NCSC waarschuwt voor lopende ddos-aanvallen op Nederlandse organisaties

Meerdere Nederlandse organisaties zijn deze week het doelwit van grootschalige ddos-aanvallen. Dat stelt het Nationaal Cyber Security Centrum. Het gaat zowel om publieke als private partijen. Ook Europese organisaties blijken doelwit.

De websites van Nederlandse provincies en gemeenten waren afgelopen maandag onbereikbaar als gevolg van ddos-aanvallen. Die aanvallen werden geclaimd door de Russische NoName057(16). Het NCSC beaamt dat deze actor aanvallen claimt en stelt dat ze een pro-Russisch ideologisch motief lijken te hebben. NRC meldde woensdag ook getroffen te zijn door een ddos-aanval, waardoor de website en app slecht bereikbaar waren.

Het NCSC onderzoekt de aanvallen, monitort de situatie en staat in contact met nationale en internationale partners. Ook houdt het NCSC naar eigen zeggen zicht op de activiteiten van 'hacktivistische groeperingen zoals NoName057(16)'. "Waar mogelijk informeert het NCSC organisaties die een (toekomstig) doelwit zijn om ze te voorzien van een passend handelingsperspectief."

Door Eveline Meijer

Nieuwsredacteur

Feedback • 01-05-2025 12:24
65 • submitter: wildhagen

01-05-2025 • 12:24

65

Submitter: wildhagen

Lees meer

Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval
Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval Nieuws van 28 april 2025
Betaalprovider Adyen getroffen door meerdere ddos-aanvallen
Betaalprovider Adyen getroffen door meerdere ddos-aanvallen Nieuws van 22 april 2025
DigiD is opnieuw 'beperkt beschikbaar' door ddos-aanvallen
DigiD is opnieuw 'beperkt beschikbaar' door ddos-aanvallen Nieuws van 9 april 2025
Webhoster Argeweb al week lang getroffen door storing - update
Webhoster Argeweb al week lang getroffen door storing - update Nieuws van 3 april 2025
Logius wil nieuwe aanpak voor 'slimmere en minder voorspelbare' ddos-aanvallen
Logius wil nieuwe aanpak voor 'slimmere en minder voorspelbare' ddos-aanvallen Nieuws van 28 maart 2025
DigiD was zondagochtend niet bruikbaar door ddos-aanval - update
DigiD was zondagochtend niet bruikbaar door ddos-aanval - update Nieuws van 23 maart 2025
Hackersgroep Dark Storm Team eist grootschalige cyberaanval X op
Hackersgroep Dark Storm Team eist grootschalige cyberaanval X op Nieuws van 11 maart 2025
DigiD heeft last van storing door 'terugkerende ddos-aanvallen' - update
DigiD heeft last van storing door 'terugkerende ddos-aanvallen' - update Nieuws van 3 maart 2025
Cloudflare meldt nieuw ddos-record van 5,6Tbit/s
Cloudflare meldt nieuw ddos-record van 5,6Tbit/s Nieuws van 22 januari 2025
Nederlandse onderwijsinstellingen hebben voor derde dag last van ddos-aanval
Nederlandse onderwijsinstellingen hebben voor derde dag last van ddos-aanval Nieuws van 17 januari 2025
Meer producten en artikelen
Beveiliging en antivirus Criminaliteit Cybercrime Ddos NCSC Nederland

Reacties (65)

-Moderatie-faq
65
65
39
0
0
20
Wijzig sortering
Mosterd 1 mei 2025 12:28
Servers van oorsprong DDOS aanval gewoon blokkeren. Merk te vaak dat providers niks doen aan onderzoek en de politie van het land van oorsprong zich als machteloos neerzet, maar het moet toch een keer klaar zijn.

Gemakswege (en omzetwege) schermen dit soort providers vaak met “privacy” e.d. of het zijn statelijke acteurs (China en Rusland) en daar mag je dan gepast op reageren.
Reageer
wildhagen
@Mosterd1 mei 2025 12:56
Servers van oorsprong DDOS aanval gewoon blokkeren.
Als het nou zo simpel zou zijn, was DDoS geen issue meer.

Helaas is het dus niet zo simpel. Die aanvallen komen doorgaans van botnets die uit PC's over de hele wereld bestaan, met compleet verschillende IP-adressen. Dat is gewoon niet te blokkeren.
Merk te vaak dat providers niks doen aan onderzoek en de politie van het land van oorsprong zich als machteloos neerzet, maar het moet toch een keer klaar zijn.
Ook dat is nogal simplistisch. Wat verwacht je dat de politie er aan doet? Elke individuele PC uit zo'n botnet met miljoenen PC's gaan opsporen en onderzoeken? Dan heb je honderdduizenden agenten nodig pver de hele wereld. Niet echt praktisch.

De politie heeft nú al onvoldoende capaciteit voor hun huidige werk, als je ook dit er nog bij moet doen blijft daar helenaal geen tijd meer voor. Die zullen toch echt moeten prioriteren. En dan gaat een gewelds- of zedenmisdrijf toch echt even voor een DDoS-attack.

[Reactie gewijzigd door wildhagen op 1 mei 2025 12:58]

Reageer
Thonz @wildhagen1 mei 2025 13:02
>Helaas is het dus niet zo simpel. Die aanvallen komen doorgaans van botnets die uit PC's over de hele wereld bestaan, met compleet verschillende IP-adressen. Dat is gewoon niet te blokkeren.

Is het te simpel gedacht dat je elk IP dat onderdeel is van de DDoS aanval kan blokkeren?
Als je je beveiliging niet goed op orde hebt en je onderdeel van een botnet hebt laten worden dan is het toch niet vreemd dat jouw toegang tot het internet wordt beperkt/je op een globale blacklist komt te staan?
Reageer
wildhagen
@Thonz1 mei 2025 13:05
Is het te simpel gedacht dat je elk IP dat onderdeel is van de DDoS aanval kan blokkeren?
Als je je beveiliging niet goed op orde hebt en je onderdeel van een botnet hebt laten worden dan is het toch niet vreemd dat jouw toegang tot het internet wordt beperkt/je op een globale blacklist komt te staan?
Dat is idd veel te simpel gedacht. Veel van die PC's hebben geen vaste IP's maar dynamische IP's. Dus als persoon A nu IP 1 heeft, is morgen IP 1 misschien wel aan persoon B gekoppeld en is die geblokkeerd.

Daarnaast denk ik dat ook systeembeheerders weinig tijd (en zin!) hebben om even door miljoenen IP's te gaan browsen en te gaan selecteren welke wel en welke niet legitiem de site benaderen en welke dus wel en welke niet moeten worden geblokkeerd.

Laat ik het zo zeggen: ik ben zelf systeembeheerder en heb geen tijd om 20 uur per dag door dat soort logs heen te lopen.

Als er zo'n simpele "oplossing" tegen DDoS attacks zou zijn, denk je dan niet dat die al lang en breed zou worden toegepast? Dat dat er niet is, geeft dus al aan dat het niet zo simpel is allemaal.
Reageer
Thonz @wildhagen1 mei 2025 13:31
Dank je voor je reactie.
Heb ik het goed als ik zeg dat dymanische IP's het onmogelijk maken de verantwoordelijkheid bij de gebruiker/geïnfecteerde neer te leggen?
Het lijkt me nu dat mensen zonder dat ze het weten onderdeel zijn van een criminele organisatie en die deelname ze ook geen pijn doet omdat het niet mogelijk is ze ervan bewust te maken (of uberhaupt er achter te komen wie dan onderdeel is van die organisatie).

De enige effectieve maatregel zijn dan diensten als cloudfare en acties gericht op het neerhalen van CnC servers?
Reageer
arjankoole
@Thonz1 mei 2025 14:26
hangt van de beheerder van dat netwerk af. Als daar goede mensen zitten, worden de overtreders aangepakt (of opgevoed). xs4all was daar uitzonderlijk goed in, bijvoorbeeld.

maar een /23 in china? forget it. Nobody cares daar.
Reageer
Thonz @arjankoole1 mei 2025 14:34
Wat is een /23? Ik kon dat niet vinden op google.

Met het gevaar op een circelredenering vraag ik toch: door de boosdoeners de toegang tot je servers te ontzeggen, zouden ze dan wel er iets om geven?
Reageer
arjankoole
@Thonz1 mei 2025 14:37
heb jij servers die van belang zijn voor een chinese ISP en haar gebruikers? Ja? Dan maak je een kansje.

Nee? Dan negeren ze je compleet. :) Een Vooraanstaande Chinese uni heb je meer kans.

/23 leesvoer :
Wikipedia: Classless Inter-Domain Routing

:)
Reageer
Thonz @arjankoole1 mei 2025 14:43
Door ze toegang tot je servers te ontzeggen heb je minder last van DDoS aanvallen, of zie ik dat verkeerd?

Het belang lijkt duidelijk te zijn: het verstoren van de digitale infrastructuur.
Reageer
arjankoole
@Thonz1 mei 2025 14:53
niet echt.

Dit zit al wat hoger.

Meestal doen ze dit met UDP verkeer, en dat betekend dat het sowieso je uplink kan volduwen, ongeacht of je ze nu denied of niet.

Zie het als: je internet verbinding is 1 Gbit/s groot, en ze vuren er 100 Gbit/s op af.

Wat je ook doet, er komt geen bit legitiem verkeer meer doorheen.
Reageer
CPV @arjankoole1 mei 2025 21:41
Vergelijk het met de Sounmix Show van Henny Huisman.
Aan het eind kon heel Nederland naar de studio bellen om zijn keuze door te geven. Daar was het telefoonnetwerk van de PTT totaal niet op berekend en lag dus helemaal plat.

Later heeft KPN dit trucje overigens benut: met Oud en Nieuw mocht iedereen een uur lang gratis bellen. Zo creëerden ze een mooie stresstest, die ze zelf nooit voor elkaar konden krijgen.
Reageer
Cyberpuppy @Thonz1 mei 2025 15:52
Helaas.

Ik probeer het uit te leggen.

Ook een verbinding die niet wordt geaccepteerd door bijv. een firewall kost diezelfde firewall toch een fractie tijd om te verwerken. Als je er dan maar genoeg verzoeken naartoe weet te sturen valt de boel uiteindelijk om. Ergens op het internet is er 1 device dat jouw blokkering effectief moet uitvoeren.
Reageer
djwice @Thonz1 mei 2025 17:31
Het is heel makkelijk om een nieuwe reeks IP-adressen te krijgen. Er zijn ook aanvallers die bewust een verkeerde 'afzender' op hun pakketjes zet, dan lijkt het verkeer van IP nummer X en dus server Y te komen maar komt het van een totaal andere machine.

Ook zijn er aanvalllen die requests niet afmaken, waardoor je server als het ware wacht op het uiteinde van de enveloppe die in de brievenbus steekt.

En dan gebeurt dit dus met extreem veel machines tegelijk, die bij elk request gewoon even een ander IP-adres gebruiken. En zich proberen voor te doen als een normale gebruiker (om finger printing - herkennen tussen normaal verkeer - zo veel mogelijk te voorkomen).

En tijdens de aanval veranderen ze regelmatig van aanvalstechniek - en soms gaat het gecombineerd met een penetratie poging. Die waarnemen en afslaan is op dat moment extra lastig wegens de hoge belasting van je systemen en het vele andere verkeer.
En dan zorgen dat het juiste verkeer van normale gebruikers niet wordt geblokkeerd is echt een vak apart.

Je hebt de juiste tools, bandbreedte en hardware nodig en hele slimme hackers die niet in de stress raken van zo'n aanval, geen macho gedrag gaan vertonen (ik ga ze ff terug pakken) en zich aan de wet houden én hopelijk kunnen zorgen dat ze bewijs verzamelen waarmee de aanvalscoördinator geïdentificeerd kan worden.

[Reactie gewijzigd door djwice op 1 mei 2025 17:39]

Reageer
The Zep Man
@wildhagen1 mei 2025 13:12
Dat is idd veel te simpel gedacht. Veel van die PC's hebben geen vaste IP's maar dynamische IP's. Dus als persoon A nu IP 1 heeft, is morgen IP 1 misschien wel aan persoon B gekoppeld en is die geblokkeerd.
Dan blokkeer/throttle je het IP-blok (die bekend is) en stel je de eigenaar daarvan op de hoogte.
Daarnaast denk ik dat ook systeembeheerders weinig tijd (en zin!) hebben om even door miljoenen IP's te gaan browsen en te gaan selecteren welke wel en welke niet legitiem de site benaderen en welke dus wel en welke niet moeten worden geblokkeerd.
Dat laat je systeembeheerders niet doen. Dat automatiseer je.
Als er zo'n simpele "oplossing" tegen DDoS attacks zou zijn, denk je dan niet dat die al lang en breed zou worden toegepast? Dat dat er niet is, geeft dus al aan dat het niet zo simpel is allemaal.
Geen enkele oplossing hiervoor is simpel. Ook wat ik schets is niet zo simpel als dat het lijkt in een paar zinnen.

Ik denk wel dat de huidige methode die fluwelen handschoenen gebruikt niet effectief is. Al wil men structureel DDoS-aanvallen reduceren dan moeten verantwoordelijken probleemeigenaar gemaakt worden.

[Reactie gewijzigd door The Zep Man op 1 mei 2025 13:13]

Reageer
wildhagen
@The Zep Man1 mei 2025 13:19
[...]


Dan blokkeer/throttle je het IP-blok (die bekend is) en stel je de eigenaar daarvan op de hoogte.
Dat wil je niet, want dan blokkeer je ook legitieme users. En aangezien het zo enorm veel verschillende IP's zijn block je dan ongeveer de halve wereld. En de volgende dag kan je opnieuw beginnen want dan hebben ze weer nieuwe IP's...
Ik denk wel dat de huidige methode die fluwelen handschoenen gebruikt niet effectief is. Al wil men structureel DDoS-aanvallen reduceren dan moeten verantwoordelijken probleemeigenaar gemaakt worden.
In theorie helemaal gelijk. Echter, in de praktijk wens ik je veel succes om een gebruiker in Rusland, China of een willekeurig Afrikaans land tot medewerking te bewegen. Zeker in deze geopolitieke tijden, maar ook daarvoor al.

En laten veel DDoS-attacks nu voor een flink deel uit ip-blocks in die landen komen.

Denk niet dat dat een heel succesvolle aanpak gaat worden...
Reageer
The Zep Man
@wildhagen1 mei 2025 13:28
Dat wil je niet, want dan blokkeer je ook legitieme users.
Ik denk dat het aantal gelijktijdige gebruikers van Nederlandse gemeentediensten in een netwerksegment in het buitenland wel mee zal vallen.
En aangezien het zo enorm veel verschillende IP's zijn block je dan ongeveer de halve wereld.
Je begint met het blokkeren van een enkel IP, daarna deelblokken, daarna blokken. Per keer dat je opschaalt meet je of de aanvallen uit het gehele blok significant afnemen of niet.
En de volgende dag kan je opnieuw beginnen want dan hebben ze weer nieuwe IP's...
Je doet dat niet. Systemen doen dit geautomatiseerd.
In theorie helemaal gelijk. Echter, in de praktijk wens ik je veel succes om een gebruiker in Rusland, China of een willekeurig Afrikaans land tot medewerking te bewegen. Zeker in deze geopolitieke tijden, maar ook daarvoor al.
Wat boeit het als een Rus, Chinees of Afrikaan even geen sites van Nederlandse provincies en gemeentes kan bezoeken? Sterker nog, ik denk dat de meesten daar op geen enkel punt in hun leven een behoefte aan hebben. De uitzonderingen (zoals mensen op reis) kunnen gebruik maken van een VPN bij een provider die zich wel wat aantrekt van misbruiksignalen.

[Reactie gewijzigd door The Zep Man op 2 mei 2025 08:44]

Reageer
Houtenklaas @The Zep Man1 mei 2025 14:41
Wellicht is het iemand ontgaan dat "internet" iets is wat wereldomvattend is. Het idee dat DDOS attacks altijd uit verre landen komen is intussen ook wel achterhaald. Er wordt ergens on the fly een VPS gehuurd en daarvandaan wordt vervolgens geacteerd. En morgen vanuit de UK, overmorgen vanuit Brussel enzovoort. Nu wordt iets als CG-NAT in EU amper toegepast, Delta is voor zover ik weet de enige in NL. Maar daar blokker je gelijk alles en iedereen achter dat IP nummer. En dat kan tamelijk onhandig zijn.

Op mijn servers zie ik zat "gedoe" vanuit bijzondere landen, dat is inderdaad niet lastig te blokkeren. Maar ik zie ook genoeg binnen komen vanuit NL IP nummers die duidelijk bekende exploits proberen toe te passen, PHPMyAdmin zoeken, etcetera. Ik vang - en blokkeer - zoveel mogelijk geautomatiseerd af, maar zie ook dat bij het blokkeren van IP nummer X binnen een minuut een aanval die er als 2 druppels water op lijkt verdergaat van IP nummer Y. Dweilen met de kraan open.

Het blokkeren van complete C klasses (of meer dan dat) zal inderdaad "collateral damage" tot gevolg hebben. Voor een gemeente wellicht niet zo erg omdat die geen commercieel doel hebben, maar als internationale webshop wordt het al een stuk vervelender, dan kost het blokkeren van hele reeksen gewoon omzet.

En blijkbaar is het niet zo simpel. Als DDOS attacks geen enkele invloed zouden hebben op de omgeving, waren de DDOS attacks allang gestopt omdat "niet leuk meer". En daar zijn we nog niet :)
Reageer
Cyberpuppy @Houtenklaas1 mei 2025 15:57
Ergens houdt iemand een lijstje bij van IP adressen van datacenters (Ik dacht op github). En anders https://udger.com/resources/datacenter-list is ook wel een aardige bron.

Voor mijn reguliere websites verwacht ik geen verkeer vanaf een VPS/Datacenter of verre landen. Dat lost het probleem al aardig op.

Maar aan DDOS kun je dan weer weinig doen. Behalve je achter cloudflare verstoppen en hopen dat zij het aan kunnen.
Reageer
multimho @Cyberpuppy2 mei 2025 06:36
"Ergens houdt iemand een lijstje bij van IP adressen van datacenters (Ik dacht op github)."

Kun je die nog ergens terug vinden? Zijn dat datacenters of hosters?
Reageer
Cyberpuppy @multimho3 mei 2025 07:37
Deels gevonden. Achter de link in ieder geval AWS en Azure lijst. -> https://github.com/jhassine/server-ip-addresses

Veel info op Reddit ->
https://www.reddit.com/r/...bhosting_asn_number_with/
o.a. een verwijzing naar https://github.com/wallacebrf/dns/blob/main/ASN_LIST.txt


Ik zoek nog wel even verder. Note to self. Ik moet dingen eens gaan opslaan en er niet steeds vanuit gaan dat ik het wel terug kan vinden.

[Reactie gewijzigd door Cyberpuppy op 3 mei 2025 07:57]

Reageer
multimho @Cyberpuppy5 mei 2025 08:29
Super! Dankjewel.

IMHO in dingen onthouden/terug vinden vind ik Obsidian md een life saver.
Reageer
Cyberpuppy @multimho5 mei 2025 10:08
Ben er nog verder ingedoken. Er lijkt een nieuwe uitdaging te ontstaan. Als je een lijst weet samen te stellen dan zit je (volgens sommigen, heb het niet nageteld) snel aan 50.000 regels. Ook niet leuk voor je firewall om die te moeten verwerken bij elk pakketje dat er binnenkomt.
Reageer
CaptainKansloos @The Zep Man1 mei 2025 14:34
Je begint met het blokkeren van een enkel IP, daarna deel)blokken, daarna blokken. Per keer dat je opschaalt meet je of de aanvallen uit het gehele blok significant afnemen of niet.
Wat doe je dan met adressen achter een CGNAT oplossing bv? Dan is iedereen daarachter maar de dupe?

Ik geloof best dat automatiseren van IP blokkades 'een werkende oplossing' is, maar daar raak je vrijwel altijd ook legitieme gebruikers mee. Een groot deel van het internet is nog steeds IPv4 gebaseerd; het aantal publieke adressen (te) beperkt. Ge-NAT-te gebruiker zijn allemaal de dupe als een gateway device op een blacklist landt. En geografische IP (blokken) blokkeren is schattig, maar regelmatig vinden DDoS aanvallen plaats vanuit geografische IP locaties met voldoende bandbreedte; lees: het Westen zèlf.

Het is m.i. echt te simplistisch om te stellen dat dat IP technisch voornamelijk uit het (verre) Oosten komt. En een tijdelijke blokkade is leuk, maar als het een legitieme gebruiker treft , dan heb je als aanvaller alsnog je doel bereikt; een 'denial of service'; de legitieme gebruiker kan immers de service tijdelijk niet meer gebruiken. Niet zo'n ramp als dat je lokale voetbalclub website is, maar DigiD, Belastingdienst of PGB portaal bv is andere koek.

[Reactie gewijzigd door CaptainKansloos op 1 mei 2025 14:36]

Reageer
watercoolertje @wildhagen1 mei 2025 13:25
Dat wil je niet, want dan blokkeer je ook legitieme users. En aangezien het zo enorm veel verschillende IP's zijn block je dan ongeveer de halve wereld. En de volgende dag kan je opnieuw beginnen want dan hebben ze weer nieuwe IP's...
Je doet steeds of dingen veel werk zijn, maar dat is volledig te automatiseren van het verwijderen van de blokkade na 24 uur aan toe. Waardoor het mogelijk opnieuw gebeurd en dan blokkeer je het gewoon weer (helemaal automatisch) voor 24 uur.

Dan is een issue voor legitieme gebruikers ook vrij snel opgelost (altijd binnen 24 uur, maar waarschijnlijk veel sneller).

En dan op landelijk/EU niveau zodat bedrijven dit zelf niet hoeven te doen.
In theorie helemaal gelijk. Echter, in de praktijk wens ik je veel succes om een gebruiker in Rusland, China of een willekeurig Afrikaans land tot medewerking te bewegen. Zeker in deze geopolitieke tijden, maar ook daarvoor al.

En laten veel DDoS-attacks nu voor een flink deel uit ip-blocks in die landen komen.
Dan die landen toch gewoon blokkeren, waarom moeilijk denken? Mensen uit die landen voegen werkelijk niks toe aan het internet-deel wat wij gebruiken en nodig hebben...

[Reactie gewijzigd door watercoolertje op 1 mei 2025 13:30]

Reageer
arjankoole
@watercoolertje1 mei 2025 14:24
mensen gingen al compleet in de stress toen de EU RT liet blokkeren. (en niet omdat ze fan van rusland waren, maar omdat om censuur begon te lijken)

Kun je nagaan hoeveel rechtszaken er komen als ze hele landen blokkeren. Die keuze ligt bij de beheerder van het individuele netwerk, niet bij de overheid.

RT blokkeren vond ik niet meer dan logisch, maar wat jij voorstelt wordt een stuk gevaarlijker.
Reageer
beeldbuijs @arjankoole1 mei 2025 14:35
Het ligt allemaal een stuk genuanceerder dan hierboven wordt gesteld. In de praktijk wordt niet zomaar iemand aangevallen, maar men is uit op organisaties zoals banken, overheden, instellingen. Als NLziet of rvo.nl wordt ge-ddos-t, heeft vrijwel niemand er last van als je tijdelijk alles van buiten Europa blokkeert.
Reageer
arjankoole
@beeldbuijs1 mei 2025 14:38
Dat weten de aanvallers ook :) En die gaan dus binnen europa zitten. :)
Reageer
beeldbuijs @arjankoole1 mei 2025 22:43
Het zijn meestal hun slachtoffers die zo'n botnet vormen, zonder het te weten. En die zitten uiteraard ook binnen Europa, maar het scheelt een slok op een borrel als je bij een aanval op ing.nl bijvoorbeeld alle niet-Nederlandse ip-adressen een tijdje negeert.

Natuurlijk wil je dat liever niet en zullen er ook Nederlandse klanten op vakantie last van hebben, maar 98% kan dan gewoon ing.nl bereiken en zijn bankzaken blijven doen. Dat is een betere oplossing dan niets doen terwijl 100% van de klanten niet bij zijn online rekening kan.
Reageer
arjankoole
@The Zep Man1 mei 2025 14:55
Dan blokkeer/throttle je het IP-blok (die bekend is) en stel je de eigenaar daarvan op de hoogte.
dan moet je provider het upstream van jou wegfilteren, want als jij alleen kunt blokkeren, is het al te laat.

Dan duwen ze 100 Gbit/s aan traffic door je 1 Gbit/s lijntje, en dan komt er - hoe hard jij ook blokkeert of throttled geen bit meer doorheen.
Reageer
pjottum @Thonz1 mei 2025 13:17
Nou ja, er zijn DDOS wasstraten https://www.nbip.nl/nawas/ en die zouden toch relatief vlot de problemen moeten kunnen oplossen. Voor de details zal de nbip-tweaker even moet instappen.
Reageer
arjankoole
@pjottum1 mei 2025 14:27
ook de nawas is - hoe goed ze ook zijn, en geloof me, ik ben een fan - is niet 100% perfect, en de aanvallers soms geniepig slim.

ik ga even niet in details treden, maar ik heb wel eens zitten zweten, met m'n collega's.
Reageer
FrankHe @arjankoole1 mei 2025 16:12
Het probleem is dat het systeem een afweging moet maken hoe waarschijnlijk iedere aanvraag die binnenkomt onderdeel is van de DDOS aanval of niet. Je krijgt het nooit helemaal 100%, er zijn simpelweg false positives en false negatives. Dat houd je gewoon altijd.
Reageer
arjankoole
@FrankHe1 mei 2025 16:38
Die heb je inderdaad, maar opzich is dat binnen bepaalde marges acceptabel.

Als 5-10% van de gebuikers/bezoekers van die omgevingen er niet bij komt doordat ze stranden in de filters, so be it. De rest komt er doorheen, en dat is wat telt.

Minder is beter, maar je moet ergens een realistisch verlies pakken. Daar lagen we echt niet wakker van :)

Andere dingen wel. :)
Reageer
FrankHe @arjankoole1 mei 2025 20:18
Geen idee of er een hoog percentage false negatives zijn waarvan je graag had dat ze werden geblokkeerd maar die er vervolgens toch doorheen komen?
Reageer
arjankoole
@FrankHe2 mei 2025 08:08
Iets, maar niet heel veel volgens mij. Volgens mij heb je eerder relatief last van false pos, en worden argeloze gebruikers weggefilterd.
Reageer
FrankHe @arjankoole4 mei 2025 18:04
False positives zul je altijd blijven houden, als tegelijk het aantal false negatives buiten gewoon klein is dan doet het filter z'n werk goed.
Reageer
arjankoole
@FrankHe6 mei 2025 13:21
daarom zei ik ook relatief. :)

het aantal was niet erg relevant. Verreweg de meeste gebruikers konden ongestoord hun ding doen.
Reageer
FrankHe @arjankoole6 mei 2025 15:19
Dat is goed om te horen.

Overigens daar waar "buiten gewoon" stond moest dat uiteraard "buitengewoon" zijn, stop de tijd!
Reageer
demonite @Thonz1 mei 2025 13:16
Daar zullen heel veel apparaten tussen zitten die geen public IP hebben, dan blacklist je dus niet enkel een besmet apparaat maar alles wat in hetzelfde netwerk zit als dat apparaat.

Toevallig heeft een ISP (ik meen KPN) mijn ouders een keer afgesloten omdat ze een e-mail spam server hadden gedetecteerd, die bleek op een IP camera te draaien. Toen ze dat ding in de prullenbak hadden gegooid konden ze weer vrolijk verder Wordfeuden... Dus "automatisch blokkeren" gebeurt wel, maar dat een ISP je afsluit (en daarover contact met je opneemt) is wel wat anders als dat een derde partij je (permanent) op een blacklist zet.

Hoe ga je bv je belastingaangifte doen als je geblacklist bent omdat je bv ooit een dubieuze IP cam in huis hebt gehad?
Reageer
arjankoole
@demonite1 mei 2025 16:45
Bij de overheid is een blacklist bijna nooit permanent.

Ik ben ook wel eens in de automatische detectie van xs4all beland, die gasten waren echt goed in wat ze deden. Was een wordpress site die ik had binnen gehaald, die gehaxord bleek en een phone-home naar een C&C server deed. Draaide allemaal geïsoleerd (ik ben niet gek, en ik had misschien een voorgevoel), maar xs4all had 'm in seconden voor elkaar.

Helaas had ik een redundante verbinding, dus ik kreeg hun splash screen nooit te zien :-p Dus het duurde wat langer (en een belletje) voor ik er achter was waarom m'n verbinding een failover had gedaan.

Er is echter 1 hele hele boeiende factor hierin: je moet een competente ISP hebben. en dat is best zeldzaam. De meeste ISP's boeit 't niet, en een UDP werkt tegenwoordig niet meer. (wat we vroeger hebben ingezet om slechte ISP's op te voeden). Bij xs4all werkt dat prima. Bij een chinese ISP met een heel klusje /23's die aan het UDP flooden zijn (al dan niet direct) werkt dat niet.
Reageer
jordynegen11 @Thonz2 mei 2025 16:02
Nee zo simpel is het niet. Vaak komen aanvallen ook van spoofed sources. De pakketjes zijn daarin aangepast waardoor de bestemming een fake source ip ziet ipv het echte ip.

Het grootste probleem zit hem in shady hostingpartijen en T1 providers die om een of andere reden geen goede filters hebben en spoofing toestaan. Ik snap daarom ook niet waarom Europa IX’s en transit providers niet verplicht om rpki en route objects te checken.
Reageer
kodak
@wildhagen1 mei 2025 19:56
[...] Die aanvallen komen doorgaans van botnets die uit PC's over de hele wereld bestaan, met compleet verschillende IP-adressen. Dat is gewoon niet te blokkeren.[...]
Als je simpel alleen gaat blokkeren is het inderdaad niet zomaae realistisch. Maar snel genoeg tijdelijk blokkeren kan wel helpen om een aanval zo veel af te zwakken dat deze geen effect meer heeft.
Reageer
DennusB @Mosterd1 mei 2025 12:28
Dat kan maar tot op zekere hoogte, als je uplink vol zit door een DDOS dan is t gewoon snel klaar helaas ..
Edit: na je zin nog 2x te hebben gelezen bedoel je volgens mij de servers die de DDOS uitvoeren, dat is ook niet zo makkelijk want vaak zijn het botnets met duizenden nodes ..

[Reactie gewijzigd door DennusB op 1 mei 2025 12:30]

Reageer
FrankHe @DennusB1 mei 2025 14:36
Achter botnets zitten inderdaad command servers, maar dat kan werkelijk van alles wezen. In het verleden was dat vaak een IRC kanaal waarin een bepaald sleutelwoord werd gezet waarna het botnet actief werd. Tegenwoordig kan het werkelijk van alles wezen, bijvoorbeeld een instagram pagina waarop commandos worden gegeven die de nodes uit het botnet oppakken. Het onschadelijk maken van een botnet is zo simpel nog niet.
Reageer
arjan1995 @Mosterd1 mei 2025 12:38
Vaak zijn de 'servers' die de DDOS uitvoeren geen traditionele servers in een datacenter, maar vele duizenden apparaten die ook gewoon bij mensen thuis staan. Dit zijn apparaten die helaas besmet zijn geraakt met een virus of malware, waardoor ze onderdeel van een botnet zijn geworden.

Als je dit überhaupt al zou kunnen blokkeren, dan hebben daar dus anderen last van. Beter is om te zorgen dat eindgebruikers door hebben dat hun pc, mobieltje of slim apparaat met een virus besmet is geraakt, zodat ze het kunnen (laten) verwijderen en het device daarna niet meer aan het botnet zal deelnemen.
Maar dat vergt uiteraard een hele andere aanpak dan 'server blokkeren'.
Reageer
The Zep Man
@arjan19951 mei 2025 13:08
Als je dit überhaupt al zou kunnen blokkeren, dan hebben daar dus anderen last van.
Als dat op verbindingsbasis is dan lijkt mij dat helemaal niet zo erg. Een door DDoS misbruikte verbinding moet gewoon geblokkeerd kunnen worden. Anders kan iemand zich als onwetend voordoen en zelf actief bijdragen aan (D)DoS-aanvallen. Onwetendheid moet niet als excuus gebruikt kunnen worden voor kwaadwillende activiteiten.
Beter is om te zorgen dat eindgebruikers door hebben dat hun pc, mobieltje of slim apparaat met een virus besmet is geraakt, zodat ze het kunnen (laten) verwijderen en het device daarna niet meer aan het botnet zal deelnemen.
Het is niet aan instellingen om eindgebruikers hierover les te geven. Blokkeer het en maak een misbruikmelding bij de betreffende ISP als die daaraan meewerkt.
Reageer
arjankoole
@The Zep Man1 mei 2025 16:46
en dan pakken de aanvallers de volgende.

melding doen bij ISP's werkt in Europa misschien, maar daarbuiten wordt 't al snel slecht.
Reageer
Kees BOFH
@arjan19952 mei 2025 12:23
Ik heb zelf nog nooit een ddos aanval op Tweakers gezien van 'duizenden apparaten die gewoon bij mensen thuis staan' en ik heb al heel wat aanvallen bekeken.

En waarom zouden ze ook zo ingewikkeld doen? Je kan ook gewoon eenvoudig een scriptje maken dat een gratis account bij een hoster maakt en dan een trial instantie opzetten. De meeste providers hebben wel zo iets dat je daarvoor kan gebruiken. Ik noem maar een voorbeeld: https://www.oracle.com/cloud/free/

Die 'free tier' gebruik je dan gewoon net zo lang tot de cloudprovider ziet dat je er misbruik van maakt of tot je free trial afloopt, daarna maak je een nieuw account aan (en met vpn's/tor is dat eenvoudig vanaf een ander adres te doen zodat het niet opvalt) en je begint weer van voren af aan. Routeer je het verkeer vervolgens ook nog eens over diverse gratis vpn- en tordiensten (tot die je blocken) en je hebt al snel duizenden ip-adressen om je target mee aan te vallen.

Zeker met de opmars van 'infrastructure as code' is dat helemaal niet ingewikkeld en nog belangrijker: je hacked geen onschuldige gebruikers; dat is dan in elk geval een misdrijf minder waardoor je minder hoog op het lijstje komt bij opsporingsdiensten.

En zelfs als cloudproviders hier heel erg scherp op zijn; het is lastig om dit te voorkomen (zonder je free tier op te zeggen) en ook al heb je ze binnen een uur door en je banned de gebruiker, dan hebben ze alsnog een uur lang iemand kunnen aanvallen.

En de meeste aanvallen die ik zie duren niet lang, meestal een paar minuten. Zie bijvoorbeeld de laatste aanval; voornamelijk hostingproviders en cloud diensten.
Reageer
Anonymoussaurus
@Mosterd1 mei 2025 12:37
Dat is leuk, maar tegen botnets doe je weinig door China en Rusland op de blocklist te zetten. Ze kunnen natuurlijk ook gewoon makkelijk VPN's, proxies en dergelijke gebruiken.
Reageer
oef! @Mosterd1 mei 2025 12:41
Je hebt een groot probleem wat we al 20 jaar hebben opgelost met één post op Tweakers! Stom dat die techneuten daar nooit aan gedacht hebben!

/s
Reageer
FrankHe @Mosterd1 mei 2025 14:26
De eerste D in DDOS staat voor "distributed" en dat is nu net het belangrijkste kenmerk van een dergelijke aanval. Het verkeer komt niet van een select aantal servers maar van botnets die doorgaans bestaan uit enkele honderden duizenden gecompromitteerde apparaten. Daarbij moet je denken aan een WiFi router die al zes jaar geen security update meer heeft gehad, een verouderde PC waarop gekraakte software staat geïnstalleerd of een stuk speelgoed uit China dat om wat voor reden dan ook met je WiFi is verbonden. De verantwoordelijkheid ligt dus in de eerste plaats bij de consument die dergelijke apparaten in hun netwerk toelaten en in het directe verlengde daarvan fabrikanten en verkopers die dergelijke producten op de markt zetten maar niet hun verantwoordelijkheid nemen om hun producten voor langere tijd fatsoenlijk te ondersteunen en veilig te houden.
Reageer
fastedje @Mosterd1 mei 2025 13:11
Het idee van een DDOS is juist dat er heel veel verschillende severs en systemen bij betrokken worden. Een gebruikelijke manier is dat er UDP requests naar vele DNS servers worden gestuurd waarbij het source IP gespoofd is naar het IP vat het DDOS target.
Reageer
arjankoole
@fastedje1 mei 2025 14:30
precies.

Ik ben benieuwd hoe ze dat bij de bekende 1.1.1.1 / 8.8.8.8 / etc.etc.etc.etc oplossen.
Reageer
j.meijers 1 mei 2025 12:40
Het lastige aan een DDOS is dus dat er meer clients zijn die requests sturen met slechte intenties, dan ‘echte’ clients. Dit is dus heel moeilijk allemaal te blokkeren.

Nog erger, in het verleden zijn hier bijvoorbeeld smart-tvs voor gebruikt die gehackt waren (want slecht beveiligd). Dan komen die kwaadaardige requests dus vanaf een IP dat ook een goedaardig request kan uitvoeren.

Cloudflare, Azure, AWS etc hebben wel infra die je kunt inzetten om ietwat te mitigeren. Persoonlijk weet ik niet hoe effectief dit is tegen echt grootschalige aanvallen.
Reageer
AMS76 @j.meijers1 mei 2025 13:00
Volgens de site val Cloudflare zelf:
With 348 Tbps of network capacity, 23x greater than the largest DDoS attacks ever recorded, Cloudflare can mitigate attacks of any size.
Reageer
bzzzt @AMS761 mei 2025 13:06
* waarbij any size betekent alle groottes zo lang het maar minder dan 348Tbps is.
Reageer
nonestpraens @AMS761 mei 2025 13:33
Ligt ook aan het abbonoment die het bedrijf bij cloud flare heeft, bij ons was de cloud flare eruit gevallen omdat de website in kwestie maar gelimiteerd de services had van cloud flare. Wouden wij volledige bescherming? Dan moesten wij meer dokken, dat is het niet waard voor die website dus blijft ie maar even down.
Reageer
wesleey 1 mei 2025 13:42
Voor de mensen die benieuwd zijn naar de meer technische achtergrond van de groep en DDoS tooling: https://blog.sekoia.io/fo...-ddosia-projects-targets/
Reageer
JerX 1 mei 2025 13:54
Die aanvallen werden geclaimd door de Russische NoName057(16). Het NCSC beaamt dat deze actor aanvallen claimt en stelt dat ze een pro-Russisch ideologisch motief lijken te hebben.
Het is dat het niet "officieel" van Rusland is. Maar anders had dit toch gezien kunen worden als een oorlogsdaad op onze Nederlandse infrasctructuur?
Reageer
Baziz 1 mei 2025 14:17
Waarop wordt er gebaseerd dat Noname057(16) Russisch zou zijn? Men is pro-Russisch in het Oekraïne conflict maar dat is ver uit de meerderheid van de wereldbevolking en dus kan dit overal vandaan komen, zelfs uit Nederland zelf.
Reageer
arjankoole
@Baziz1 mei 2025 14:31
de meerderheid van de wereldbevolking is absoluut niet pro-russisch. Dat is pertinente onzin.

de conclusie is logisch, gezien de russische staatsleugens die ze 1:1 herhalen, en de acties die ze uithalen. Alsmede de retoriek die ze bezigen.

[Reactie gewijzigd door arjankoole op 1 mei 2025 14:33]

Reageer
FrankHe @Baziz1 mei 2025 14:42
Die aanvallen werden geclaimd door de Russische NoName057. Het is niet dat ze ineens uit het niets komen, ze bestaan al langer en hun verbondenheid met het kwaadaardige regime in het Kremlin is in he verleden reeds aangetoond.
Reageer
AMS76 1 mei 2025 12:59
gereageerd op de verkeerde plek

[Reactie gewijzigd door AMS76 op 1 mei 2025 13:00]

Reageer
Thonz @AMS761 mei 2025 13:04
Gereageerd op een verkeerd geplaatste reactie.

[Reactie gewijzigd door Thonz op 1 mei 2025 13:23]

Reageer
jkrah 8 mei 2025 16:44
De site van Brand New day is nu uit de lucht en laat een pagina van Cloudflare zien. Hun 'mijn' omgeving werkt nog wel

[Reactie gewijzigd door jkrah op 8 mei 2025 16:46]

Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq