Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 124 reacties
Bron: PCWorld.com, submitter: nummie

Afgelopen maandag begon om 5 uur 's middags (11 uur 's avonds bij ons) een van de grootste DDoS (Distributed Denial of Service) aanvallen ooit vertoond op Internet. De aanvallen waren gericht op de dertien zogenaamde 'root-servers'. Zeven of acht van deze servers vielen uit, wat net voldoende was voor een kleine merkbare vertraging in bepaalde regio's van het internet. Wie er achter de aanval zit is niet bekend. De dertien root-servers vormen de basis van het DNS-systeem, wat ervoor zorgt dat domeinnamen vertaald kunnen worden naar ip-adressen en andersom.

DoS-attackDe aanval was afkomstig vanuit zowel Europa als Amerika, zo weet Matrix NetSystems ons te vertellen. Volgens het bedrijf, dat al het Internetverkeer op de voet volgt, duurde de aanval ongeveer 6 uur, hoewel Verisign - die twee van de root-servers beheert - zegt dat de DDoS-attack hoogstens een uur heeft geduurd. De computers die het dataverkeer veroorzaakten waren waarschijnlijk in het bezit van onwetende gebruikers. DDoS-aanvallen zijn vrij populair en simpel uit te voeren terwijl er weinig tegenin te brengen valt; het gebeurt dan ook regelmatig dat netwerken door dit soort acties getroffen worden. De opzet en grootte van deze DDoS-aanval is echter nog niet eerder voorgekomen:

"This was the largest and most complex DDOS attack ever against the root server system," an anonymous source at an organization responsible for the system told the Post.

[...]"What happened was dramatic," said Tom Ohlsson, vice president of marketing for Matrix NetSystems, which compiles reports that detail how much traffic goes through the Internet backbone at any given time. "In terms of damage, the worst is probably behind us as of".

Lees meer over

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (124)

-11240120+1103+240+38Ongemodereerd0
1 2 3 4 5
+3 serkoon
23 oktober 2002 14:22
Op de NANOG-mailinglist (waar de netadmins van oa deze systemen mailen) werd gezegd dat deze aanval niet betekende dat de rootservers echt onbereikbaar waren, slechts vertraagd.

Ik zag zonet ook een traffic-grafiek van een switch waar een zo'n rootserver aanhing, waaruit bleek dat het maar een ddos van 60mbit was (op die ene rootserver). Daar zijn die dingen echt wel tegen bestand. Nauwelijks een probleem dus deze kiddo-acties.
+2 bille
@serkoon23 oktober 2002 14:29
maarja zolang als dat je de source niet kan aanpakken worden er alleen nog maar meer "zieltjes gewonnen" voor het DDoS'en.. dmv viri e.d. toch een kwalijke zaak.

Ik vraag me hetvolgende af:
er zijn toch over de hele wereld een aantal belangrijke knooppunten van datalijnen? Zo ligt er vanuit amsterdam naar New York 1 heleeeee dikke lijn die ongeveer veel?!% van de communicatie tussen europa en Amerika regelt. Op dat soort knelpunten moet toch gemeten kunnen worden (sniffen e.d. hehe ok.. daar moet je dan wel een 'redelijk' computertje voor hebben staan) dat er op een bepaald moment een enorme hoeveelheid data naar 1 bepaald ip o.i.d. gestuurd wordt? vanaf die knelpunten is dat gewoon te backtracen naar providers en die kunnen op hun beurt weer bepaalde packets op hun routers, die hun netwerk met de buitenwereld verbindt, weg laten filteren..

is zoiets niet mogelijk?? lijkt me toch wel.. maar gebeurd het ook? en zo nee waarom niet :?
+2 The Beyonder
@bille23 oktober 2002 15:01
Als het pratisch al mogelijk was te doen dan zou het wel een erg domme gast zijn die zich laat tracen.

Je kan een IP adres van herkomst namelijk vervalsen ( spoofen ).
Plus hoe wil je het legale verkeer van het foute verkeer scheiden.
Er is geen verschil tussen die twee stromen te herkennen.

Steve Gibson heeft daar eens wat leuke dingen over geschreven ( www.grc.com ).
Leuk leesvoer.
+3 HermeS
@The Beyonder23 oktober 2002 15:55
Hoewel ik het zelf niet geheel op waarde kan schatten, en ik ook de indruk heb dat die Steve Gibson wel een 'nice guy' is, zijn er ook mensen die er over hem een duidelijk andere mening op na houden. :
http://grcsucks.com/grcdos.htm
Hij wil graag aandacht, maar wie wil dat niet graag?

Wat mensen zeggen over spoofen is heel simpel optelossen/optevangen door de router waar de -dos-client aan hangt geen pakketten teforwarden die een source ip hebben niet binnen het eigen domain ligt.

Waarschijnlijk overbodig om temelden maar voor de duidelijkheid. Ik heb een ip in de rang 195.241.107.x en mijn pc is geinficteerd met een dos client en word gebruikt in een aanval tegen 195.121.1.34, dan is mijn ISP verandtwoordelijk (vind ik althans) om tezorgen dat wanneer ik mijn pakketjes bij de router aanbied waar ik aan hang tedroppen als hij geen source ip heeft in de 195.241.x.x range (hun netblock). Op deze manier is het feitelijk onmogelijk om verkeer met een vals source ip richting internet tegeneren.

En ander klein puntje wat er tegen gedaan kan worden is source routing uitzetten (dit staat tegenwoordig al als standaard waarde geloof ik)
+3 Firefox
@The Beyonder23 oktober 2002 16:35
Het klopt, een D(R)DoS (synfloods en aanverwante kul) kunnen gespoofed worden.

dit is een beveiligings probleem waar weldegelijk wat tegen te doen is: Je laat als Provider alleen pakketjes naar buiten gaan als de bron van pakketjes binnen jouw eigen netwerk ligt.

Wanneer providers als @home, chello en wanadoo dat gewoon doen dan beperkj je de source mogelijkheden bij spoofing aanzienlijk, en kun je de bron van de ellende veel beter traceren. Misschien niet de dader, maar dan toch iig de machines waar de beveiliging niet van in orde is. Dat is waar het in de kern om draait: gehackte/geinfecteerde machines. Spoor die op en je bent van een groot probleem af.

Ik krijg zelf ook zo nu en dan aanvallen over me heen. Voornamelijk UDP attacks. - Gelukkig zijn de mogelijkheden van die aanvallers beperkt, en tot nutoe is een mailtje naar abuse van de betreffende provider voldoende om op korte termijn de betreffende boxen uit te schakelen.

Kern:
ISP - Routers zouden alleen dat door mogen laten wat daadwerkelijk van haar eigen netwerk afkomt.
+2 metalant
@The Beyonder23 oktober 2002 15:03
DDos is traceerbaar. Je maakt namelijk gebruik van onschuldige gebruikers via een trojan. Dus wie de dader is, maakt niet uit, want je gebruikt de computer van iemand anders om je acties uit te voeren.
+2 Major 7
@The Beyonder23 oktober 2002 15:17
Hoewel ik het zelf niet geheel op waarde kan schatten, en ik ook de indruk heb dat die Steve Gibson wel een 'nice guy' is, zijn er ook mensen die er over hem een duidelijk andere mening op na houden. :
http://grcsucks.com/grcdos.htm

OK off-topic, ja.
Ik ben toch benieuwd waar de waarheid ligt. Misschien kan de een of andere "network-wizzard" of zo, hier iets meer over vertellen...
+1 BadRespawn
@The Beyonder23 oktober 2002 16:35
die trojan kan het ip adres spoofen, voorzover het OS vd host het toelaat (win xp, w2k).
(oops, reply op metalant)
+1 ijdod
@The Beyonder24 oktober 2002 23:28
Filteren op source adres is in theorie leuk, maar in de praktijk komt het er vaak op neer dat hoe hoger de snelheid wordt, hoe groter de performance impact van dergelijke filter acties.
+1 Pwigle
@bille23 oktober 2002 14:43
Er ligt wel meer dan 1 kabel naar amerika toe, maar hoe wou jij bij een kabel die ontelbaar pakketjes verstuurd eruit filteren welke er zorgen voor een DDoS ?
Compleet onmogelijk wat je daar zegt.
+1 _JGC_
@bille23 oktober 2002 18:46
maarja zolang als dat je de source niet kan aanpakken worden er alleen nog maar meer "zieltjes gewonnen" voor het DDoS'en.. dmv viri e.d. toch een kwalijke zaak.
Grote kans dat onze school met lekkere 100Mb surfnet lijnen ook met een aantal servers heeft meegedaan. Bij ons op school zijn de sysbeheerders ervan overtuigd dat Redhat het beste systeem op de hele wereld is, en dat RPM het eenvoudigst te upgraden is.
Vandaag weer een sysbeheerder erop aangesproken toen ie hielp een student met een 10Mb lijntje op surfnet een ongepatchte Redhat 6.2 bak te installeren: die gast wou de student ff helpen Apache 1.3.20 te installeren, maar gelukkig dacht RPM daar anders over > :)
+1 vink|IA
@serkoon23 oktober 2002 16:09
"maar" 60 Mbit is wel een stuk meer dan ze normaal te verwerken krijgen... Nog sterker: volgens mij hangen de meeste rootservers maar aan 100 Mbit lijnen. Dat is voor normaal DNS-verkeer ook zat.
+3 xenobia12345
23 oktober 2002 14:31
Kijk hier es voor een grafiekje van de 21e:

http://www.matrixnetsystems.com/ea/advisories/20021022_reachability.js p

of:

http://www.matrixnetsystems.com/ea/advisories/20021022_instant_alert.j sp

Dit waren de aangevallen servers:

A VeriSign Global Registry Services Herndon VA, US
G U.S. DOD Network Information Center Vienna VA, US
H U.S. Army Research Lab Aberdeen MD, US
I Autonomica Stockholm, SE
J VeriSign Global Registry Services Herndon VA, US
K Reseaux IP Europeens - Network Coordination Centre London, UK
M WIDE Project Tokyo, JP

En dit was het resultaat:
At the peak of the attack, average reachability for the entire DNS network dropped below 94% from normal levels near 100%.

Currently, reachability remains near 97%.
Geeft wel aan dat internet aardig stabiel is wat betreft DDoS aanvallen...
+1 Maarten Blom
@xenobia1234523 oktober 2002 15:02
Is wel raar dat de DNS servers niet uit 1 land afkomstig zijn. Het zo beter zijn dat je de DNS ook aan elkaar koppelt tussen meerdere landen.
Of bestaan er "A tot Z" servers in zowel Europa en Amerika?
+2 vink|IA
@Maarten Blom23 oktober 2002 18:36
De 13 rootservers (A t/m M) staan verspreid over de hele wereld. Of liever gezegd: 10 in de VS, 1 in Japan, een in Zweden en een in Engeland.

De A-rootserver maakt eens in de 8 uur een soort "exportbestand" en kopieert dat naar de andere 12 servers.
+3 LauPro
23 oktober 2002 15:02
Weten er eigenlijk wel mensen hoe dit eigenlijk tot stand komt? Iedereen roept maar 'DDoS-attack yeah!'. Maar de werkelijke fout ligt bij anderen. Ik heb dit scenario al ergens anders gepost:

Cisco (en ook andere bedrijven) bieden apparatuur aan waarmee het internet kan worden gedeeld (zegmaar routers). Deze zijn meestal via telnet in te stellen. Wat gebeurd er nu? Een 'systeembeheerder' (op de nodige qoutes kom ik later terug) schaft zo'n apparaat aan en installeerd hem. Die dingen hebben een standaard wachtwoord zoals bijvoorbeeld 'cisco' of 'admin' ect. Nu lijkt het nu 100% logisch dat je dat wachtworrd wijzigt > nee dus... Dat wordt in een aantal gevallen niet gedaan. En laten die routers nu ook verbonden zijn met bjivoorbeeld een 1GBit verbinding ;).

Een 'hacker' gaat een beetje poortscannen op de range van een bedrijf dat gigabit inet aanbiedt (KPN Quest bijvoorbeeld). Stel dat er 4 op de 100 routers zijn waar het standaard wachwoord niet gewijzigd is. 'Hacker' logt in op router heeft console voor z'n neus (8>. Het enige wat er dan nog maar hoeft te gebeuren is 'ping <target>' en als die dat in een scriptje zet (om bijvoorbeeld 100 (!) van dit soort routers tegelijk te laten pingen) dan zijn de rapen gaar, hij heeft een krachtig 'wapen' voor zijn neus. Zo'n router hangt vrijwel 24/7 aan het inet dus dat is het punt niet. Het gevolg is dus dat 1 hacker zeker al sites zoals tweakers.net een packetloss kan bezorgen van >90% (onbereikbaar dus).

Ik beweer niet dat dit de enige oorzaak is, maar de meeste 'aanvallen' worden gestart vanuit dit soort situaties...
+1 metalant
@LauPro23 oktober 2002 15:16
Lijkt mij een beetje veel werk, om vanaf een Cisco telnet prompt te gaan werken, terwijl het met b.v. stecheldraht veel een veel makkelijker gaat.
+1 LauPro
@metalant23 oktober 2002 15:19
Ik ken jouw 'stecheldraht' niet maar ik kan me niet voorstellen dat dit er meer is dan mijn voorbeeld (dus niet alleen Cisco). Bovendien kan je het dus in een script schrijven waarbij je bijvoorbeeld op 100 routers tegelijk inlogt en tegelijk commando's kan geven.
+2 /.
@LauPro23 oktober 2002 15:27
Met 'stecheldraht' wordt m.i. 'stacheldraht' bedoeld: http://staff.washington.edu/dittrich/misc/stacheldraht.analysis
+1 LauPro
@metalant23 oktober 2002 15:34
Met dank aan /. kan ik nog een reactie op jou geven:
Als ik het even snel heb doorgelezen is 'stecheldraht' gewoon een programma/script dat DDoS uitvoerd. Het leuke van _bijvoorbeeld_ Cisco apparatuur is dat je soms ook complete scripts kan uppen en draaien.

Het gaat er niet om dat je het programma hebt maar het gaat erom dat je de aanval van meerdere plekken tegelijk uitvoerd. Dus je kan wel een mooi programma hebben en dan over je Chello-lijntje een DDoS attack te gaan starten, maar veel verder dan je wijk kom je niet ;) ...
+1 MikeN
@LauPro23 oktober 2002 22:53
Als ik het even snel heb doorgelezen is 'stecheldraht' gewoon een programma/script dat DDoS uitvoerd.
Iets te snel gelezen denk ik ;) Het is een DDOS tool, die van een virus gebruikt maakt wat remote installed is, IMHO.
+2 The 2nd Trip
23 oktober 2002 14:33
voglens mij valt dit best wel mee.. want elke dns server heeft wel een cache waar alle request instaan.

ook al zijn de root servers down kun je wel een tijdje blijven internetten...en tegen de tijd dat de cache geflushd is zijn de root server ook weer gereboot

volgens mij klinkt het erger dan het eigenlijk is.


btw.. elke land moet zijn eigen root server krijgen...en zeker niet zo als het nu is: meer dan helft van de servers staan in de VS. |:(
+2 Wouter Tinus
@The 2nd Trip23 oktober 2002 14:53
Het is inderdaad maar een opgeblazen telegraaf-verhaal. Niet alleen alle providers cachen de DNS op hun eigen servers, maar ook alle individuele computers doen dat om tijd te besparen. Het enige probleem was dat wijzigingen in de DNS niet meer wereldwijd door zouden komen, maar die rootservers moeten weken down zijn wil dat ook maar een klein beetje onhandig worden. Het hele idee achter internet is dat het een kernoorlog moet kunnen overleven, en dat is toch wel *iets* ingrijpender dan een DDoS.

Rudie_V: je zegt het zelf al: standaard. Als hij geen update kan binnenhalen dan zal hij de oude informatie niet weggooien.
+1 ExTec
@Wouter Tinus23 oktober 2002 20:37
Oh?

DNS zones expiren toch echt, vaak genoeg gezien. Is ook logisch; een gecachte zone die niet geupdate kan worden loopt niet meer syncroon met het origineel, wordt onbetrouwbaar.

Ok, toegegeven; als het echt belangrijk is, kun je de expiration vast wel uitschakelen, en tot het einde der dagen een kopie gebruiken, maar prettig is het niet.
+1 Rudie_V
@The 2nd Trip23 oktober 2002 14:37
DNS servers cachen ja, maar het leg er aan hoe lang er gecached word. Volgens mij is dit standaard maar iets van 60 minuten dacht ik
+1 wouter veltmaat
@Rudie_V23 oktober 2002 16:57
Hoe lang zijn ze aan't DDos'en geweest?
Een uurtje, dus geen enkel probleem whatsoever.

Trouwens elke nl'se en belgische DNS server hoort gewoon een vaste tweakers.net instelling te krijgen. :P

Wel een mooie showcase om te bewijzen dat internet toch tegen een stootje kan. Ze zullen heel wat meer moeite moeten doen om de boel down te krijgen.
(bijv een atoombom bij elke rootserver laten ontploffen, cru voorbeeld dat wel)
+2 qless
23 oktober 2002 14:47
Die 13 root servers zijn verantwoordelijk voor alle top-leveldomain verwijzingen.
Dus als jij .cc opvraagd, en jouw dns-server (of die van je isp) kent die niet, gaat zo'n verzoek via de root server die dan opzoekt welke dns servers(s) verantwoordelijk zijn voor dat toplevel domain.

Informatie van die root servers wordt wel gecached, maar die waarde blijft maar een bepaalde tijd geldig.

Dus als je alle 13 servers platlegt (overigens bestaan een aantal van die servers uit fysiek verschillende servers) en je houd dat lang genoeg vol ga je problemen krijgen.

Helaas is meer dan 13 servers niet echt goed te doen, nu passen de namen van deze 13 servers precies in 1 datapakketje, wat de boel efficienter maakt.

Wel zou het beter zijn deze servers meer te verdelen over het internet, de meeste staan nu in de VS...
+2 riddles
@qless23 oktober 2002 15:20
Even nagezocht:
origin = A.ROOT-SERVERS.NET
mail addr = NSTLD.VERISIGN-GRS.COM
serial = 2002102300
refresh = 1800
retry = 900
expire = 604800
minimum = 86400
De expire staat op 7 dagen. Dus na een DOS van gemiddeld zo'n 3,5 dag kom je pas in de problemen. De gemiddelde ISP heeft de meeste TLD's toch wel in zijn cache staan en zal dus geen problemen ondervinden.

En daarnaast is de lijst zo klein (hoeveel TLD's zijn er nou helemaal? 200? 300?), dat een ISP tegen die tijd de TLD's wel handmatig aan z'n eigen DNS servers toe kan voegen.
+2 oh,when?
23 oktober 2002 15:02
misschien een hele paranoide gedachte, maar erm. Wat als het een of andere (durf het woord bijna niet te noemen) 'terroristische' poging was? Of een oefening voor zoiets?

Lijkt me toch dat het best eng is als je een belangrijk communicatiemiddel uit de lucht weet te krijgen.

:|
+1 LauPro
@oh,when?23 oktober 2002 15:13
Ik denk dat de 'hackers' vrijwel alles erin hebben gegooit wat ze hadden. Het is onmogelijk om het totale verkeer plat te leggen omdat er gewoon teveel bandbreedte beschikbaar is.
+1 Siltrince
@oh,when?23 oktober 2002 15:53
Je zegt het zelf , "een belangrijk communicatiemiddel".
Voor terroristen is internet HET communicatie middel, dus het zou mij verbazen dat ze dat zouden willen lamleggen.
+2 Rob
23 oktober 2002 14:22
Nog wat intressants:
Although the Internet theoretically can operate with only a single root server, its performance would slow if more than four root servers failed for any appreciable length of time.

In August 2000, four of the 13 root servers failed for a brief period because of a technical glitch.

A more serious problem involving root servers occurred in July 1997 after experts transferred a garbled directory list to seven root servers and failed to correct the problem for four hours. Traffic on much of the Internet ground to a halt.
+2 Blubber
23 oktober 2002 14:41
ook al zijn de root servers down kun je wel een tijdje blijven internetten...en tegen de tijd dat de cache geflushd is zijn de root server ook weer gereboot
Het was een DDoS attack, dus de server hoeft niet uit, of herstart te worden. Zolang de verbinding vol is, is de attack geslaagd.
+2 aKra
23 oktober 2002 17:02
Ik werk bij een bedrijf dat ook de VeriSign rootservers host, die van Nederland dan...

We hadden een piek van 40 a 75Mbit door onze netwerken heen, alleen gingen ze in Nederland down omdat ze een of andere slechte Firewall configuratie had die de machine liet crashen...

Precies heel toevallig op dat moment waren m'n collega's in Amsterdam en hebben het heel snel verholpen...

Was trouwens tussen 3.00am en 4.00am :Y)
+2 PipoDeClown
23 oktober 2002 17:46
Misschien moet het maar strafbaar worden gesteld je computer niet goed te beveiligen, net zoals je voordeur van je huis wijd open te hebben uitnodig tot diefstal.
1 2 3 4 5

Op dit item kan niet meer gereageerd worden.


Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True