Icann verklaart falen ddos-aanval rootservers

In het begin van februari overleefden de 13 dns-rootservers een ddos-aanval. De Icann heeft een document online gezet waarin dieper op de aanval wordt ingegaan. De anycast-technologie heeft een belangrijke bijdrage geleverd aan het weerstaan van de aanval.

Tijdens de ddos-aanval, die in totaal ruim zeven uur duurde, bleven de meeste rootservers functioneren en was er nauwelijks overlast voor internetgebruikers. Van de dertien rootservers waren er ten minste zes doelwit van de grootscheepse aanval. De meeste aangevallen servers bleven min of meer normaal functioneren. De enige twee servers die in ernstige mate last van de aanval hadden waren de G- en L-rootservers. Het is volgens de Icann niet toevallig dat juist deze bezweken onder de druk van de aanval: zij maken op dit moment als enige van de aangevallen servers geen gebruik van anycast. Dit is een routeringsschema voor netwerken waarbij datapakketjes gericht op een bepaald adres naar fysiek verschillende locaties gestuurd kunnen worden. Op deze manier kan een grote hoeveelheid verkeer over meerdere geografische verspreide servers worden verdeeld. Een bijkomend voordeel is dat als een server in het geval van bijvoorbeeld een aardbeving uitvalt, de dienstverlening niet in gevaar komt.

Schematische weergave van anycast

Op dit moment maken de C-, F-, I-, J-, K- en M-rootservers gebruik van het anycast-protocol: f.root-servers.net is bijvoorbeeld verspreid over 42 verschillende fysieke locaties. Nu het protocol zich ook tijdens een grote aanval heeft bewezen, verwacht de Icann dat de overgebleven servers binnenkort ook gebruik van anycast zullen maken. Dat was tot op heden nog niet gedaan omdat de engineers van de internetbeheerder nog onvoldoende vertrouwen in de technologie hadden. Naast het anycast-systeem hebben deze engineers ook een bijdrage geleverd in het weerstaan van de aanval; al snel konden veel van de valse aanvragen - op het hoogtepunt van de aanval maakten die 99,7 procent van alle aanvragen uit - geblokkeerd worden. Naast de technische maatregelen die de Icann neemt, heeft het Ssac een aantal andere maatregelen bedacht die bij kunnen dragen aan de betrouwbaarheid van het dns-systeem. Internetproviders zouden er bijvoorbeeld toe over kunnen gaan om alleen dns-queries afkomstig van het eigen netwerk aan te nemen. Ook zouden serverbeheerders draaiboeken gereed moeten hebben om in het geval van een aanval kordaat op te kunnen treden.

IT-banen

Reacties (30)

JackBol 12 maart 2007 14:56

Internetproviders zouden er bijvoorbeeld toe over kunnen gaan om alleen dns-queries afkomstig van het eigen netwerk aan te nemen.

Ik denk dat dat niet wenselijk is. DNS is betrouwbaar omdat je het afneemt bij een derde partij, welke geen commerciele motieven heeft. Als een provider geforceerd tussen mij een een root-server gaat zitten, kan ik sec gezien de responses op mijn DNS quieries niet meer vertrouwen.

We hebben twee jaar geleden allemaal mee gemaakt wat er gebeurt als een commerciele registrar (Verisign) niet strak aan de lijn gehouden word qua DNS specificaties. Laat staan dat er mega-corp. providers ala AT&T tussen komen.

Bye bye net-neutrality.

He who holds the DNS-servers, holds tha Intarwebs

Gameboy @JackBol • 12 maart 2007 15:27

Er staat nergens gesuggereerd dat je verplicht bent de DNS service van je eigen ISP te gebruiken.

Er staat dat de provider alleen DNS queries mag aannemen van zijn eigen clienten.

Als jij client bent van een derde partij die jouw DNS voorziet, dan is er toch geen enkel probleem? Het enige wat men hiermee tracht te voorkomen is bijvoorbeeld een anonieme buitenlandse PC die DNS queries doet op de DNS server van jouw ISP, meer niet.

Maasluip Frontpage Admin @Gameboy • 12 maart 2007 15:55

Maar als iedereen slechts DNS queries van zijn eigen clienten mag honoreren dan is dat de facto wel de uitkomst.

Verwijderd @Maasluip • 12 maart 2007 16:46

Iedere ISP, maar er zijn ook DNS-servers die niet van een internetleverancies zijn.

Nickname55 @JackBol • 12 maart 2007 17:07

Ik denk dat dat niet wenselijk is. DNS is betrouwbaar omdat je het afneemt bij een derde partij, welke geen commerciele motieven heeft. Als een provider geforceerd tussen mij een een root-server gaat zitten, kan ik sec gezien de responses op mijn DNS quieries niet meer vertrouwen.

Dat doen ze bij mail ook. Ik kan geen mail verzenden anders dan naar mail.mijnisp.nl en als ik eem mail server opzet, kan mijn mail server ook geen mail ontvangen zonder dat ik voor een apart dns regel zorg.

Neo 12 maart 2007 15:43

Hier is het ICANN document te vinden.

Verwijderd 13 maart 2007 04:15

Dat gezeur over het verschil tussen hackers en crackers is alleen maar semantiek. In de echte wereld maakt het toch ook geen verschil of iemand je huis binnenkomt om wat te stelen of om aan te tonen dat je alarminstallatie niet goed werkt. Als je ergens niets te maken hebt moet je wegblijven. En dat geldt ook voor landen, meneer Bush

Verwijderd 12 maart 2007 18:57

offtopic:

Overigens had het woord hacker vroeger een andere betekenis dan nu. Zeker mensen uit de UNIX wereld zullen dit weten.
Het heeft echter geen zin om dat aan te halen.
De betekenis van het woord "hacker" is wat de gemiddelde persoon er aan geeft. En dat is zoveel als "digitale inbreker".
Discussies daarover zijn net zo nutteloos als steeds maar weer roepen dat Linux eigenlijk "GNU/Linux" is en dat Linux geen OS is. Je hebt gelijk..maar het maakt geen verschil. Mensen willen het LINUX noemen...en vinden het een OS. dat wil men graag. klaar.

aTmosh @Verwijderd • 12 maart 2007 21:27

Geschiedenisles:

Cracker is Engels voor droge biscuit, of scheldwoord voor blanke. Sinds ongeveer de Commodore 64 in midden jaren tachtig gebruikt voor de spelletjeskrakers, pas in het recente verleden als slecht bedachte onomatopee om hacker "schoon te houden".

In de volksmond is hacker al sinds Wargames (1983) wat het nu is, en het is zinloos om daar een Willie Wortel/heldenethiek aan toe te willen voegen, of de mystiek van iemand die in computers weet in te breken te vervangen door een misschien correctere maar zeker drogere nuancering tussen white/grey/black hat of gewoon techneut die graag prutst. Iedereen die in opstand komt tegen het algemeen negatieve gebruik van het woord hacker moet niet hypocriet een ander woord gaan misbruiken.

Wat mij betreft is GNU/Linux een soortgelijke muggezifterij, ondanks dat de FSF credit wil/toekomt is het per saldo niet handig voor de naamsbekendheid en gebruik van kernel, toolchain tot aan distro incluis packages. Laat staan als je ook nog de recursieve woordgrap uit moet gaan leggen

gwystyl 12 maart 2007 14:49

Internetproviders zouden er bijvoorbeeld toe over kunnen gaan om alleen dns-queries afkomstig van het eigen netwerk aan te nemen.

Ik hoop niet dat ze dat bij Speedlinq gaan doen, want daar heb ik nogal problemen met de DNS. Ik gebruik nu de DNS Servers van OpenDNS zodat ik tenminste fatsoenlijk kan internetten...

OruBLMsFrl @gwystyl • 12 maart 2007 14:54

Als je de DNS servers van speedlinq nu al niet gebruikt, dan maakt het weinig uit als ze voortaan alleen met speedlinq klanten praten. Over OpenDNS zou ik me niet druk maken... anders zijn ze niet Open meer toch?

Nu zou je eventueel speedlinq DNS servers kunnen misbruiken om een DDOS aanval op de root servers te plegen (als ze niet goed/te vrij zijn ingesteld volgens het ICANN), waar legitieme klanten last van hebben, dus voor providers is het een win-win situatie. Uitgaand DNS verkeer als provider blocken wil je sowieso niet, al was het maar omdat sommige mail servers zelf met de DNS server van het bestemmingsdomein willen babbelen.

Z!oN @gwystyl • 12 maart 2007 15:03

Uitgaand verkeer kun je als provider niet blokkeren, zeker omdat er een aantal diensten zijn die dns niet gebruiken om namen te resolven, maar voor andere doeleinden.

Hierbij denk ik vooral een spamhost blacklist, waar ik nu even de naam van kwijt ben, als je hier een host query doet krijg je als hostname good.host of bad.host terug.

Edit: Het was dus spamhaus.org

Wat ze waarschijnlijk bedoelen is het blokkeren van de DNS server voor niet-speedlinq klanten, maar ik vraag me sterk af hoe dat dan weer gerelateerd is met hosting en eigen DNS servers.

Verwijderd 12 maart 2007 14:47

Toch wel handig voor ICANN, die ddos aanval was een gratis test of hun dns systeem wel earthquak-proof is.

LuCarD @Verwijderd • 12 maart 2007 14:56

Gratis?

Bandbreedte is nog steeds niet gratis.

Zeror

@LuCarD • 12 maart 2007 15:11

Hackers die proberen jouw bedrijf plat te gooien, maar uiteindelijk je bedrijf juist helpen omdat de beveiliging goed werkt is wel gratis

Verwijderd @Zeror • 12 maart 2007 19:05

@MooieLaarzen: er is wel degelijk een duidelijk verschil is tussen twee soorten:

cracker: iemand die binnenbreekt met een (duidelijk) crimineel doel: een systeem platsmijten, schade toebrengen of informatie stelen om er op financiele of andere wijze beter van te worden (stelen van cc gegevens, persoonlijke gegevens, bedrijfsinformatie/-geheimen,...)

hacker: iemand die graag prutst (dat hoeft niet aan een computer te zijn (de origine van de term is trouwens ouder dan de intrede van de computer in de dagdagelijkse maatschappij)). De motivatie van een hacker om in een systeem binnen te raken is om de zwakheden van het systeem aan te tonen, en te tonen dat ie het kan uiteraard

, niet om schade te berokkenen.

De uitspraak

hackers zijn crackers die nog niet betrapt zijn

is op z'n minst nogal ongenuanceerd, in het beste geval zou je kunnen zeggen: er zijn mensen die zich voordoen als hackers maar eigenlijk crackers zijn en die nog niet betrapt zijn op cracker-activeiten.

Het binnenkomen in een gesloten systeem is de voornaamste drijfveer van een hacker, niet de ethiek

dat is een waarheid als een koe: de motivatie om in een gesloten systeem binnen te raken is uiteraard het binnenraken in dat gesloten systeem, dit is een a = a uitspraak. Het gaat 'm net om waarom de persoon wil binnenraken in een gesloten systeem:

om schade toe te brengen/gegevens te stelen = cracker
om aan te tonen dat het systeem niet (genoeg) beveiligd is = hacker

Als hackers echt geinteresseerd waren in het helpen van anderen dan boden ze publiekelijk hun diensten aan (gratis natuurlijk), en gingen ze pas aan de slag als iemand aangaf daar interesse in te hebben voor zijn eigen beveiliging

1) publiekelijk je diensten aanbieden is zeker geen realistische mogelijkheid, zeker niet in bijv. de VS waar serieus jacht wordt gemaakt op alles wat maar op een hacker lijkt (waarbij ze natuurlijk niet het onderscheid maken tussen een hacker en een cracker)

2) waarom zouden ze ffs dit gratis moeten doen??? Misschien moet je dat ook eens gaan zeggen tegen alle firma's die zich bezig houden met het beveiligen van systemen, dat ze voor het testen van de veiligheid van het systeem niets meer mogen aanrekenen, ze zullen nogal eens lachen

als een hacker inbreekt en ergens onbedoeld schade toebrengt omdat hij iets niet had voorzien, gaat hij de eigenaar van het systeem dan informeren wat hij gedaan heeft?

als je goed genoeg bent om in een deftig beveiligd systeem systeem binnen te raken, dan weet je echt wel waar je mee bezig bent en is het heel onwaarschijnlijk dat je even per ongeluk een deel van hun data gaat wissen of op een andere manier onbewust schade gaat berokkenen aan het systeem.

stduke @Zeror • 12 maart 2007 15:18

offtopic:
s/hackers/crackers/

welja, mark deze post overbodig, en laat hackers hun slechte naam houden!

Verwijderd @Zeror • 12 maart 2007 16:05

Sommige dingen zijn onbetaalbaar

Verwijderd @Zeror • 12 maart 2007 18:23

@stduke: hackers zijn crackers die nog niet betrapt zijn. Dat excuus van "we helpen de mensen ermee!" is een fabeltje om misdadig gedrag goed te praten.

Het binnenkomen in een gesloten systeem is de voornaamste drijfveer van een hacker, niet de ethiek. Dat is slechts een manier om het goed te praten. Als hackers echt geinteresseerd waren in het helpen van anderen dan boden ze publiekelijk hun diensten aan (gratis natuurlijk), en gingen ze pas aan de slag als iemand aangaf daar interesse in te hebben voor zijn eigen beveiliging.

Bovendien: als een hacker inbreekt en ergens onbedoeld schade toebrengt omdat hij iets niet had voorzien, gaat hij de eigenaar van het systeem dan informeren wat hij gedaan heeft? Gaat hij de schade vergoeden/herstellen? 99% zal met stille trom vertrekken, en de eigenaar met de brokken laten zitten. Hoezo mensen willen helpen?

Verwijderd @Zeror • 12 maart 2007 15:26

:wq

Verwijderd @Zeror • 12 maart 2007 17:52

stduke> ff bijval vanaf hier, je hebt helemaal gelijk, maar de meeste mensen zullen het wel nooit snappen

Verwijderd @Zeror • 12 maart 2007 19:29

@sailor_ripley:

Je hoeft me de definities van 'hacker' en 'cracker' niet nogmaals uit te leggen, ik weet heel goed wat daarmee bedoeld word. Ik zeg echter dat dat verschil slechts een excuus is.

De uitspraak hackers zijn crackers die nog niet betrapt zijn is op z'n minst nogal ongenuanceerd

Uiteraard. Net zo ongenuanceerd als "Hackers zijn niet slecht, crackers wel."

dat is een waarheid als een koe: de motivatie om in een gesloten systeem binnen te raken is uiteraard het binnenraken in dat gesloten systeem, dit is een a = a uitspraak.

Je begrijpt m'n punt niet goed. Ik zeg niet a=a, ik zeg: de voornaamste drijfveer van die groep mensen is a, en ze praten dat goed door te zeggen dat b hun drijfveer is. Maar dat is een secundaire reden: a zal altijd voor b gaan.

Voorbeeld: bij bedrijf a kan de hacker proberen in te breken, maar wil het bedrijf niet horen hoe hij het gedaan heeft. Ze zijn dus niet geholpen door z'n acties.
Bij bedrijf b wordt het beveiligingssysteem keurig op papier uit de doeken gedaan en mag de hacker het bekijken en aangeven waar hij denkt dat de zwakheden zich bevinden, maar hij mag niet proberen in te breken. Dit bedrijf is daarmee dus wel degelijk geholpen.

Wat denk je dat de hacker kiest? Inbreken, of de zwakheden aanwijzen?

Het gaat 'm net om waarom de persoon wil binnenraken in een gesloten systeem:

om schade toe te brengen/gegevens te stelen = cracker
om aan te tonen dat het systeem niet (genoeg) beveiligd is = hacker

Voor een 'hacker' is -altijd- de hoofdreden het binnenraken in het systeem, niet het aantonen van lekken. Zoals ik al zei, als dat de hoofdreden was geweest, dan zouden ze hun acties van te voren aankondigen of hun diensten met dat doel aanbieden.

1) publiekelijk je diensten aanbieden is zeker geen realistische mogelijkheid, zeker niet in bijv. de VS waar serieus jacht wordt gemaakt op alles wat maar op een hacker lijkt (waarbij ze natuurlijk niet het onderscheid maken tussen een hacker en een cracker)

Ja, geen wonder, omdat ze ongevraagd inbreken en dan zeggen dat ze een dienst verlenen.

Als iemand bij mij in huis inbreekt en dan vertelt dat m'n sloten niet deugen, dan bel ik toch de politie, en terecht.

Als iemand mij echter aanbiedt om te kijken of de beveiliging van mijn huis deugt, en dan met mijn toestemming probeert in te breken, is er niets aan de hand en zal niemand proberen hem tegen te houden/te arresteren.

Dus als iemand z'n diensten aanbied, en daarvoor dm.v. een overeenkomst voor ingehuurd wordt, dan zal niemand die persoon iets maken. Ook niet die boze slechte fascistische amerikaanse kapitalisten.

2) waarom zouden ze ffs dit gratis moeten doen???

Omdat ze mensen zo graag willen 'helpen'?

Misschien moet je dat ook eens gaan zeggen tegen alle firma's die zich bezig houden met het beveiligen van systemen, dat ze voor het testen van de veiligheid van het systeem niets meer mogen aanrekenen, ze zullen nogal eens lachen

Waarom? Die firma's zijn heel eerlijk over het feit dat ze graag geld verdienen, niet dat ze zo graag mensen willen helpen.

als je goed genoeg bent om in een deftig beveiligd systeem systeem binnen te raken, dan weet je echt wel waar je mee bezig bent en is het heel onwaarschijnlijk dat je even per ongeluk een deel van hun data gaat wissen of op een andere manier onbewust schade gaat berokkenen aan het systeem

Aanname. Dat kan je simpelweg niet weten. Ga nou niet lopen roepen dat hackers nooit per ongeluk schade hebben aangericht.

PanMan @Zeror • 13 maart 2007 01:47

ja, OF je moet gewoon inzien dat de definitie van hackers bij het gemiddelde publiek zo veranderd is, dat die de oude van crackers heeft overgenomen. Dat verander je niet even terug: dat is vechten tegen de bierkaai...

Verwijderd @Zeror • 13 maart 2007 15:16

akkoord, maar dat betekent niet dat je in deze discussie niet op 1 of andere manier het onderscheid moet maken tussen beide categorieen

Verwijderd @LuCarD • 12 maart 2007 15:26

Dat is het weldegelijk, het feit dat het in rekening wordt gebracht door isp's is een ander verhaal. De bandbreedte op je thuisnetwerk kost toch ook niets.

mookie 12 maart 2007 16:29

met "enkel queries van je eigen clients" bedoelt men denk ik dat als ik bij @home zit en die heeft 82.x.x.x dat een DNS querie altijd vanaf een adres uit die range moet komen.
Je kunt zelf een pakket creeëren vanaf een 83.x.x.x range die zegt dat het vanaf 82.x.x.x komt. Zo werkt b.v. een SYN attack. 1 IP adres maakt duizenden verbindingen naar 1 host waarbij hij telkens een ander "afzender" adres invult.

Het lijkt me ook dat de providers dus relatief makkelijk (en niet alleen voor DNS) kunnen bepalen of een pakketje wat naar buiten gaat ook een source adres heeft vanuit het netwerk waar hij vandaan komt. Als dat niet het geval is zou er dus iemand met een verkeerd IP adres in hun netwerk zitten of iemand probeert de boel te faken voor een DDOS of SYN flood aanval

Verwijderd 12 maart 2007 16:06

Maakt Anycast gebruik van proxies, zoals het plaatje laat zien? Op de wiki pagina krijg ik meer de indruk dat de border routers dit afhandelen. Het plaatje hierboven geeft daarentegen de indruk dat het netwerk verkeer wordt afgevangen door soort van transparent proxies die het forwarden...

tjerkw @Verwijderd • 12 maart 2007 16:35

Het plaatje bij het artikel is i.d.d. onduidelijk, wat ik ervan snap is dat anycast een soort multicast is maar waarbij maar 1 node reageerd. Namelijk de node die het dichtsbij is , en daarbij bedoel ik met dichtbij: die he meest optimale pad heeft.
Als er een anycast naar ip a wordt gedaan waarbij a een anycast naar x y en z is, dan reageert x, y OF z. Als z bijvoorbeeld het dichtsbij is dan zal deze reageren, wordt z trager ( meer load ) dan kan er een andere server zijn die reageerd. Het is dus een soort vorm van load balancing op de routing level.. dus men kan geen DDos aanval doen op een bepaalde server ( niet de client maar het anycast protocol bepaalt welke server reageerd ).

Tenminste zo begrijp ik het :-)

boner @tjerkw • 13 maart 2007 08:17

anycast is een verkeerstype waarbij een unicast adres op meerdere hosts actief is. Dit wordt via BGP geinjecteerd op een aantal plaatsen op de wereld. Bij een client router komen dan verschillende routes binnen, net als bij vrijwel elke route, maar jouw router kiest dat pad met de laagste kosten. Dan kom je op een proxy uit die een redirect geeft naar een vrije DNS server.

Voutloos @tjerkw • 13 maart 2007 08:25

Kleine nuance: Het werkt dus op routering niveau, dus er ontstaat een route naar 1 specifieke server. Het is niet aan een server zelf om te bepalen dat hij maar als enige reageert. Dit zou ook niet zomaar te implementeren zijn, aangezien server x niet kan weten of y al gereageerd heeft. Mocht je het wel zo willen implementeren, dienen de servers onderling te communiceren en help je qua performance juist het hele systeem om zeep.

edit: boner geeft idd al aan dat er 1 route gekozen wordt

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (30)

Sorteer op:

Weergave: