Verisign: ddos-aanvallen kunnen web platleggen

Dotcombeheerder VeriSign waarschuwt dat de druk door ddos-aanvallen harder groeit dan de hoeveelheid beschikbare bandbreedte. De continue aanvallen op de servers van het bedrijf zouden het internet lam kunnen leggen.

zombie squad Volgens Ken Silva, VeriSigns chief security officer, zijn de aanvallen lastig te traceren, maar hij vermoedt dat groepen criminelen in Rusland, China en Roemenië erachter zitten. Opvallend is dat Silva impliceert dat de aanvallers dit met goedkeuren van de regeringen van hun landen doen. 'Ik kan me niet voorstellen dat je zoveel activiteit op touw kan zetten zonder dat de regering het doorheeft', aldus de veiligheidschef.

De uitspraken komen echter niet lang nadat bekend werd dat de botnetworm Storm op een continue stroom van besmettingen kan rekenen en zich mogelijk reeds op enige miljoenen pc's heeft genesteld. Eerder deze maand werd al gewaarschuwd dat de slagkracht van dit botnet schromelijk wordt onderschat en dat daar vermoedelijk pas verandering in komt als de botnetbeheerders delen van het internet platleggen.

Silva zegt dat VeriSign alles uit de kast trekt om de dreigingen het hoofd te kunnen blijven bieden. Het bedrijf is op dit moment bezig zijn infrastructuur sterk uit te breiden en beter te beveiligen, in het kader van het eerder aangekondigde Project Titan, dat honderd miljoen dollar kost. 'Onze monitoring systems lijken nu op die in een space shuttle', aldus Silva. 'We houden continu de cpu-belasting en geheugenallocatie in de gaten, om zo te kunnen voorspellen wanneer het mis dreigt te gaan in plaats van erop te wachten'.

ddos-aanval, cropped Op die voet kan het bedrijf nog wel enige tijd voort, maar als er geen decennium vooruit wordt gekeken maakt het veiligheidshoofd zich steeds meer zorgen: 'Het toe blijven voegen van bandbreedte houdt een keer op. Eigenlijk moet het internet zelf slimmer worden om ddos-aanvallen het hoofd te bieden.' Volgens Tim Pickett, voormalig veiligheidsanalist bij AOL, zullen isp's meer aan het probleem moeten doen door onder andere hun netwerken te scannen op botnetactiviteit.

IT-banen

Reacties (64)

Verwijderd 26 september 2007 14:33

Hier op het uni netwerk worden pc's die zich verdacht gedragen zonder pardon uitgelogd met de melding dat je eerst het probleem moet oplossen (updates installeren, virusscan runnen, stinger) en dan krijg je per dag één kans om terug in te loggen.

Verdacht gedrag is hier portscan en waarschijnlijk 'verdachte netwerktraffic'. (ik heb weinig kennis op dit gebied, dus ik weet niet of het mogelijk is netwerkverkeer te scannen op verdacht gedrag, of dit uit te breiden naar de detectie van dergelijk ddos gedrag)

Waarom kunnen commerciële isp's hierin ook niet hun verantwoordelijkheid nemen en besmette consumentenpc's uitloggen van hun netwerk. Wel met één of ander meldingssysteem zodat er door de gebruiker iets aan kan gedaan worden). Waarschijnlijk hebben ze schrik om zo klanten af te stoten. En het zal ook wel zo zijn dat het merendeel van de computergebruikers zich geen raad zal weten met een 'gevorderde' abusemelding.

Probleem bij de bron aanpakken is nog altijd zorgen voor gelicencieerde software (op zijn minst het OS, wie per se op wil bezuinigen noem ik geen tweaker) om updates en patches te verkrijgen. Virusscan en op uw internetgedrag letten. Deze drie zaken lossen gemakkelijk 95% van de problemen op.

Robinski @Verwijderd • 26 september 2007 14:38

Maar als je geen toegang meer hebt tot internet, hoe kun je dan je systemen updaten en virusscanners downloaden???

Uiteraard is het mogelijk een soort melding pagina te maken, met daarop een (gratis) virusscanner en eventueel daarnaast alleen windows update toe te staan.

Zelf ben ik wel voor dit soort zaken, echter moet dit wel zo ontworpen worden dat gebruikers die niks fout doen, echt niet afgesloten worden. dus geen False positives.

TheGhostInc @Robinski • 26 september 2007 14:50

dus geen False positives.

Deze wormen en DDOS aanvallen zijn best herkenbaar en worden gedaan vanaf duizenden computers tegelijkertijd. Door te verplichten dat bijvoorbeeld op de AMS-IX er niet meer dan 1% spam of bot verkeer mag zijn en alle hosts af te sluiten die zich daar niet aan houden creeer je een "free-zone".
Een ISP als @Home heeft ontzettend veel belang bij een AMS-IX verbinding, anders gaat het verkeer over veel duurdere lijnen.

Daarnaast is eigenlijk *IDEREEN* gebaat bij een oplossing. Mijn internetverbinding is trager door dit soort spam en botnets, en de geinfecteerde PCs zijn zelf ook traag. Je kunt het bijna zien als service als ze die mensen afsluiten. Al doe je alleen maar elke week de top 3 botnets dan nog ruim je het internet binnen no-time op.

ShellGhost @Robinski • 26 september 2007 14:44

Vlans zijn daar een zeer goede optie voor.
Zodra je pc als verdacht wordt aangemerkt wordt je naar een apart vlan getransporteerd waar je niks anders kan dan alleen je pc updaten.
is de pc daarna in orde bevonden wordt je pc weer terug gezet waar hij vandaan kwam.

Olaf van der Spek @ShellGhost • 26 september 2007 16:14

Zodra je pc als verdacht wordt aangemerkt wordt je naar een apart vlan getransporteerd waar je niks anders kan dan alleen je pc updaten.

En wie bepaald dan welke sites er nodig zijn om je PC te kunnen updaten?

Verwijderd @Olaf van der Spek • 26 september 2007 16:33

Je ISP. Die heeft genoeg verstand (en als ze dat niet hebben moet je misschien toch eens denken over overstappen naar een andere) om je een selectie van objectief gekeurde firewalls, virusscanners and anti-spyware (zoals Spy-Bot and Ad-Aware) aan te bieden. Dat kunnen ze zelfs van een eigen server aanbieden als pure download, aangezien programma updates vele malen minder frequent uitkomen dan de daadwerkelijk "scan updates".

Xirt @Verwijderd • 27 september 2007 02:06

Dan krijg je dus dat je Norton geinstalleerd hebt en wil updaten nadat je een objectief onderzoek hebt gelezen, maar dat je ISP dat niet toestaat omdat zij een andere virusscanner hebben door het lezen van een ander onderzoek. Of dat de hoogste bieder zijn scanner aan mag bieden van de ISP.
Bovendien zijn er ook nog mensen die zonder virusscanner kunnen door (gezond) verstand van computers te hebben. En als je dan dus incidenteel (vals alarm) van het internet gegooid wordt moet je je pc vol gaan zetten met programma's die je niet wilt.

Het.Draakje @Xirt • 27 september 2007 11:01

"Bovendien zijn er ook nog mensen die zonder virusscanner kunnen door (gezond) verstand van computers te hebben. "

Het een sluit het ander uit. Iedereen die verstand heeft van computers heeft een virusscanner draaien, tenzij hij geen enkele verbinding naar buiten heeft. En zelfs floppy's en cd's vallen onder verbinding naar buiten. Dat was vroegah al geldig en dat is nu nog steeds, juist meer, geldig.

TDeK

Cybercrime

@Het.Draakje • 27 september 2007 18:47

Ik ben het eigenlijk wel met ZeroSixZero eens. Ik heb al zo ontzettend lang (jaren) geen besmetting meer gehad, dat ik me nu af begin te vragen waarom ik eigenlijk nog een virusscanner heb. Hetzelfde geldt voor spyware (Defender is bij mij nog nooit gaan rinkelen). Of het komt omdat ik geen standaard software gebruik (behalve Windows dan hè

), ik alles netjes up-to-date heb (ook de apps) of omdat ik gewoon geniaal ben (

), ik weet het niet, maar volgens mij leeft dit gevoel bij meer mensen.

Towap @Robinski • 26 september 2007 15:39

Ik weet niet hoe het bij hem werkt, maar bij onze unif blijf je beperkte toegang tot de servers van de unif zelf behouden. Zo is het bijvoorbeeld mogelijk je mailbox te benaderen (enkel webmail als ik me niet vergis)en de downloads onder campuslicentie. Daar zit bij ons dan ook McAfee, zonealarm, stinger en de recentste dat files bij. Voor linux gebruikers zijn volgens mij de ubuntu en debian repos ook nog beschikbaar. Voor zover zij die nodig zouden hebben.

Joost @Towap • 26 september 2007 16:47

Goed dat er ook aan Linux is gedacht. Verder zou dit een goede oplossing kunnen zijn om het botnet-probleem terug te dringen, maar de vraag is: welke ISP durft het als eerste aan? Een forse investering in de helpdesk zal sowieso nodig zijn (niet iedereen weet hoe een virusscanner/firewall te installeren), en dat kost ook niet niks. Aan de andere kant, het lijkt me dat botnets providers ook flink wat geld afsnoepen.

Keiichi @Verwijderd • 26 september 2007 14:44

Waarom kunnen commerciële isp's hierin ook niet hun verantwoordelijkheid nemen en besmette consumentenpc's uitloggen van hun netwerk

Nederlandse providers zijn hier wel goed in. Ik heb al paar keer meegemaakt dat ik door xs4all geblokkeerd werd vanwege een virus en/of trojan. Wat achteraf ook nog eens zo bleek te zijn, terwijl ik het zelf niet geheel door had.

_JGC_ @Keiichi • 26 september 2007 16:23

Veel ISPs doen hier echter niks aan. HetNet bijvoorbeeld reageert over het algemeen niet op abusemails en na een week is dezelfde machine nog spam aan het sturen naar je mailserver.

supertheiz @Keiichi • 26 september 2007 18:09

Demon was daar goed in, waarschijnlijk heeft XS4ALL alleen dat en de klanten geimplementeerd in XS4ALL na de overname.

FreddyFish @Verwijderd • 26 september 2007 15:41

Waarom kunnen commerciële isp's hierin ook niet hun verantwoordelijkheid nemen en besmette consumentenpc's uitloggen van hun netwerk. Wel met één of ander meldingssysteem zodat er door de gebruiker iets aan kan gedaan worden). Waarschijnlijk hebben ze schrik om zo klanten af te stoten. En het zal ook wel zo zijn dat het merendeel van de computergebruikers zich geen raad zal weten met een 'gevorderde' abusemelding.

De provider waar wij bij zitten, XS4All, doet dit al op zo'n manier. Eén of meerdere van de computers hier in het netwerk werden er door XS4All van verdacht virussen te bevatten oid, en toen is ons normale internet afgesloten.

Vind ik best netjes van XS4All. Ze geven er informatie bij hoe een proxy op te zetten, waardoor je weer zo goed als volledig kunt internetten. Je kunt dan je virusscanner updaten of de door hun aangeraade virusscanner, NOD32, downloaden en installeren. Zo alle PC's langsgegaan, mailtje gestuurd met mn handelingen en log files, en voila, weer internet

[Reactie gewijzigd door FreddyFish op 22 juli 2024 22:41]

WyriHaximus @Verwijderd • 26 september 2007 14:40

Verdacht gedrag is hier portscan en waarschijnlijk 'verdachte netwerktraffic'. (ik heb weinig kennis op dit gebied, dus ik weet niet of het mogelijk is netwerkverkeer te scannen op verdacht gedrag, of dit uit te breiden naar de detectie van dergelijk ddos gedrag)

Een hele boel half open connecties is verdachte netwerk traffic

. Zover ik weet (correct me if I'm wrong) is het basis principe van een DOS dat je een heleboel connecties opent en na het ACK pakketje niks meer terug stuurt en alleen maar nieuw connecties aan blijft maken. Waardoor de server het op een gegeven moment niet meer weet en er mee kapt of niet meer reageert.

brompot758 @WyriHaximus • 26 september 2007 14:54

Dat is maar 1 vorm van DDOS attack. Je stuurt een SYN pakket en daarna niets meer. Daar is vrij makkelijk tegen te verdedigen door het aantal niet geopenede verbindingen (waarvoor nog geen SYN-ACK ontvangen is) per bron te limiteren en verder het totaal aantal uitstaande verbindingen binnen redelijke proporties te houden. Wat redelijk is is afhankelijk van het 'normale' verkeer dat je server krijgt. Op deze manier kunnen ze CPU en geheugen van je server niet doldraaien.

Er zijn nog ander typen DDOS aanvallen, o.a. het botweg opvragen van veel pagina's. Als je dat vanaf veel sources doet dan is de verdediging lastiger. Soms is het mogelijk om een bug in de netwerk stack van een server te exploiteren, een voorbeeld hiervan is teardrop.

WyriHaximus @brompot758 • 26 september 2007 15:05

Ah zo, komt eingelijk op het zelfde neer (aangezien je je ACK gewoon krijgt

). Ping of death is ook een leuke maar tegenwoordig eingelijk niet meer bruikbaar door de hardware en filters die we tegenwoordig gebruiken. Mogelijkheden te overvloed...

Verwijderd @brompot758 • 26 september 2007 23:48

Je moet echter niet vergeten dat bij DDOS attacks; SYN, PING (floods) of exploiting ect. Er wel altijd data binnenkomt. Je kan dit wel blokkeren met een firewall maar de connectie zal nog altijd de data moeten verwerken.

Als er een DDOS of Flood van vele hosts naar een server wordt gestuurd is er helaas weinig aan te doen aangezien de downstream van de link altijd nog vol kan lopen.

bpere @Verwijderd • 26 september 2007 14:45

ISPs mogen zomaar niemand van hun netwerk gooien omdat er verdachte handelingen gebeuren. Vele handeling zullen bewust zijn terwijl andere programma's dit als verdacht zien.

Tevens als je de klant gaat afsluiten met met jouw medeling, dan stuur je de klant in kosten en heel veel mensen zullen dit weigeren. Eveneens gebeurt het aankopen van software en ontvangen van updates merendeel van het internet. Terwijl deze dan geblokkeerd zou zijn.

Het.Draakje @bpere • 27 september 2007 11:10

Mag ik voorstellen dat je even je abonnementsvoorwaarden gaat gaat lezen.

(
xs4all [maar andere ISP's zullen vergelijkbare regels hebben]

quote :
4.3 Het is de klant niet toegestaan het systeem en de schijfruimte te gebruiken voor handelingen en/of gedragingen die in strijd zijn met toepasselijke wettelijke bepalingen, de netiquette, de richtlijnen van de Reclame Code Commissie, de overeenkomst of deze algemene voorwaarden.Hieronder vallen onder meer, maar niet uitsluitend, de navolgende handelingen en gedragingen:
unquote
)

ISP's kunnen je wel degelijk afsluiten. Dat de meesten dat niet doen is iets anders.

dj.verhulst @Verwijderd • 26 september 2007 14:45

dan stijgende de kosten , en dus de abbo's

en de meeste (domme) gebruikers die ergeren zich eraan,, ze betalen toch ??
en ze hebben een (proef) virusscaner .......

en zolang ze ontwetend blijven en overal op klikken , lost het zich niet op

maar ik denk omdat er nu weinig gebeurt het erger is ,
bepaalde providers melden dit wel aan hun klanten

Nas T 26 september 2007 14:43

In plaats van botnet-pc's door de ISP eruit te laten gooien, kun je de ISP ook online die pc proberen te genezen, of evt bandbreedte te beperken. Waarschijnlijk weet de gemiddelde pc-gebruiker amper iets af van botnets, en hoe ze deze moeten verwijderen van hun pc. Geef ze als ISP de kennis dat ze deel uitmaken van een botnet, wat het is, en wat ze kunnen doen.
Geef de consument de waarschuwing: u maakt deel uit van een botnet, u wordt uitgelogd en u krijgt eens per dag de kans om in te loggen, zorgt voor verwarring en op den duur ontevredenheid, omdat de consument niet weet wat te doen.

MAX3400 @Nas T • 26 september 2007 14:50

Omgekeerde wereld?

Lees de kleine letters maar eens van een gemiddelde ISP. Als je rare dingen doet op het netwerk, kan je worden afgesloten. Perfect voorbeeld is XS4All; als "jouw IP" rare meuk het internet op schopt, wordt de connectie gewoon afgesloten. Mailtje erachteraan met de reden en succes ermee. En terecht, vind ik; XS4All vindt zichzelf misschien een gerespecteerde ISP en wil dus voorkomen dat door domme eindgebruikers de naam van het bedrijf beschadigd wordt.

Gebruikers moeten zich maar eens inlezen in de apparatuur en mogelijkheden die ze (veelal) bij Dell/HP/Dynabyte aanschaffen; ik heb in ieder geval geen medelijden meer met ze en zal mijn vriendenkring ook niet meer helpen als ze 4652 pop-ups krijgen per minuut.

Verwijderd @MAX3400 • 26 september 2007 15:01

wordt de connectie gewoon afgesloten. Mailtje erachteraan met de reden en succes ermee

En hoe lees je die meel

Niemand_Anders @Verwijderd • 26 september 2007 15:22

De providers blokkeren alleen je toegang tot internet, niet hun netwerk. Je kunt dus nog gewoon je mail ophalen. De meeste providers stellen ook allerlei security programma's beschikbaar in hun 'quarantine' netwerk. XS4ALL bied zelfs gratis McAfee Internet Security Suite.

Maar hoe je precies moet handelen zie je meestal vanzelf als je probeert via je browser het internet op te gaan. Je komt dan op een speciale 'proxy' website uit.

hstuivenberg @Verwijderd • 26 september 2007 15:27

En hoe lees je die meel ?

Een afvang pagina instellen. Net als wanneer je je mac adres moet registreren.
Je opent een browser en komt altijd op die pagina uit.

Of gewoon helemaal afsluiten en wachten tot ze de helpdesk bellen dat ze geen internet meer hebben.

[Reactie gewijzigd door hstuivenberg op 22 juli 2024 22:41]

OCU-Macs @Verwijderd • 26 september 2007 15:18

Je hebt nog wel toegang tot het xs4all netwerk, dus je kunt nog steeds je mail ophalen en www.xs4all.nl raadplegen.

Lieuwe15 @Verwijderd • 26 september 2007 15:30

Dat is een hele goede vraag, want internet is immers afgesloten

mae-t.net

Malware

@Verwijderd • 26 september 2007 21:18

Niet. De procedure is dat de klant de helpdesk belt en dan nog de hele dag mag wachten om weer aangesloten te worden. XS4ALL, binnen een paar jaar van kwaliteitsprovider naar logge, dure en bureaucratische instelling.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 22:41]

Verwijderd @mae-t.net • 26 september 2007 23:53

Log en bureaucratisch? Ik zie er wel wat in. Je wordt tenminste met je neus in de feiten gedrukt dat je er wat aan moet doen en de helpdesk die je moet bellen zal hoogstwaarschijnlijk ook nog instructies geven hoe je het op moet lossen.

Je pc is op het moment van infectie een bedreiging voor andere pc's en bellast onnodig het netwerk van de provider.

Ik zie het meer als een service om onwetende mensen te helpen.

supergrover @Nas T • 26 september 2007 16:09

Helemaal mee eens.

ddos-en komen van besmette pc's. dus het best zou het zijn om het bij de bron aan te pakken en er voor te zorgen dat die pc's schoon zijn en niet besmet worden. Daar hebben de gebruikers zelf een verantwoordelijkheid in.

Het is natuurlijk voor heel veel mensen hiero redelijk gemakkelijk om hun pc schoon te houden. Maar ik denk dat het voor een groot deel van de mensen, zeg maar de gemiddelde gebruiker, niet zo gemakkelijk is. Veel gebruikers snappen de balle niet van de programma's die ze draaien, laat staan van het OS, hebben geen idee van de gevolgen van hun acties (what does this button do? -blib-). Het is natuurlijk wel wenselijk dat gebruikers weten waar ze mee bezig zijn, maar dat betekent nog niet dat het ook zo zal gebeuren.

Echter, het gegenereerde verkeer gaat via ISP's. Deze ISP's hebben wel allerlei kennis en apparatuur in handen om internet verkeer te monitoren en eventuele ddos aanvallen te kunnen waarnemen. Kennis die de doorsnee gebruiker niet heeft en nooit zal hebben. De gemiddelde gebruiker mag dan ook verwachten van zijn ISP dat deze helpt in het nakomen van zijn morele verplichting om het internet veilig te houden.

coretx 26 september 2007 16:42

Als ik de reacties hierzo lees, vind ik het uiterst triest, dat menig tweaker blijkbaar het verschil niet weet tussen een DDOS en een DOS aanval.

daarom;

http://nl.wikipedia.org/wiki/Distributed_Denial_of_Service

http://nl.wikipedia.org/wiki/Denial-of-Service

Gelieve dus eerst deze twee wikipedia pagina's te lezen, alvorens onzin te blaten

Arthas @coretx • 26 september 2007 21:38

Voeg daar deze link aan toe: klik met een zeer uitgebreide uitleg van Gibson, de link staat ook onder aan de DoS wikipagina

Naatan 26 september 2007 15:06

"dat de druk door ddos-aanvallen harder groeit dan de hoeveelheid beschikbare bandbreedte"

Dat is onmogelijk, aangezien een ddos aanval zelf bandbreedte verbruikt

maar goed ik snap wel wat er bedoelt wordt.. enne ja, what else is new.

Zolang je niet de verkeerde websites bezoekt zul je er niet zo snel mee te maken krijgen

TD-er

@Naatan • 26 september 2007 15:37

Dat is onmogelijk, aangezien een ddos aanval zelf bandbreedte verbruikt

Dat wil toch alleen maar zeggen dat een echt grote ddos aanval grote delen van het internet kunnen platleggen en niet alleen de server die ze aanvallen.
Stel je bijvoorbeeld voor dat je met een aanval zoveel traffic kunt genereren dat alle peerings van bijv. AOL vol zitten. Dan kunnen AOL-klanten niet meer sites bezoeken buiten het AOL netwerk en andersom.
Als je alle peerings van bijvoorbeeld Akamai kunt vullen, dan zijn een hoop hele grote sites niet meer te bereiken.
Daarnaast zal je dan ook zoveel PC's besmet moeten hebben, dat de netwerken van diverse ISP's wereldwijd ook compleet verstopt raken, waardoor de klanten van die ISP's ook niets meer kunnen.

MAX3400 @Naatan • 26 september 2007 15:38

Waarmee te maken krijgen?

Ik denk niet dat Verisign de hele dag foute websites bezoekt maar ze krijgen wel met DDOS te maken. Zelfde geldt voor andere, respectabele servers die om welke reden dan ook een aanval te verduren krijgen zonder dat die server allerlei discutabele sites heeft bezocht.

vistu @Naatan • 26 september 2007 15:52

"dat de druk door ddos-aanvallen harder groeit dan de hoeveelheid beschikbare bandbreedte"

Wel degelijk mogelijk. Er wordt gezegd dat de druk op het netwerk harder groeit (in bv % ddos verkeer ten opzichte van normaal verkeer) dan dat er bandbreedte beschikbaar komt (om die druk tegen te gaan).

Naatan @vistu • 26 september 2007 17:50

een ddos aanval is niks meer dan een groep computers die packets verstuurd naar de host die ze willen overloaden, dus de computers die de packets versturen gebruiken zelf ook bandbreedte, het is dus onmogelijk dat de 'kracht' van het aantal ddossers groter is dan dat er brandbreedte is, dat is hetzelfde als zeggen dat er meer bomen dan bladeren zijn, of meer vissen dan water.

TD-er: zoals ik al zij, ik snap wat er bedoelt wordt, ik wou alleen even aanduiden dat het niet helemaal klopt wat er in het artikel staat. (eg. het staat niet in de juiste context).

[Reactie gewijzigd door Naatan op 22 juli 2024 22:41]

TD-er

26 september 2007 14:34

maar als er geen decennium vooruit wordt gekeken maakt het veiligheidshoofd zich steeds meer zorgen: 'Het toe blijven voegen van bandbreedte houdt een keer op

Sterker nog, als we over dat soort termijnen (van orde van 10 jaar) gaan praten, heb je grote kans dat we tegen die tijd als thuisgebruiker niet meer met een heel huishouden relatief veilig achter een routertje zitten, maar dat we alles op een eigen adres hebben zitten (IPv6). Dan neemt de kans op geinfecteerde devices dus juist toe en ik vrees dat de bandbreedte niet met dezelfde factor toe zal nemen.
Ook mobiele devices zullen dan een stuk krachtiger zijn en dus ook mee kunnen doen aan de aanvallen.

Een voordeel is wel dat je steeds meer ziet dat grote sites (en dus interessanter voor aanvallen) steeds meer verspreid worden.
Blijft over het beperkte aantal rootservers en mischien nog wel een paar andere voor het internet belangrijke knooppunten.

blorf 26 september 2007 17:20

Hoe kunnen DDOS aanvallen het hele web lamleggen? Botnets zelf zijn toch ook afhankelijk van het internet, of zie ik dat verkeerd? Bovendien zijn tegenwoordig meerdere computers nodig om een enkel url of ip onbereikbaar te maken waardoor het extra onmogelijk wordt.

Ik wil nog wel eens zien wat er werkelijk gebeurt als Verisign echt onbereikbaar wordt voor langere termijn. Volgens mij valt het allemaal best wel mee. Van mij mogen ze dat arrogante volk best eens een keer aanpakken met hun geraaskal over dat ze het internet beheren.
Ze proberen zoals gewoonlijk weer een slaatje te slaan uit het onrust zaaien wat ze altijd al gedaan hebben.

Verwijderd @blorf • 26 september 2007 17:55

ze kunnen de servers die je doorsturen platleggen, waardoor je niet meer door wordt gestuurd naar de hostplek van, bijv, tweakers.net.

blorf @Verwijderd • 26 september 2007 18:03

Wat als gevolg heeft dat alle providers hun huidige DNS-informatie bevriezen, en beginnen te updaten via elkaar en via het legioen van alternatieve DNS-servers.
Reken er maar op dat dit in no-time geregeld is.

Rey Nemaattori 26 september 2007 14:28

@titel:Ja, duh...dat is toch ook de gedachte achter een ddos?

Je zou trouwens eerder denken dat ddos aanvallen uit dat soort landen gecapped worden door hun eigen bandbreedte...maar als je gebruik maakt van botnets over de hele wereld kun je natuurlijk wel 't een en ander bestoken zonder dat de nationale IX plat gaat...

(gelukkig hebben we er hier meerdere

)

Olaf van der Spek @Rey Nemaattori • 26 september 2007 14:47

@titel:Ja, duh...dat is toch ook de gedachte achter een ddos?

Nee. Een aanval is meestal gericht op een bepaald doel, niet op het 'internet' of een deel daarvan in het algemeen.

TERW_DAN @? ? • 26 september 2007 15:40

Maar dan kunnen we er ook geen vrouwen meer kopen om met ons te trouwen

Maar serieus, dat is niet echt een optie. Het internet biedt juist de mogelijkheid om iedereen overal ter wereld met elkaar te verbinden. Als je daar dan weer lijnen tussenuit gaat halen mis je die mogelijkheid. Dat brengt ook weer het probleem met zich mee dat mocht er ergens een lijntje knappen, we niet meer kunnen rerouten zoals nu het geval is.

En dat is nog afgezien van het politieke geneuzel wie wel en wie niet aan dat netwerk mag hangen. Zoiets zou alleen maar meer internationale onrust veroorzaken, en dat lijkt me zeker niet wenselijk.

]Byte[ @TERW_DAN • 27 september 2007 11:13

[...] dat is niet echt een optie. Het internet biedt juist de mogelijkheid om iedereen overal ter wereld met elkaar te verbinden[...]

Als blijk dat de oorsprong cq. het overgrote deel van de ddos uit een bepaald gebied komt, moet jij eens opletten hoe goed die stekker er uitgetrokken kan worden.
Vooropgesteld dat het wel een uiterste maatregel is, maar geen ondenkbare methode.
Dat daarmee ook andere problemen de hoek om komen zal duidelijk zijn.
Maar "het doel heiligd de middelen" zullen we maar zeggen.
Als je een probleem niet direct onder controle kan krijgen moet je de boel "gewoon" gaan segmenteren tot het wel werkbaar is.
Niets doen en maar blijven afwachten tot de storm voorbij is is zeker geen optie!

whocarez 26 september 2007 14:32

JE zou zo'n bot eigenlijk om moeten kunnen draaien op het moment dat het vanaf een bepaald land komt oid een soort gelijke aanval de andere kant op sturen. Hebben ze hun zelf er alleen mee

Rey Nemaattori @whocarez • 26 september 2007 15:26

Ja, laten we een cascade genereren van ddos aanvallen vwaardoor 't net nog platter gaat

Sowieso, op wie ga je de tegen ddos mikken? Gewoon een willekeurig IP uit dat land? Of tegen ieder IP dat meedeed aan de ddos? Dan moet je like duizend-ddos aanvallen uitvoeren(om gewone thuis pc's plat te gooien

)

En wat als dát land ook een ddos-retaliator heeft? DIe gaat vervolgen iedere pc die zojuist de ddossers heeft platgegeeoit plat gooien

euh..you savvie? Dit gaat niet werken

chime @whocarez • 26 september 2007 14:36

Tja, dan zou je in de eerste plaats moeten weten dat de pc een bot is.

En als je dat weet is het gewoon gemakkelijker om die pc te blokkeren.

Verwijderd 26 september 2007 18:59

Hmm, Cisco en Juniper hebben anders zat intelligente BGP routers die de patronen van een DDOS attack herkennen. Je kan dus ook stellen, dat ze hun hardware beter moeten programmeren.

De router herkent de DDOS attack, en zal de betreffende poorten of trunks, uitschakelen.
Eventueel kun je het verkeer terugleiden naar het punt van origine.

Ik snap dat het gevaarlijk kan zijn, dat wel....maar je zou toch wel verwachten, dat Verisign dit soort core-routers zou hebben staan....

Ben benieuwd hoe lang dit zo blijft doorgaan.

hulseman @Verwijderd • 26 september 2007 19:37

Ook al is de host achter de router down, de packketjes worden nog steeds verzonden naar de router. De enige manier om de router te vrijwaren is door de range gewoon simpel weg niet meer te announcen, maar dan zit je weer met je andere hosts in het subnet.

Het hele punt is dat een DDOS attack precies het zelfde is als dat jij een website opvraagt, enkel vraagt een botnet niet 1 x per seconde een website aan maar honderdduizenden tot miljoenen keren in de seconde, of te wel je bent plat.

Verder kan je natuurlijk ook gewoon de routers zelfs DDOSsen, gelijk heel het netwerk over de zeik en je doet er vrij weinig tegen. Bijna elke router accepteert ICMP pakketten, waarom mag Joost vragen maar de prioriteit ligt zowieso al vrij laag, vandaar de hoge reactie tijden naar een router en niet de hosts daar achter. Zodra je een paar honderd mbit aan ICMP verkeer richting een router stuurt heb je deze vaak al plat, cpu naar 100% en de hele infrastructuur hier weer achter heeft hoge ping of is totaal van de aardbodem verdwenen.

Verder komt het vaak voor dat een host achter de router het doelwit is van een DDOS aanval, of hele ranges in het netwerk. Nu kan je bijvoorbeeld zeggen dat je gewoon de DDOS gaat afweren en alle subnetten of single IP’s gaat blokken, echter hoe onderscheid je een normaal request van request uitgevoerd door een bot, plus dat een DDOS word uitgevoerd vanaf “normale” huis tuin en keuken computers………….

Wat je als klein netwerk kunt doen is aan je upstreams vragen om de doelrange te blokkeren. Hierdoor voorkom je ellende aan je overige klanten binnen je netwerk. Echter zijn de doelhosts wel offline voor enige tijd.

Verder is het afwachten en vooral voldoende capaciteit hebben. Je kunt er niets tegen doen.

Hmm, Cisco en Juniper hebben anders zat intelligente BGP routers die de patronen van een DDOS attack herkennen. Je kan dus ook stellen, dat ze hun hardware beter moeten programmeren.

Een DDOS heeft natuurlijk niets met BGP te maken, dit is enkel een "database" van de snelste, kortste en slimste route naar een subnet op het internet en heeft verder niets te doen met requests. Het is gewoon een realtime en up2date routekaart naar een bestemming.

Hoe kunnen DDOS aanvallen het hele web lamleggen? Botnets zelf zijn toch ook afhankelijk van het internet, of zie ik dat verkeerd? Bovendien zijn tegenwoordig meerdere computers nodig om een enkel url of ip onbereikbaar te maken waardoor het extra onmogelijk wordt.

Ze leggen niet heel het web plat, ze leggen enkel delen van het web plat. Een AccessProvider is een deel van het internet, net als ieder netwerk met een ASNumber. En meerdere computers kan dus in de vorm van een Botnet of een grote lan party die allemaal even de F5 knop indrukken om een site van een vriend of kennis eens even goed plat te gooien, het is tijdelijk omdat je de F5 knop moet indrukken, echter een DDOS aanval kan zo lang duren als de aanvaller wil.

"dat de druk door ddos-aanvallen harder groeit dan de hoeveelheid beschikbare bandbreedte"

Dat is onmogelijk, aangezien een ddos aanval zelf bandbreedte verbruikt

Dat is niet waar, een DDOS aanval is "vaak" een concentreerde datastroom naar een doelhost. Als iedereen in Nederland vandaag de auto pakt staat er een file die we niet eerder hebben gezien, of te wel we hebben een DDOS op het wegennet, want niemand kan verder en fabrieken vallen stil omdat er niets kan worden vervoerd.

Het gaat hier om capaciteit en kracht, echter zal dit met de komst avn IPv6 enkel nog maar erger worden omdat "alle" hosts direct op het internet staan. Uiteraard kan hier wel een firewall voor maar ik zit toch liever in een NAT.

[Reactie gewijzigd door hulseman op 22 juli 2024 22:41]

Turiya @hulseman • 27 september 2007 09:23

met IPv6 kan je nog gewoon NAT gebruiken hoor, het is alleen niet per se nodig vanwege een gebrek aan adressen.

Verwijderd 26 september 2007 14:36

De enige echte oplossing lijkt me vergaande decentralisatie a la p2p waarbij het niet loont om alle nodes aan te vallen omdat er simpelweg te veel zijn. In combinatie met encryptie zodat alleen de aangewezen instanties wijzigingen kunnen doorvoeren zou dit prima haalbaar moeten zijn.

Is er eigenlijk iets te behalen door het platleggen van het dns systeem? Lijkt me dat iemand die zoveel moeite doet een worm te schrijven ook wel een doel voor ogen heeft.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: