

CAPSLOCK2000

Beveiliging en antivirus
Cybercrime

@bzuidgeest • 16 januari 2025 13:36

Maar "groot" word gedefinieerd door waar surf op voorbereid is. Ik zie geen getallen zo vlug. Het enige dat je leest is dat ze er meer last van hebben dan normaal. Misschien een student een paar bitcoin over

De schaal waarop SURF werkt is gigantisch. Als SURF zegt dat het groot is dan is dat zo, volgens iedere maat die je daar voor kan gebruiken. Ik weet dat dit een "geloof mij" argument is en geen bewijs, maar voor mij is het genoeg. Als Rico Verhoeven zegt dat hij hard op z'n bek is geslagen dan hoef ik ook niet te weten hoe hard het precies was.

Natuurlijk is het altijd mogelijk dat een slimmerik een nieuwe efficiente aanval heeft bedacht en voor een habbekrats een enorme DDOS heeft opgezet. Het kan, maar heel waarschijnlijk is het niet.

mr_evil08 @CAPSLOCK2000 • 16 januari 2025 19:23

In principe kan alles plat, kwestie van wie heeft de dikste pijp.

The_Undertaker @bzuidgeest • 16 januari 2025 13:33

Ja, en Surf gaat ook echt die cijfers delen zodat bzuidgeest weer gerustgesteld is. Dat je met die cijfers ineens heel helder hebt welke capaciteit er nodig is om de boel écht down te krijgen, dat is natuurlijk van onderschikt belang.

bzuidgeest @The_Undertaker • 17 januari 2025 10:45

niet wat ik vraag en niet wat ik zeg.

Totdat je weet wat voor hen normaal is kan je niets zeggen over "veel groter". zonder getallen is dat betekenisloos. het zegt alleen meer dan ze gewend zijn, maar wellicht zijn ze weinig gewend.

Ik verwacht niet dat ik cijfers krijg, ik verwacht dat mensen het verschil tussen absoluut en relatieve waarden leren.

ZinloosGeweldig @bzuidgeest • 16 januari 2025 19:41

Ik vind met in 1 week (succesvolle) aanvallen op Nederlandse onderwijsinstellingen, overheidsdiensten (Logius) en ziekenhuizen (Heb ik zelf in mijn werk bij een aantal instellingen gezien), die vreemde mogendheid toch wel voor de hand liggender.

bzuidgeest @ZinloosGeweldig • 17 januari 2025 10:49

dat is onderbuik, maar verder mag je dat vinden. Ik vind dat voorbarige conclusies. Je weet nog helemaal niets. En ddos is echt scriptkiddie niveau. Het is makkelijk en grote en kleine partijen kunnen het.

Misschien is het wel een false flag van de VS. je weet het maar nooit. En zo kan je wel door met de onderbuik.Heb je niets aan. Als er conclusies komen, dan kunnen we iets zeggen over wie. Tot die tijd moeten we ons niet laten opnaaien. Dat speelt pas echt in de kaart van je vreemde mogendheden.

[Reactie gewijzigd door bzuidgeest op 17 januari 2025 10:50]

ZinloosGeweldig @bzuidgeest • 20 januari 2025 13:44

Ik trek helemaal geen conclusies, ik speculeer en geef aan wat ik in dit geval waarschijnlijker vind. Net zoals je zelf deed in de post waar ik op reageer. De eigen speculatie is waardevol en de speculatie van een ander is voorbarige conclusies en onderbuik, typisch.

"DDoS is echt scriptkiddie niveau" vind ik weer een beetje makkelijk in deze context. DDoS aanvallen van scriptkiddie niveau zijn dagelijkse kost en maken zelden een (grote) impact bij dit soort partijen. We hebben het niet alleen over "Er hebben DDoS aanvallen plaatsgevonden" maar over "Er hebben in korte tijd verschillende succesvolle DDOS aanvallen plaatsgevonden tegen belangrijke publieke infra waarvan de beheerders dagelijks met DDOS aanvallen van scriptkiddies dealen".

Bazz0847 @bzuidgeest • 16 januari 2025 12:21

Surf is prima in staat aanvallen om van een studentje af te slaan, zoals ook is aangegeven in het artikel komen ze vaker voor en zijn ze typisch niet hinderlijk voor de gebruikers. Dit lijkt mij een andere categorie.

[Reactie gewijzigd door Bazz0847 op 16 januari 2025 12:22]

bzuidgeest @Bazz0847 • 16 januari 2025 12:23

Waarom geen student? ddos aanvallen koop je gewoon... Het is maar wat je er in wil steken. Deze is ongewoon, maar SURF DDossen heeft alleen wat gevolgen voor onderwijs en zo. Nauwelijks kritiek infra zoals energie of water.

dat deze groter is, is duidelijk

[Reactie gewijzigd door bzuidgeest op 16 januari 2025 12:24]

AtlAntA @bzuidgeest • 16 januari 2025 12:42

Dat is nogal kortzichtig, heel veel zorginstellingen en ziekenhuizen gebruiken ook surf en die ondervinden door het hele land ook problemen.

bzuidgeest @AtlAntA • 17 januari 2025 10:57

De ziekenhuizen draaien gewoon. Water en Energie vind ik veel kritieker.

AtlAntA @bzuidgeest • 17 januari 2025 12:24

Fijn dat je je vast houdt aan je kortzichtigheid. Wat je zegt is ook feitelijk onjuist.

bzuidgeest @AtlAntA • 17 januari 2025 12:28

Fijn dat je vasthoud aan je eigen onzin....(blah blah, zie je hoe nutteloos zo een opmerking is?). Die ziekenhuizen werken, ik ben er de afgelopen dagen geweest... Dus feitelijk correct. Het tweede over wat ik kritiek vind is een mening van mij. Die kan niet feitelijk onjuist zijn, anders was het geen mening.

Dat jij iets roept maakt het geen feit.

field33P @bzuidgeest • 16 januari 2025 12:56

Omdat de aanval blijkens het artikel hoger in het netwerk plaatsvindt, niet vanaf een Eduroam-AP of een UTP-poort ergens in een universiteit, en blijkbaar ook niet vanaf het bredere internet.

bzuidgeest @field33P • 17 januari 2025 11:00

Maar we weten geen details. Dus het is allemaal onderbuik. Het zijn voorbarige conclusies. Dit ding loopt als social engineering experiment al een totaal succes te zijn. De angst en boosheid komt overal boven.
We weten nog weinig tot niets, dus houd het simpel voor je jezelf in angst of boosheid alle kanten op laat jagen

KoffieAnanas @bzuidgeest • 16 januari 2025 14:24

SURF verzorgt het netwerk voor alle universiteiten, academische ziekenhuizen en hogescholen, en daarnaast voor organisaties als KNMI, RIVM en TNO. Je praat hier niet over een kattenpis netwerk dat een script kiddie even kan DDOSsen. Het netwerk is flink redundant uitgevoerd en de pijplijnen zijn immens. Er hangen wel degelijk kritieke systemen aan, alleen niet voor de normale burgermaatschappij inderdaad.

Als SURF aangeeft dat het groot is, dan is het een gevalletje buitencategorie. Normale DDOS aanvallen kunnen ze makkelijk aan, dat is helaas standaard business geworden.

bzuidgeest @KoffieAnanas • 17 januari 2025 10:55

Als SURF aangeeft dat het groot is, dan is het een gevalletje buitencategorie. Normale DDOS aanvallen kunnen ze makkelijk aan, dat is helaas standaard business geworden.

Niet anders dan voor mijn werkgever. Maar elke pijp kan dicht als het moet.
Maar tot we meer info krijgen kunnen we alleen maar vermoedens uiten over de wie. Ik vind het vooral erg dat iedereen tot allerlei conclusies springt. Het kan ook gewoon iets "simpels" zijn. We laten ons zo makkelijk boos maken en sturen op onderbuik. En dat kan wel het echte doel van de aanval zijn. Niet het netwerk maar de reactie van mensen op de aanval. social engineering.

keigezellig123 @bzuidgeest • 16 januari 2025 12:43

Kritieke infra is de volgende stap...

bzuidgeest @keigezellig123 • 17 januari 2025 10:56

waarom? Dit maakt mensen al boos en bang. Als social engineering aanval is het al een succes.

Dreamvoid @bzuidgeest • 16 januari 2025 13:18

De vraag is niet zozeer wie, de vraag was waar het verkeer vandaan komt, als in: welke ASNs? Of komt het van binnen het universiteitsnetwerk?

[Reactie gewijzigd door Dreamvoid op 16 januari 2025 13:19]

CAPSLOCK2000

Beveiliging en antivirus
Cybercrime

@Dreamvoid • 16 januari 2025 14:54

Bij een DDOS-aanval komt het verkeer typisch van over de hele wereld, dat is waarom we het een Distributed Denial of Service noemen. Van over de heel wereld betekent dat het ook van interne systemen kan komen, maar dat is niet waar het om gaat.

Dreamvoid @CAPSLOCK2000 • 16 januari 2025 15:02

Uiteraard, maar als Nederlands universiteitsnetwerk heb je voor de bulk van je functionaliteit maar connectiviteit nodig naar een heel beperkt deel van het internet.

empheron @Dreamvoid • 16 januari 2025 18:43

Gezien een groot deel van het Hoger Onderwijs (wereldwijd) bijvoorbeeld Eduroam gebruikt... En dus ook koppelingen heeft op het vlak van SSO en authenticatie... Heb je voor de bulk van de functionaliteit connectivity nodig op bijv. de SurfConext IdP (die dan weer federated werkt naar de directory van jouw onderwijsinstelling). Dat is een oplossing die je niet even afschakelt (want zodra dan jouw token verlopen is of je hebt een nieuwe nodig, dan houdt 't op). En ook geen systeem wat je even lekker zwaar kunt beveiligen (dan verlies je de functionaliteit en ben je dus ook klaar). Een aantal van de onderwijsinstellingen regelen authenticatie voor een deel zelf (bijv. rechstreeks op EntraID)... maar en groot deel heeft voor alle systemen de SURF SSO oplossing in gebruik. Krittische infrastructuur die je dan voor alles nodig hebt.

SunnieNL

@bzuidgeest • 16 januari 2025 13:15

Dat vraag ik mij af, of het gewoon studenten zijn. Zou mij ook niets verbazen als de mensen achter de hack bij de TUe ook te maken hebben met deze DDOS en dit 'uit verveling' zijn gaan doen toen hun main target faalde of dat ze hopen dat ogen even naar een andere kant worden gericht.

Maargoed, dat is een soort onderbuikgevoel en geen harde feiten.

Metalfreak @SunnieNL • 16 januari 2025 13:27

Ik zei al dat het de digitale equivalent van een vuurwerkbom voor de voordeur is. "Jullie hebben onze initiële aanval gestopt, nu zullen we jullie wel even gaan pesten". Maar van wat ik uit het bericht op grotestoring.nl begrijp is dit van zo'n enorme omvang dat we hier niet te maken hebben met een random boze student.

mr_evil08 @mapa2011 • 16 januari 2025 19:19

Die komen van gehackte pc,s van nietsvermoedende gebruikers die aangestuurd wordt door èèn beheerder.

Zoek maar op botnet.
Als het een echte hacker is dan is dader niet achterhaalbaar.

[Reactie gewijzigd door mr_evil08 op 16 januari 2025 19:20]

mapa2011 @mr_evil08 • 17 januari 2025 10:54

Blijf dit zeer bijzonder vinden mede dat Nederland een paar van werelds beste internet recherche teams heeft en onderzoeks bedrijven zoals FoxIT. Afgelopen jaren werd het ene na andere botnet opgerold (servers uit datacenters gehaald), internationaal invallen gedaan, PGP-telefoons gekraakt, honeypots in datacenters geïnstalleerd. Ik ben echt heel benieuwd waar deze aanvallen vandaan komen en wie hier de opdracht voor heeft gegeven.

Overigens is niet alleen Nederland doelwit, ook Griekenland & Italië:
https://en.protothema.gr/...-connection-speed-issues/
https://www.scworld.com/b...russian-ddos-attacks-anew

De weken hiervoor Japan:
https://www.macaubusiness...-companies-organizations/

[Reactie gewijzigd door mapa2011 op 17 januari 2025 10:56]

rlKoekie 16 januari 2025 12:04

hier op de Vrije Universiteit Amsterdam is het netwerk naar buiten toe ook heerlijk traag!
Verkeer naar tweakers.net lijkt wel prima te lopen, goed om te zien dat de netwerk admins bij SURF de juiste prioriteiten hebben

101br03k @rlKoekie • 16 januari 2025 14:29

Op de vu was het verkeer naar buiten niet het probleem, het probleem was een download snelheid van minder dan 1/MBps

jordynegen11 16 januari 2025 12:24

Het probleem is dat SURF alles in-house lijkt te proberen op te lossen maar niet genoeg capaciteit hebben, of hun hardware firewalls kunnen het niet aan. Ze hebben wel een paar 100G poorten op verschillende IX’en en wat transit maar dat lijkt niet genoeg te zijn?

Er zijn verschillende (europese) partijen (GCore, path.net) die dit voor ze kunnen oplossen in geval van nood, wel de nodige capaciteit hebben en niet eens zo gek duur zijn. Die heben geen paar 100G maar multiple TBit’s aan capaciteit.

Simpelweg je prefixes alleen exporten naar je ddos protected upstream en klaar. Zo simpel zal het uiteraard niet helemaal zijn voor SURF maar binnen een dag moet je dan alles wel weer werkend hebben.

[Reactie gewijzigd door jordynegen11 op 16 januari 2025 13:34]

SunnieNL

@jordynegen11 • 16 januari 2025 15:25

Er zijn weinig alternatieven die een zeer grote DDOS volledig kunnen opvangen. Tweakers heeft daar ook ervaring mee. .

Als ik zo snel kijk is de pricing van GCore 3.9 Euro per 1Mbps per maand. Bij een paar 100G poorten is dat dus 780.000 euro per maand (of ik moet een fout maken in de berekening), er vanuit gaande dat Surf met de standaard dienst kan werken. Vermoedelijk zou dat meer custom zijn en wordt de prijs ook hoger. Dat zou ik niet 'niet een zo gek duur' noemen. En je neemt dat ook niet even af of het moment dat je een probleem hebt, daar ga je een contract mee aan voor minimaal een jaar.

Daarnaast ga ik er eigenlijk wel vanuit dat SURF dit soort zaken al lang in hun risico calculatie heeft zitten en al eens heeft uitgezocht. Ze vallen (zover ik weet) namelijk onder de NIS2 wetgeving als provider van kritieke infrastructuur.

jordynegen11 @SunnieNL • 16 januari 2025 15:53

Er zijn een aantal punten in je uitleg die niet helemaal kloppen:

1. Je betaald alleen voor daadwerkelijk gebruikt, het maakt niet uit hoe groot je poort is. Stel dat je bijvoorbeeld 20 Gbit aan 95% clean traffic gebruikt, dan betaal je aanzienlijk minder dan je nu beschrijft. Het gaat dus niet om de capaciteit van je poort, maar om het daadwerkelijke verbruik. Je hebt ook geen 6x100Gbit poorten nodig tussen jou en Gcore.

2. Ga nooit zomaar akkoord met de prijzen die op de website van een aanbieder staan. Uit ervaring weet ik dat deze prijzen aanzienlijk lager kunnen zijn als je even onderhandeld, vooral met een hogere commit.

3. Partijen zoals Gcore en Path.net bieden ook on-demand opties aan. Dit kan aanzienlijk goedkoper uitvallen als je geen 24/7 gebruik maakt van hun diensten.

Juanapeno 16 januari 2025 14:21

jah, dan zit je daar dan samen met je docent in de datacenter te checken wat er mis met het netwerk alleen maar om achter te komen dat het extern is

eazyq 16 januari 2025 11:55

Zouden dit oefeningen voor iets veel groters?

bzuidgeest @eazyq • 16 januari 2025 12:18

Zoals het artikel zegt. Dit is dagelijkse kost. Deze is alleen iets groter. Als dat de normaal word neem je ook grotere en helaas duurdere maatregels.

Alxndr

@bzuidgeest • 16 januari 2025 13:03

"De aanval is veel groter dan de 'reguliere' DDoS-aanvallen waar ons netwerk dagelijks mee te maken heeft en afslaat."

Waarom maakt je van "veel groter" slechts "iets groter"?

bzuidgeest @Alxndr • 17 januari 2025 10:41

waarom maak jij je druk over een woordje? ik wist niet dat ik bezoek kreeg van de copy paste politie.

citegrene @eazyq • 17 januari 2025 14:21

Het was eigenlijk wel te verwachten dat de aanvallen veel groter zouden worden..
Elk huishouden heeft straks glasvezel minimaal 1gb/s, en je niet geupdated chinese cloud connected rgb lamp kan straks ddos-en,..

mr_evil08 16 januari 2025 16:08

Vast weer een scriptkiddie die het niet eens is met XYZ en x bedrag heeft neergelegd aan een hackergroep.

[Reactie gewijzigd door mr_evil08 op 16 januari 2025 16:56]

ZinloosGeweldig @mr_evil08 • 16 januari 2025 19:20

Ik zie deze week DDoS aanvallen op Logius, op onderwijsinstellingen en ook op ziekenhuizen in Nederland. Ik heb het idee dat er meer aan de hand is dan een boze scriptkiddie.

Op dit item kan niet meer gereageerd worden.

SURF en onderwijsinstellingen opnieuw getroffen door ddos-aanval

Lees meer

Reacties (108)

Sorteer op:

Weergave: