Xs4all wordt al een week door DDoS-aanval geteisterd

Xs4all heeft sinds vorige week te maken met een grote DDoS-aanval, zo meldt Webwereld. Gelukkig voor het bedrijf worden er slechts kleine problemen geconstateerd. De problemen doen zich voornamelijk voor bij gehoste sites, waarbij het connecten naar de website langer duurt en vaker uitvalt dan normaal. Verder zijn er nauwelijks problemen met het e-mail verkeer.

Volgens een woordvoerder van Xs4all is het nog onduidelijk wie achter de aanval zit en wat precies het doel is van de aanval. Die onduidelijkheid wordt veroorzaakt doordat er vanuit duizenden computers vanuit de hele wereld contact wordt gezocht met het shared-webhostingplatform. Op dat platform staan ongeveer vijftienduizend sites gehost onder één IP-adres, waardoor momenteel niet kan worden achterhaald wie van de klanten precies het doel is.

De internetserviceprovider heeft de problemen nu redelijk in de hand. Zo worden de bronnen van de DDoS-aanval zo snel mogelijk geblokkeerd en toegang ontzegd tot het Xs4all-netwerk. Daarnaast worden de sites van het shared-webhostingplatform overgezet naar meerdere IP-adressen, om op die manier het doel zo klein mogelijk te maken:

"DDoS-aanvallen zijn aan de orde van de dag, maar het is zeldzaam dat ze zo'n omvang hebben als nu", aldus Xs4all-woordvoerster Edith Mastenbroek. "Vaak houden ze na enkele uren weer op. Deze is al sinds afgelopen vrijdag aan de gang. Het is een kwestie van wachten tot de storm weer gaat liggen."

IT-banen

Reacties (72)

Neo_revisited 24 oktober 2003 14:41

Ook ik heb een abonnement van Xs4all. In tegenstelling tot wat hier wordt beweerd zijn er wel degelijk flinke problemen met het e-mailverkeer geweest. Zo was op mijn 4 e-mail accounts, welke een afzonderlijke e-mail-box met eigen loginnaam en wachtwoord hebben er uren lang geen e-mail verkeer mogelijk. De ene keer was de server in het geheel niet te bereiken en de andere keer was hij wel bereikbaar maar werd aangegeven dat de loginnaam of het wachtwoord niet klopte.

Op die tijdstippen was de eigen website www.xs4all.nl ook niet te bereiken.

Ik vermoed dat velen, net als mij, hierover geen klacht hebben ingediend, waardoor bij xs4all het idee bestaat dat weinig personen last hebben gehad.

Glottis @Neo_revisited • 24 oktober 2003 14:49

Dat is waar, afgelopen dinsdag had ik problemen met het internet verkeer gedurende elke uren. Voor de rest helemaal geen last van gehad, dus ik vind dat XS4All het allemaal vrij netjes afhandelt.

Sowieso nog nooit last gehad van mijn internet verbinding, of het MxStream netwerk moest eruit liggen.

Beaves @Neo_revisited • 24 oktober 2003 14:45

Ik heb wel het probleem aangemeld, om de hele simpele reden dat het bij mij nog steeds niet geregeld is (o.a. omdat XS4ALL de instellingen bij mij de schuld geeft terwijl dat helemaal niet kan).

Zo kan ik mijn mail wel ophalen, maar niet versturen, binnen OE heel af en toe, binnen Outlook niet en ook niet via de webmail. Een teken dat de problemen niet bij mij liggen, want webmail gaat dus via de browser. Als dat al niet werkt, hoe kan het dan aan mij liggen?

Gelukkig heb ik geen problemen met het internet zelf, ik heb geen disconnects gehad en de snelheid is ook piekfijn in orde, alleen het mail gebeuren dus niet.

edit:

Ehm, het ligt aan mij dat ik ook niet via webmail mails kan versturen, leg uit

-=bas=- @Beaves • 24 oktober 2003 15:06

Als het echt bij XS4LL lag dan hadden allang duizenden mensen aan de virtuele deurbel bij XS4aLL getrokken.
Hoe moeilijk het ook te accepteren voor je is, waarschijnlijk zit er gewoon een instelling bij jou verkeerd.

Gewoon ff bellen met XS4ALL, die helpen je heus wel.

Ritch @Beaves • 24 oktober 2003 17:22

Ehm, het ligt aan mij dat ik ook niet via webmail mails kan versturen, leg uit

Ehm, ik heb ook xs4all en heb helemaal nergens last van, niet met verzenden en ook niet met ontvangen, het ligt aan xs4all dat jij geen mails kunt versturen, leg uit.

Oftewel, die vlieger gaat niet helemaal op...
Misschien is het wel een probleem met je modem of router ofzo? Ik heb ook een gare router die perfect doet, alleen SSH connecties vernaggeld die binnen een paar minuten. Er zijn nogal wat schakels tussen jouw email client of browser en de mail server van xs4all...

vso @Neo_revisited • 24 oktober 2003 14:58

ook ik heb een account, ik merk dat intern in het netwerk een vertraging is ontstaan maar om te zeggen dat het nu balen is of vervelend
ach mijn verbinding staat wel open hoor om de newsserver te leachen

en voor de rest heb ik geen problemen

xs4all is een goeie provider. goeie service

en beaves dat jij problemen hebt en anderen niet kan best. het kan infrastructuur zijn maar instellingen kan ook. Outlook en Outlook Express zijn 2 verschillende beestjes kwa software,

webmail is vreemd want dat moet iedereen kunnen.
ik ben er niet zo zeker van dat jij niet de oorzaak bent. IMHO je kan ook via telnet direct een mailtje versturen naar de mail server (dus direct via poort 25 via telnet inloggen (lees de SMTP RFC www.rfc.org

geloof ik)

niet aan kunnen melden op de mailserver is een ander verhaal. dat betekend dat de authenticatie server onder vuur is genomen of in elk geval overbelast.

en mailserver mag misschien optisch 1 server naam zijn het kan best een hele set servers zijn die onder een round-robin systeem werken. een DDOS daarop is ook funest

Verwijderd @Neo_revisited • 24 oktober 2003 17:10

Met mail totaal geen problemen op alle vijf de pop adressen niet, news was echter wel traag een verbinding viel af en toe weg afgelopen weekend, sinds maandag geen probleem meer.

Blijkbaar zijn de problemen voor abbonees verschillend.
Vind trouwens netjes dat alles zoals gewoonlijk in announce stond, wist ik tenminste wat er aan de hand was.

The_Sukkel @Neo_revisited • 24 oktober 2003 17:29

Dit kan ik bevestigen!

Ik verstuurde een mail naar 15 mailadressen tegelijkertijd. Omdat het niet lukte dacht ik dat het kwam door een overdreven gevoelige spamfilter die actief was (met het idee dat als je een mail naar meerdere personen tegelijkertijd stuurt dat het risico van spam groot wordt

).

Ik heb daar een vraag over gestuurd naar xs4all, maar tot op heden geen antwoord gehad. Het zou dus waarschijnlijk meer te maken hebben gehad met die ddos-aanval...tenminste dat hoop ik ...

Kippenijzer @Neo_revisited • 24 oktober 2003 14:45

Tja, als ze aangeven dat er weinig problemen ontstaan en juist jij hebt wel problemen, wie weet dat jij dan niet het eigenlijke doel van de aanval bent

a.prinsen 24 oktober 2003 14:38

Ze zullen wel een site hosten die bij iemand erg slecht in de smaak valt.. (cq persoonlijke vendetta)
En zoals alle hosted services zijn dus alle anderen die van die host gebruik maken dus ook de dupe

beetje jammer.. wel redelijk netjes hoe xs4all dit dan op probeert te lossen.

Kluus @a.prinsen • 24 oktober 2003 14:43

Mja of...
http://www.tweakers.net/nieuws/29331

Waarschijnlijk ist gewoon een of andere grapjas (cracker) die uit wil proberen hoeveel rotzooi ie uit kan halen ofzow...

Mick-X 24 oktober 2003 15:02

en dan nog wat.. waarom 15000 site's op 1 platform?? mja dat is dan mischien nog wel te doen. maar 1 ip adres? kheb 2 site's en allebei hebben ze een eigen dedicated ip adres..

Verwijderd @Mick-X • 24 oktober 2003 15:07

Als je geen services aan klanten wil bieden die een eigen IP adres vereisen (ftp bijvoorbeeld), maar geregeld kunnen worden via namebased virtualhosting dit een veel goedkopere oplossing is, die ook addequaat genoeg is.

Hoewel ik nooit zoveel adressen op 1 IP zou zetten om dit soort problemen te voorkomen. Als je enkele honderden sites op 1 IP hebt dan is het beduidend makkelijker uitzoeken dan nu het geval is.

adewidt @Mick-X • 24 oktober 2003 15:16

zou het met die 15000 sites niet gaan om de gratis webhosting die ze bieden bij een internet-abbonement?

Dan zou ik het niet zo vreemd vinden dat alles draait op 1 server. Kosten besparend en iemand die echt een belangrijke site heeft neemt wel een .nl adres en echte hosting.

Gehaktbal 24 oktober 2003 14:35

Op dat platform staan ongeveer vijftienduizend sites gehost onder één IP-adres, waardoor momenteel niet kan worden achterhaald wie van de klanten precies het doel is.

Misschien zijn ze zelf wel het doel?

memphis @Gehaktbal • 24 oktober 2003 16:18

Mja... XS4ALL staat wel bekend om de goede Spam- en virusfilters, blijkbaar wilt iemand dit testen of is er fel tegen.....

mrknowitall @K.C. • 24 oktober 2003 16:45

Dit klopt niet helemaal :
Spam filter is gratis, virus scannen/filter voor je het binnen haalt kost geld, en McAffee Virus Scanner is weer gratis te downloaden bij XS4all.

raptorix @K.C. • 24 oktober 2003 16:47

Wat een bullshit verkondig je, spamfilter is gratis, en de virsusscanner draait remote op je inbox, dus hoe jou comptuer traag kan worden daardoor is mij een voleldig raadsel.

Daarnaast is het veel logischer dat Spammers, of een organisatie als Scientology Chursch achter deze aanval zit.

Verwijderd @K.C. • 24 oktober 2003 17:33

Reactie op Sjors (geen verdere indent vandaar)

Als het $cientology is, moet toevallig wel die site van Spaink op die machine draaien.

Verwijderd @Gehaktbal • 24 oktober 2003 14:50

ff rekenen, 15000. Stel dat 5% van die sites redelijk populair is. 50 hits per dag. 15000/100*5 = 750 sites. 750 * 50 hits per dag. is 37500 hits. per uur is dat 1562.5 hits. En dan heb ik het hier ALLEEN over de populaire. die gene die er 1 per dag hebben zitter er nog niet bij. Zou dus idd best kunnen. Maar ik neem nu maar een paar getallen.. hoe het werkelijk zit heb ik geen idee van hor.
Maar t blijft grappig

sab @Verwijderd • 24 oktober 2003 15:02

De gemiddelde cu2 site haalt 50 hits per dag, bij populaire sites moet je meer denken aan 50.000.

2Dutch 24 oktober 2003 14:44

Ik vind dat aanvallen via het internet zo lame he, wat heb je er nou aan? Mensen hebben er alleen maar last van: Xs4all, de klanten.. Helaas kan je er zover ik heb gelezen niet echt heel snel iets aan doen.
En omdat het via pc's van veelal "onschuldige" gebruikers gaat, kom je er zo lastig achter wie het nu begonnen is.
Kan er niet op een bepaalde poort gefilterd worden tegen DDoS of zoiets?

AtleX @2Dutch • 24 oktober 2003 14:46

poort 80

, DDoS is toch het versturen van een grote hoeveelheid requests? HTTP gaat via Poort 80 dus die moet dicht om een DDoS te stoppen, beetje idioot want dan kan je niet meer surfen

.

[edit]@ Nelske :

Als overal poort 80 wordt dichtgegooid is het lastig surfen, hoor

. Maar alle headers checken van een DDoS-attack... dat is een heidens karwei, ook voor een computer.

Verwijderd @AtleX • 24 oktober 2003 14:58

Jij haalt hier een heleboel dingen door elkaar vrees ik

Als ze poort 80 dicht zouden zetten zouden ze dat voor inkomend verkeer richting het shared-webhostingplatform doen. Daar merk jij als surfende internetter niks, nada, noppes van (tenzij je een van de websites wil bezoeken binnen dat platform, maar ook dat zou voor xs4all klanten buiten het filter kunnen vallen).

DDOS kan op verschillende manieren. Jij praat hier over het versturen van zo veel mogelijk requests naar de webserver. Helaas zal deze DDOS een compleet andere tactiek gebruiken waarschijnlijk. Anders zou men namelijk uit de HTTP 1.1 header wel kunnen halen tegen welke website binnen het shared-hostingplatform de attack gericht is. (Uiteraard is de uitzondering hierop het DDOS van het IP met www-aanvragen die bij de betreffende hostname hoort, Dan zul je vrij weinig in de HTTP 1.1 header terugvinden

)

Verwijderd @AtleX • 24 oktober 2003 15:11

[quote]

[edit]@ Nelske :

Als overal poort 80 wordt dichtgegooid is het lastig surfen, hoor . Maar alle headers checken van een DDoS-attack... dat is een heidens karwei, ook voor een computer.
[Reactie gewijzigd door AtleX]
[/quote]
Hallo je denkt toch niet echt dat een ISP even alle verkeer dat door hun netwerk gaat met als source poort 80 of destination poort 80 gaat blokkeren

Verder over die headers. Als de DDOS uit namebased http requests richting de webserver zou bestaan, dan hoef je maar een paar requests af te vangen om te achterhalen richting welke website de (D)DOS gericht is. Vervolgens kan je maatregelen nemen.

Geloof verder mij maar, dat er enorm veel verkeer geblokkeerd en geinspecteerd wordt door verschillende partijen tijdens zo'n (D)DOS.

daaf258 @Verwijderd • 24 oktober 2003 19:55

Hallo je denkt toch niet echt dat een ISP even alle verkeer dat door hun netwerk gaat met als source poort 80 of destination poort 80 gaat blokkeren

Ik kon laatst anders geen enkele site meer bereiken, en dit zeker voor een kwartier. Ik had nog wel connectie met internet. Direct connect deed het gewoon, en mijn IRC-client bleef ook gewoon werken.
En ja ik zit bij xs4all. Ik vond het allemaal maar vreemd.
Ze zullen niet alles blokkeren voor langere tijd, maar ik had er wel last van.

riffey#4 @AtleX • 24 oktober 2003 15:01

Niet meer surfen bedoel je.
Internet is meer dan http over poort 80.

bmartens30 24 oktober 2003 14:47

Helemaal mee eens, ik heb ook al de hele week problemen met mijn email en de website. Er wordt normaal gesproken melding gemaakt op teletekst, maar toen ze een paar uur niet bereikbaar waren geen nieuws.

Verder is het slecht dat ze de klanten niet informeren. Ik heb gebeld en ze zeggen: we zijn ermee bezig. Schijnbaar hebben ze hun mailservers buiten de DMZ staan. Ook de backbone provider (o.a. KPN Eurorings) moet hierin kunnen helpen het verkeer te blokken.

Vreemde zaak want als ik hier vragen over stel zeggen ze maar dat ik met Klantenservice moet bellen om een klacht in te dienen.

Kortom het persbericht is niet helemaal betrouwbaar.

Verwijderd 24 oktober 2003 14:49

Revenge van de scientology lui?

http://www.webwereld.nl/nieuws/16144.phtml

Weppel 24 oktober 2003 15:30

Ik verwacht zo dat mocht diegene opgepakt worden die achter deze DDoS zit, een erg dikke rechtzaak en schadeclaim aan zijn broek zal hebben hangen, waar ik natuurlijk volkomen mee instem. Stel idioten die dit doen

Ze zouden die mensen moeten oppakken, en gewoon toegang tot computers of internet moeten ontzeggen.. maarja, ik zal wel weer (

) te kort door de bocht gaan

-=bas=- 24 oktober 2003 14:43

Je zou toch zeggen dat een IP nummer wijzigen en een DNS server updaten voldoende moet zijn om de DDos-attack overbodig te maken?

jep @-=bas=- • 24 oktober 2003 14:58

Nee? De aanval komt nog steeds jou netwerk op hoor. Je lost in theorie het probleem op door de daders te filteren bij je transit-provider, die het ook te laten doen op zijn hele netwerk, het netwerk waar dat vandaan komt ook an so on. Dat is bij duizenden hosts alleen niet zo simpel als je denkt.

Bosmonster @jep • 24 oktober 2003 15:11

als het ipadres waar de DDoS aanval gericht is niet meer bestaat lijkt met me sterk dat het nog 'jouw' netwerk opkomt.. Alleen tja.. 15.000 DNS entries wijzigen.. omdat een of andere mongool zonodig een geintje uit moet halen..

Van die DNS wijzigingen gaan klanten wel last ondervinden...

Verwijderd @Bosmonster • 24 oktober 2003 15:17

Voordat wereldwijd de nieuwe DNS gegevens gepropageerd zijn en men het nieuwe IP-adres gaat gebruiken ben je een aardig tijdje verder. Zeker omdat de TTL van al die zones waarschijnlijk vrij hoog zal zijn en je dus ook nog te maken hebt met caching van andere DNS-servers.

Gedurende al die tijd komt het verkeer nog altijd je netwerk binnen, ook al zit er misschien geen machine meer achter.

Daarnaast behoort de target IP gewoon tot jouw netwerk (subnet) en zal alle verkeer voor dat IP (ook al bestaat het niet meer) dus richting jouw netwerk (subnet) komen.

Olaf van der Spek @Bosmonster • 24 oktober 2003 15:18

Het IP adres blijft bestaan, het is alleen niet in gebruik. Het verkeer komt dus nog steeds op de laatste router aan (en die staat binnen jouw netwerk).

jep @Bosmonster • 25 oktober 2003 01:46

Ik ben ooit met mijn uplink provider bezig geweest PI-SPACE te krijgen van RIPE, maar da's helaas niet gelukt. Wel een mooie oplossing! Je kunt ip ranges zegmaar dynamisch adverteren en weghalen. Daardoor kun je je /24 vrijwel van de aardbodem laten verdwijnen. Sidenote: het werkt niet overal.

Maar inderdaad, het blijft je netwerk op komen, bosmonster.

Verwijderd 24 oktober 2003 14:56

bij Cistron was ook een klant doelwit van een DDOS aanval hmz hopelijk dat CISCO snel wat doet aan zulke dingen zodat ze op netwerk niveau geblocked kunnen worden. IPv6 eventueel?

Even een Reactie op Alex:

Een DDOS aanval is inderdaad wel een aanval met zeer veel pakketjes allen het dichtzetten heeft het zelfde effect als jij een trechter aan de onderkant dichtstop ... het water (DDOS) zit nog steeds in de trechter dus het internet komt je niet meer op alleen je eigen netwerk werkt nog wel prima heeft dus niet iets te maken met een bepaalde poort ofzo ... de hele lijn wordt gewoon volgestopt met pakketjes!

vso @Verwijderd • 24 oktober 2003 15:16

nadeel is dat water niet weg kan echter de DDOS pakketjes expiren (verdwijnen naar bithemel)

nadeel van DDOS is dat het kleine pakketjes zijn die bijna niet tegen te houden zijn. of je diensten gaan er onderdoor.
Diezelfde kleine pakketjes zijn ook voor de routers in het netwerk ook zeer zwaar. omdat er veel bandbreedte opgeslokt word, wat vertragingen veroorzaakt

als reactie op bmartens30
ja wat moeten ze dan zeggen? communicatie binnen een bedrijf is over het algemeen slecht en het is niet bepaald reklame om het zachtjes te zeggen. en een klacht is de beste oplossing hoewel ze er niks aan kunnen doen is melding nooit slecht.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (72)

Sorteer op:

Weergave: