Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 304 reacties

Diverse grote Nederlandse sites, waaronder Tweakers.net, zijn zondagavond het slachtoffer geworden van een grootschalige ddos-aanval. De aanvallers probeerden op verschillende manieren de webservers lam te leggen.

De aanval op Tweakers.net vond zondagavond plaats. De eerste tekenen van de ddos-aanval dienden zich rond 21.30 uur aan, zo blijkt uit de statistieken van de webservers. Na een uurtje hadden de systeembeheerders van Tweakers.net de aanval onder controle en konden de binnenkomende packets adequaat worden geweerd.

Tweakers.net was overigens niet het enige slachtoffer van de aanval. Ook FOK moest het ontgelden. Het is niet bekend of de aanval gerelateerd is aan de hack van FOK zaterdagavond, waarover Tweakers.net zondag berichtte.

Nadat de systeembeheerders van Tweakers.net de aanval succesvol wisten te weren door terugkerende patronen in het binnenkomende verkeer te onderscheiden, lijkt het alsof de aanvallers hun pijlen hebben gericht op de servers van GeenStijl, Dumpert.nl en Spitsnieuws. Ook deze websites gingen zondagavond plat als gevolg van wat een ddos-aanval lijkt.

Het is nog niet bekend wie of welke groep achter de aanvallen zit. Wel is bekend dat de aanvaller of aanvallers het ook via 'udp flooding' hebben geprobeerd. Tijdens die udp-aanval was er sprake van 30.000 packets per seconde die werden geblokkeerd. Op het hoogtepunt van de tcp-aanval, die aan de udp-aanval vooraf ging, werden er zo´n 150.000 packets per seconde op de servers van Tweakers.net afgevuurd. Uit onderzoek is inmiddels gebleken dat de servers van FOK en Tweakers.net op dezelfde manier zijn belaagd. Tijdens de aanval werden er 20 tot 25 miljoen gespoofde ip-adressen gebruikt.

Moderatie-faq Wijzig weergave

Reacties (304)

1 2 3 ... 11
Wat ik zeer mis vind in de berichtgeving is dat tweakers om 21:30 plat gaat, na een uur hebben ze e boel onder controle, dat is dus 22:30... hierna worden ook andere sites aangevallen, deze zouden om middernacht nog steeds offline zijn...

Raar vind ik hier dat middernacht misbruikt wordt om een soortement van aan te tonen dat andere beheerders mindere skills hebben dan die van tweakers.... de tijd van down is vrijwel hetzelfde op dat moment....

Er zijn regelmatig SQL issues met servers hier, etc... daar wordt alleen gejuigd als het weer werkt en niet gekeken hoe dat eigenlijk ondervangen had moeten worden.

Je kunt je dan zelf de vraag stellen... is het niveau van admin(s) zo goed of het niveau van de gemiddelde gebruiker hier zo laag dat ze alleen maar lof kunnen uitspreken op iedere spatie die gezet wordt ?

[Reactie gewijzigd door RutgerM op 24 augustus 2009 10:24]

Er zijn meer dan genoeg andere mensen die dit ook kunnen, en ik had het eigenlijk ook veel sneller op moeten kunnen lossen, het is nu niet bepaald rocketscience om een tcpdump te draaien en te zien wat je eraan kan blokkeren. Dat het zo lang duurde was omdat we al bijna 6 jaar geen ddos meer gehad hadden (iig niet een die voor downtime zorgde) zodat het even duurde voordat we er achter kwamen wat het precies was.

Overigens; regelmatig SQL issues hier? dat valt volgens mij best wel mee, deze uur downtime is verruit de langste die we dit jaar hebben gehad.

Verder is het niet de gebruiker die moet gaan kijken naar hoe iets opgevangen moet worden als er iets stuk gaat, de meesten hebben daar niet genoeg inzicht in ons serverpark voor, en 'wij' als serverbeheer kijken echt wel naar hoe we zoiets in de toekomst kunnen opvangen (en daarom zijn we ook weer bezig met een nieuw plan voor de database servers, waarmee we hopelijk nog meer downtime kunnen afvangen).

Er is ruimte voor verbetering, en ik heb er weer wat bijgeleerd. Hoe het nivo van het serverbeheer hier is tov andere sites durf ik geen uitspraken over te doen, ik weet niet wat zij precies binnenkregen qua verkeer en hoe eenvoudig het was om dat eventueel te blokkeren. En over het gemiddelde nivo van de bezoeker hier; ik vind het wel prettig om afentoe lof te krijgen voor elke spatie die ik zet - wie niet? :P
Als je ineens veel verkeer genereert dan doe je toch direct een tcpdump ? Dat is echt verre van rocketscience inderdaad.

Ik zou zeggen... Snorty en je kunt volgende keer wellicht blijven slapen... kost wat tijd om in te richten maar je kunt zelfs een Cisco router er mee bedienen....

Je reactie op het feit dat een gebruiker niet kan inschatten hoe jullie netwerk in elkaar zit vind ik wel wat lef hebben. Dergelijke sites hebben eigenlijk een paar mogelijkheden, en database replicaties met één of meerdere (write)masters en slaves voor het lezen lijkt me ook geen rocketscience meer... hence... sites als marktplaats draaien al jaren zo, ja mysql ja ;)

En dan niet over vrijwilligerswerk beginnen... want zo ken ik er ook nog wel een paar :+

Verder fijn dat het opgelost is... DDos is sowiezo lame.
Tja, in eerste instantie krijg ik niet meer info dan 'het is stuk', vervolgens kijk ik dan uiteraard eerst naar de dingen waar we in het verleden problemen mee gehad hebben (mysql, ocfs2 etc) en dan pas naar de loadbalancers. En opzich kregen we niet bijzonder veel traffic binnen, en ja, het had sneller opgelost kunnen worden.

Overigens denk ik niet dat Snorty hier erg veel tegen had kunnen doen, tenzij het zeer specifiek voor deze situatie stond afgesteld, en de 3 aanvallen die erna kwamen had ik in principe wel gewoon doorheen kunnen slapen ;)

En mysql kan inderdaad prima wat hebben, maar zelfs met replicatie en de hele reutemeteut zul je errors krijgen als mysql zelf loopt te bokken; dat is wat een paar weken geleden zorgde voor SQL errors, mysql viel gewoon 1 minuut lang weg zonder ook maar een error te geven waar dan ook.

En inderdaad, DDoS is lame.
Ik denk dat als je met een uurtje voorspelbare patronen kunt ontdekken in de binnenkomende stroom van pakketjes, en er vervolgens 150.000/seconde kan stoppen je toch wel ongeveer weet waar je mee bezig bent.

Nevertheless, jammer dat iemand kennelijk een te kleine piemel heeft, en de wereld graag laat zien wat hij allemaal met een toetsenbord kan. Het schijnt dat het in deze tijd erg lastig is om gewoon van andermans spullen af te blijven..
De vraag is dus... een ander zou dat volgens jou post niet kunnen ?

Ik vind het 5-min verschil dick-showoff altijd zo lame.
na dit bericht te lezen gehad hebben heb ik mijn eigen server gecontroleerd
en deze wat verdomme ook onder atack blijkbaar ook al bezig van gisteren avond zelfde tijd als tweaker plat ging
wat vreemd is want er staat niks belangrijks of zo op gewoon paar websites met verder weinig bezoekers dus :(

dit stond er in mijn webmin procces

perl udp.pl 91.201.195.230 0 0
perl udp.pl 91.201.195.230 80 0
perl udp.pl 88.191.100.144 80 0
perl udp.pl 78.21.149.64 53 0

met een hoge cpu percentage elk er werd zo'n 20mbits constant weg getrokken goed voor verlies van 80gb trafiek :(
men dedicated hoster is worldstream en heb ze gemaild
weet natuurlijk niet of dit door de aanvallen op de Nederlandse websites heeft te maken natuurlijk maar is wel heel toevallig zelfde tijdstip
Onder attack? Man, het lijkt erop dat je server is geroot en juist heeft meegeholpen bij deze aanval; vier processen die een UDP script draaien die onder meer verbindingen leggen naar een HTTP en DNS poort lijken me namelijk niet echt legit.

Ik zou dat ding ASAP van het netwerk trekken en onderzoeken wie (lees: welke IP adressen naast die van jou) er de afgelopen tijd jouw bak hebben bezocht via SSH. Wellicht helpt dat ook in het onderzoek naar de vermeende dader(s).

Alvast trouwens een goede tip voor de volgende keer; zorg voor een zo'n klein mogelijke attack surface aan de buitenkant (dus zet alle poorten dicht die zowiezo niet naar buiten open horen te staan), houd security advisories over de door jouw gebruikte server software in de gaten (Apache, PHP etc.) en zorg ervoor dat SSH verkeer en andere admin access (lees: Webmin) alleen mogelijk is vanaf jouw IP thuis (en een eventueel kantoor).

[Reactie gewijzigd door mindcrash op 24 augustus 2009 09:44]

ik schaam me dood dat dit is kunnen gebeuren :( ooh wee als ik die klootzak vind

edit : en alleen een vriend en worldstream en ik zelf hebben nog contact gehad op ssh

maar ik denk een week en half terug deed plots ssh niet en dit leek op een attack en worldstream heeft het verder wel terug gereset maar verder niet onderzocht wel is SSH port veranderd en passwoord daarnaa

edit 2 : Worldstream is het momenteel aan het onderzoeken

[Reactie gewijzigd door mddesign.be op 24 augustus 2009 10:11]

Lijkt meer op alsof ie misbruikt word voor iets...
Alles komt van 4chan, en al is het misschien zielig te noemen, omdat geen website vraagt om een ddos aanval, zou je ook even kunnen reflecteren waarom dit nu plaatsvindt.

In het geval van Tweakers is het het meest onterecht, omdat dit een degelijke site is die enig respect voor elkaar hanteert.
In de andere gevallen, met name GeenStijl en FOK!, kunnen ze zich misschien achter hun oren krabbelen en zich afvragen of hun manier van opereren in de media en hun eigen manier van doen richting hun users wellicht wat te maken heeft met deze internetaanvallen.
Ik draag de verantwoordelijke, afhankelijk wat zijn of haar motivatie is, misschien een warm hart toe, als dat inderdaad de boodschap is die ze proberen te verkondigen.

En eens in de zoveel tijd gewezen worden op de tekortkomingen van je site is niet eens zo ontzettend stom als er geen grote consequenties aan vast zitten.
Tweakers heeft zijn zaken duidelijk op een rijtje en is dan ook het minste slachtoffer van dit hele gebeuren.
Je kunt in plaats van daar over klagen, er ook iets positiefs uit halen als internetsite.
En als je echt degelijk bent, zou je zelfs een helpende hand richting de andere "slachtoffers" kunnen steken.
Dat zou goede publiciteit voor Tweakers kunnen opleveren, en ook karakter tonen als site. :)

..en dan gewoon even de wetten en regels vergeten, maar op gut instinct opereren. :)
Dit was een aanval van een persoon (en niet een erg behoorlijke, ik had hem binnen 30m nadat ik erop gewezen was door). Ik denk niet dat je 4chan hier verantwoordelijk voor kan stellen.

Dat ik weet hoe zo'n ddos geblocked kan worden; en ook geenstijl die zijn ook snel weer in de lucht; wijst er maar weer eens op dat dit typisch een 'sctiptkiddie' was die het probeerde. En tja, als ik het probeer lukt het mij ook echt wel, die ervaring heb ik wel.
Wat bazel je nou met je 4chan. Heb je ook feiten om het te onderbouwen of heb je ook es ergens iets gehoord?
Ja, want als je het niet met een persoon of groep mensen hun mening eens bent dan is het natuurlijk prima om je te verlagen tot criminaliteit om ze jouw standpunt duidelijk te maken.

Misschien moet je ook nog wat andere criminelen een warm hart toedragen. Zelfmoordterroristen, ik noem maar een voorbeeld, vinden ook dat hun slachtoffers het op henzelf afgeroepen hebben.

Als mensen de wet overtreden dan is er de gerechtelijke macht om voor een oplossing of passende straf te zorgen. Is het niet tegen de wet, dan kun je het nog zo erg met ze oneens zijn, je kan zeggen wat je er van vind, maar je houdt je gore tengels (virtueel of fysiek) thuis.

Misschien volgende keer eerst even nadenken voor je zoiets doms plaatst?
ik zie niet in wat 4chan met deze DDoS te maken heeft...
denk niet dat de (meeste) 4channers de kennis hebben om zo'n grote aanval uit te voeren =p
Dat is geen vrijstelling om een website te ddosen!
Ondanks dat het op Tweakers heel netjes blijft, gaat het op websites als FOK! en Geenstijl helemaal los. En als je ziet dat zowat elke tweaker hier op FOK! rondhangt, verbaast het me niet dat ook Tweakers aangevallen werd.
Er zijn denk ik meer Tweakers die walgen van Fok!.
GeenStijl is alweer online, en je hoeft niet P - C te zijn, maar GeenStijl heeft erg veel heksenjachten geinitieerd, en al hebben ze ook soms goede media-nieuwtjes, zijn ze te vaak bezig met het organiseren van klopjachten op mensen die relatief gezien weinig fout doen, terwijl er veel betere zaken zijn om aan de orde te stellen. Het idee was goed, de uitvoering soms minder, en vooral de reaguurders zouden ze best eens wat beter in de gaten kunnen houden. :)

Ik vind niets goed, zeker geen censuur, ik probeer enkel een idee achter deze aanvallen te zoeken, en als het niet willekeurig is, dan is dit een redelijke uitleg, in mijn visie. :)

Ik bedoel het niet kwaad, ik toon alleen mijn nieuwsgierigheid naar dergelijke aanvallen en een eventuele reden daarachter. :)

En buiten het wijzen op de beperkte veiligheid die je op internet blijkt te hebben, wat helaas niet iedereen doorheeft, zelfs al ben je goed onderlegd qua kundigheid wat betreft internet, lijkt dit me een goede reden...
Niets meer, niets minder.
Mijn eerste reactie op tweakers :o!
(lees hier wel al 1 jaar artiekels :D)

Wat zijn gespoofde ip-adressen? Kan iemand me hier wat meer uitleg over geven en hoe dit werkt?
De packets zodanig aanpassen zodat het lijkt alsof het van een bepaald IP adres afkomstig is terwijl het niet zo is. Spoofen dus. :)
Gespoofd betekend nep. Dus 1 machine stuurt door middel van bepaalde codes zogenaamd vanaf verschillende adressen, terwijl dit fysiek maar 1 adres is
Dat is verkeer dat van Ip-adres Y lijkt te zijn verzonden terwijl het eigenlijk van adres X afkomt. Vergelijk het met een postpakketje waar een verkeerd/vals retouradres op zit. In dit geval is het de bedoeling om de bron van het verkeer te verhullen, zodat je niet simpelweg al het verkeer van dag adres kan filteren.
IP-adressen die anders zijn dan welke je eigenlijk hoort te hebben. Bijvoorbeeld ik heb IP adres 1.2.3.4, maar ondertussen probeer ik met 6.7.8.9 tegen je aan te lullen.

Het antwoord gaat niet terug komen naar mij, maar dat is in deze situatie niet zo interessant.
Je schrijft een brief en doet deze in een envelop. Vervolgens zet je daar een nep afzender adres op en stuur je deze naar tweakers.net. Voila: post met spoofed afzender adres.
Proficiat met jullie succesvolle afwering! Zullen jullie nu die andere sites bijstaan om de patronen te herkennen?
Zou wel zo netjes zijn om FOK.nl te helpen.

Zelf ben ik ook benieuwd wie deze aanval op zich zal gaan nemen. Zal wel één of andere kiddo zijn die zich verveeld. :O
Zal wel één of andere kiddo zijn die zich verveeld.
geloof niet dat 't slechts één creatief figuur is, als dat wel zo is is deze aardig geschoold in de hedendaagse technische mogelijkheden.
150.000 packets p/s doe je niet zomaar eventjes. Daarvoor is wel de nodige bandbreete vereist(botnet)

als ik die kennis had [..] zat ik inmiddels op de bahama's :+ kun je vast wel wat meer mee dan websites plat leggen

[Reactie gewijzigd door himlims_ op 24 augustus 2009 00:25]

150.000 packets p/s doe je niet zomaar eventjes. Daarvoor is wel de nodige bandbreete vereist(botnet)
MTU verlagen ping -f via een gigabit NIC... makkelijk.
Eventueel maak je zelf iets zodat je overhead van TCP zo min mogelijk gebruikt. Vandaag ook dat ze UDP gebruiken.

Moet je wel ergens een gigabit uplink hebben om het daadwerkelijk weg te krijgen.

Overigens is het wel iemand zonder leven, als je zonder aanleiding (geen verband tussen slachtoffers) gaat DDoSSen ben je zinloos bezig.

Niet dat ik beweer dat er NUTTIGE doeleinden zijn voor DDoSSers, maar uit hacktivisme (politiek gebaseerde) kunnen mensen dingen wel voor zichzelf legitimeren.

Een week overheid websites + een dag geenstijl plathouden levert je hooguit 30 dagen + 3000 euro schade vergoeding op.
Niet dat ik beweer dat er NUTTIGE doeleinden zijn voor DDoSSers, maar uit hacktivisme (politiek gebaseerde) kunnen mensen dingen wel voor zichzelf legitimeren.
t.net users die fok wat belachelijk maakten doordat ze gehacked en geddos'ed waren hebben nu anders wel lekker het deksel op de neus gekregen.

die sql-inject moet specifiek voor fok geschreven zijn, dus het zal wel wat langer duren vooraleer die mogelijk voor t.net ook uitgevoerd kan worden.
Hmm, dat zal je vies tegenvallen, want t.net ging niet ten onder.. :p En fok maakt zichzelf belachelijk. Niks mis mee, maar leg het probleem niet bij de mensen die je er op wijzen.
kijk eens naar de server-stats: die lijken me wel duidelijk genoeg
Och de meeste reakties gingen over de hack en daar heeft t.net geen last van gehad. Verder is het natuurlijk ook wel een verschil of een site 24 uur lang haast onbereikbaar is of de aanval binnen een uur onder controle heeft. Maar ja, ik mag ook hopen dat er bij een tech-site wel wat meer kennis in huis is :)
Daar heb ik al uitgebreid naar gekeken, en dan nog is t.net niet dood. Ik weet niet waar je met op probeert te wijzen?
Niemand gaat FOK! belachelijk maken omdat ze last hebben van een DDoS, daar kunnen ze namelijk niets aan doen. Die hack daar kunnen ze wel wat aan doen, namelijk hun software goed nakijken. :)
IP MTU verlagen? Wat win je daarmee op een Gigabit NIC? Het blijft Ethernet, dus je Ethenet frames zijn en blijven 1500 bytes. Met 1500 bytes / 12000 bits zit je dus op maximaal 80.000 frames/seconde. Je hebt dus twee GBit Ethernet uplinks nodig die beiden op wirespeed kunnen routen.
http://en.wikipedia.org/wiki/Ethernet

maakt wel degelijk uit hoor. frames kunnen wel degelijk kleiner.
We spreken hier waarschijnlijk over een botnet, als je een grote massa pc's gebruikt met een matige internetverbinding (ADSL-aansluiting) bekom je een reusachtig beschikbare bandbreedte...
Dan nog, mensen met een botnet zijn niet bepaald mensen die zich vervelen. 150.000 packets per seconde is niet bepaald een klein botnet denk ik..
Ach, vroeger had je een tamagotchi, nu heb je een botnet. S'nacht's je bed uit omdat het gevoederd moet worden, 's avonds even een aai over z'n bol en op zondag avond even uitlaten bij een paar websites zoals tweakers...

;-)
Je bent het kusje vergeten aan de eind van de sms!

*botnet keert zich woedend tegen t.net*


Mooi dat de aanval afgeweerd werd, jammer dat de server admins op andere sites niet op hetzelfde niveau werken als hier..

[Reactie gewijzigd door johnkeates op 24 augustus 2009 09:06]

Je kan gewoon op enkele russische sites gaan en een botnet huren hoor. Krijg je een lekker programma erbij zodat je er zeker niet veel over moet weten.
Waar dan weer een Trojan in zit zodat je ook direct onderdeel wordt van het zombie netwerk :)
Maar ik kan geen russisch, wat nu?
www.rentokill.ru :+

[Reactie gewijzigd door Gepetto op 24 augustus 2009 09:37]

ach, gaat toch krassen! :D
Niet uit verveling? Waarom dan? Als je willekeurige websites gaat DDOSsen heb je gewoon helemaal niks te doen in je vrije tijd...
Waarom ? Wat dacht je van: reclame voor je botnetje... !
Ja, 20 tot 25 miljoen ip adressen. dat zijn dus een hele shitload aan pc's.
Nee, ze waren gespoofed...
Wat het belang van ingress-en vooral egress-filtering weer eens aangeeft. Een groot aantal - serieuze - Nederlandse providers doen dit, maar helaas is dit in sommige landen minder gebruikelijk, ookal zou het DDoS-aanvallen en spam met gespoofde source-adressen grotendeels kunnen voorkomen.

Als aan dergelijke filtering gedaan wordt, zou men bij DDoS aanvallen tevens logs kunnen aanleggen van de zombie-hosts die betrokken zijn bij de aanval en deze vervolgens 'bulk' bij de Abusedesk van de betreffende ISP kunnen neerleggen, zodat - hopelijk - een groot deel van het gebruikte botnet ontmanteld kan worden ...

[Reactie gewijzigd door SKiLLa op 24 augustus 2009 11:28]

Hoe helpt egress filtering tegen het spoofen van andere adressen uit dat blok? De eigenaar van x.y.z.1 kan x.y.z.2 spoofen en dat vang je niet met egress filtering.

Het is overigens best te ontdekken, en daarna kun je de verantwoordelijke poort (op een laag onder IP) dichtzetten. Dat is echter geen egress filtering.
Dan wel een kiddo die erg veel computers kan besturen...

Niet dat ik respect heb voor de persoon/groep die dit gedaan heeft, maar volgens mij hadden ze wel een mooi botnet in beheer...
Inderdaad, tweakers, FOK, GeenStijl en Spitsnieuws.
Dat duid op een behoorlijke botnet.

Iedereen kan een botnet maken, maar wil je een grote bouwen dan heb je toch wel wat kennis nodig en geduld.
Volgens mij hoef je steeds minder geduld te hebben. In bijna alle 'geleende' software, die tegenwoordig langs komt op nieuwsgroepen en torrents en zo, zit wel een trojan en/of een rootkit. Niet alleen in de keymakers, maar ook veel in de setup.exe en eventuele andere executables.
Nadat de systeembeheerders van Tweakers.net de aanval succesvol wisten te weren door terugkerende patronen in het binnenkomende verkeer te onderscheiden,
En voor de meeste van die kiddies geldt over het algemeen dat ze geen idee hebben wat ze werkelijk aanrichten met hun cybervandalisme. Een groot botnet maken is geen kunst. Als ze het echt slim hadden aangepakt hadden ze meer verschillende patronen moeten aanbieden. Maar waarschijnlijk hebben de daar niet genoeg kennis voor omdat ze de botnets niet zelf ontworpen hebben.
sssst.. laat mensen die trojan-geinfecteerde zooi lekker 'gratis' gebruiken!

Je gaat jongeren toch ook niet leren om met een condoom te sexen.. hoe moeten besmettelijke ziektes dan zich voortplanten???

(cynisch bedoeld)
ik weet niet of het een 'behoorlijk' botnet was, maar er was niet echt veel verkeer, eht was meer gericht op een aantal services, en daarom lagen wij ook plat.
Ja hoor, ik ben al met mensen van Fok! in gesprek, zoals niet meer dan normaal is.
idd ben ik de admins ook erg dankbaar voor hun skills... toch wel ff balen, geen tweakers als je het graag wilt :P

20 tot 25 miljoen ip adressen... is dat niet een GIGANTISCH botnet? Of betekent dit niet gelijk een even groot aantal geinfecteerde computers?
Tijdens de aanval werden er 20 tot 25 miljoen gespoofde ip-adressen gebruikt.
De IP adressen hoeven dus niet perse overeen te komen met een machine, volgens mij kan je dus weinig zeggen over de feitelijke hoeveelheid machines.

Ben geen expert op dit gebied, dus misschien zit ik er naast :?
Ik sta er nog steeds van te kijken dat er zoveel ISP's zijn die hun netwerk niet controleren of het pakketje wat hun netwerk verlaat, ook daadwerkelijk een source-adres heeft uit hun netwerk. Als ze alle niet-valide pakketjes meteen zouden droppen, heb je het grootste probleem al opgelost..
Lijkt me toch dat als de ISP ALLE pakketjes van ALLE klanten zou scannen dat het een inmens datapark mag opzetten om dat realtime bij te kunnen houden?
Lijkt me toch dat als de ISP ALLE pakketjes van ALLE klanten zou scannen dat het een inmens datapark mag opzetten om dat realtime bij te kunnen houden?
Wat denk je dat een firewall doet?

Je zou het probleem ook gewoon al bij de modem kunnen aanpakken. Als iemand een gespooft pakket probeert te versturen, gewoon de verbinding dichtgooien voor 48 uur oid. Belachelijk dat er tegenwoordig nog ISP's zijn die spoofing toelaten.
Valt wel mee, belangrijkste is om niet te gaan proberen alles op 1 plek te scannen maar netwerk beetje opdelen. Met dedicated hardware kom je dan een heel eind. maar tja kost wel een bak met geld en daar heeft geen één bedrijf trek in.

Hetgene waar je enorme parken nodig voor hebt, is die belachelijke opslag plicht van verkeersgegevens.
Ah ja, en pakketjes wourden automatisch gerouteerd wil je zeggen? Elke hop inspecteert packets - meestal gelimiteerd aan de IP headers, maar meer is voor dit ook niet belangrijk. En daar waar de pakketjes van de klant het netwerk van de ISP voor het eerst bereiken (meestal in de wijkcentrales), daar zou ook die controle gedaan kunnen worden.
Nee. Je moet typisch een stuk of 16 bits per IP packet testen. Dat is 1 binary operatie met 2 mogelijk resultaten. Als alle bits kloppen mag het packet mag door. Zoniet, dan mag het packet weg. Bovendien geldt dat de snelheid van een packet weggooien volstrekt onbelangrijk is. De typische tijden voor een dergelijk test liggen onder de 1 nanoseconde op een moderne chip. Dus elke ISP had deze complete flood kunnen egress-filteren in realtime, met 1 chip ( ! )
ook dit is geen probleem om te omzeilen.
controleer ip + subnet van de verbinding, en bereken de daarbij horende ip adressen
voor de spoof aanval.
dit kan volledig automatisch.
Wij krijgen regelmatig mensen in de computerzaak met een brief van vooral KPN dat hun Internet afgesloten is omdat de computer geïnfecteerd is. Wij als computerzaak moeten dan eerst een handtekening onder de brief en factuur plaatsen dat het opgelost is. Dus controle (waarop precies weet ik niet) is er wel.
Conclusie: Jullie controleren niets, want wat het is weet je niet, maar je tekent toch.

Super!
Dat is zoiets als een dokter die zegt dat je gezond bent, omdat hij niet weet hoe hij je ziekte moet diagnostiseren
gespoofd... dus fictieve IP's... Nouja, neit de echte ip's daar waar ze vandaan komen.
IP adressen die gestuurd worden over de verbinding kunnen gewoon bij een Ddos aangepast worden naar alles....

(zoiets toch?)
Uhm... als je vanuit een netwerk een source adres kunt versturen die niet tot dat netwerk hoort (uRFP uit zie: http://en.wikipedia.org/wiki/Reverse_path_forwarding) is een paar miljoen IP adressen genereren geen probleem. Mocht ooit eens blijken (die kans is heel erg klein) dat alles vanaf 1 machine af komt dan is het wel interessant om te zien of ze een random generator hebben gebruikt, want dat kost meer computing resources dat tcp packet op de lijn te zetten.
Wat denk je dat virussen soms doen?
FOK! is al veel langer offline dan de andere site's. Heeft dit een speciale reden? Wordt FOK! harder aangepakt dan de andere site's? Of zijn er geen admins van FOK! aan het werk?
Op FOK! duurt de DDoS inmiddels, met een paar korte tussenpozen, al drie dagen. Daarnaast hadden we ook nog een hack tussendoor. Ja, we zijn aan het werk en iteejer is - wederom - onderweg vanuit dordrecht naar amsterdam. Terwijl hij behoorlijk ziek is. Het is niet zo dat we uit onze neuzen zitten te nassen natuurlijk. Wij hebben alleen wat minder ervaring met dergelijke aanvallen.
Het was niet bedoeld als commentaar, ik was alleen nieuwsgierig waarom FOK! zoveel moeite heeft om de boel weer onder controle te krijgen.

En ik wil jullie bij deze dan ook sterkte wensen in deze moeilijke tijden!
Tweakers is natuurlijk op vrijdag en zaterdag (indirect) al gewaarschuwd voor een mogelijke DDoS.
Ze hebben zich kunnen voorbereiden.
tnx :) (ik vatte het overigens niet als aanval op ;))
Vraag hulp aan Tweakers.net, ik denk dat ze best een helpende hand willen toesteken in deze situatie, of zoek mensen die je betalend willen helpen.
Soms vraag ik me oprecht af of je door hebt dat je 1 van de grootste fora in Nederland in bezit hebt, omdat je het altijd zo onprofessioneel op probeert te lossen.

En betaal je moderators, en geef ze duidelijke regels omtrent wat wel en niet geaccepteerd is, je hebt een goudmijn in bezit, maar je laat zoveel zitten...

Je ziet nu weer hoe professioneel Tweakers er mee omgaat, waarom kan dat op FOK! niet?
Terwijl Tweakers zich aan 1 aspect van interesses wijdt, wat hun eigen keuze is, en FOK! potentieel een allesomvattend forum zou kunnen zijn... :)
Fok had itt de andere sites grotere problemen dit weekend..
Er zijn binnen Fok! twee admins die hier verstand van hebben en één daarvan zit op Lowlands.
Kansloze actie, een beetje lopen DDoSsen. Wel netjes dat jullie de aanval zo snel geweerd hebben. FOK! ligt er al 3x uit dit weekend. Misschien een idee om een snelle FAQ te maken om dit soort aanvallen te weren? Hebben andere sites ook weer baat bij.
Uit ervaring weet ik dat ze zelden 2 keer hetzelfde geintje uithalen, dus zo'n FAQ heeft maar zeer beperkt effect, bovendien lezen de hackers 't ding ook, dus het geeft ze juist meer inzicht waar (niet) te zoeken de volgende keer.

Ik vermoed wat gestunt met tcpdump en heel goed kunnen detecteren wat de gemene deler was in de obscure packets. (zo doe ik 't altijd tenminste)
Nouja, zoiets als jij nu post is al iets natuurlijk. Het hoeft geen detailpaper te zijn, maar meer waar je het in kan zoeken en een soort algemene aanpak. Een complete netwerkFAQ bestaat ook niet, maar je kan wel een algemene aanpak beschrijven hoe je een netwerkprobleem oplost. Stap1: controleer de kabel, en zo verder ;)
daarvoor is een DDOS net iets te complex en variabel helaas.

wat je er vooral voor nodig hebt is een goed stel analytische hersens, en dat is iets wat je moet hebben, niet iets wat je kunt leren.
En dat is precies wat er gebeurt is, gewoon even snel tcpdumpen, kijken wat er binnenkomt en hoe ik het kon blokkeren, daar is geen Ir of Dr titel voor nodig, maar gewoon een kwestie van goed kijken wat er gebeurd (en weten waar je moet kijken)
wat je er vooral voor nodig hebt is een goed stel analytische hersens, en dat is iets wat je moet hebben, niet iets wat je kunt leren.
Analytisch brein is het resultaat van ervaring. Dus je kunt het wel zeker aanleren.
Controleer de kabel is leuk voor amatuers met thuisservertje. Beetje website draait in een serverroom waar je niet ingeraakt zonder eerst een afspraak vast te leggen ;)
Het verschilt per aanval welke maatregelen er genomen moeten worden lijkt me. Goede sysadmins (zoals van T.net :P) kunnen het patroon van de aanval herkennen en er iets tegen doen.
Het verschilt per aanval welke maatregelen er genomen moeten worden lijkt me. Goede sysadmins (zoals van T.net :P) kunnen het patroon van de aanval herkennen en er iets tegen doen.
De systeembeheerders van andere sites zullen denk ik net zo goed zijn, anders raken ze gewoon klanten (als het bij de andere sites door derden is gehost) kwijt. Iets wat je niet wilt natuurlijk. :) (Al snap ik je :P emoticon weer wel ;))

[Reactie gewijzigd door CH40S op 24 augustus 2009 01:05]

!!! Kees is een held !!!

Allen na mij scandeer deze tekst uit volle borst ;)
Uhm, ik denk dat Kees en co er verstandig aandoen zich afzijdig en ingetogen te houden.

Misschien was het slechts een probe om te zien hoeveel ze nodig hebben voor een echte aanval.

In Nederland zijn er (bij mij weten) geen netwerken waar uRFP uit staat (zie mijn eerdere reactie) waardoor het vanuit buitenland komt.

Indien het een ECHTE grote aanval is, dan zal het nullrouten op border routers geen zin hebben omdat de pijp vol komt te zitten. (denk aan afsluiten riool in je straat, terwijl je in een dal zit en vanaf een berg regenwater naar beneden komt).

Het enige wat ze met veel moeite kunnen bewerkstelligen is op AMS-IX verkeer buiten Nederland te null-routen, zodat verkeer via AMS-IX wel gewoon aankomt. Ik weet niet of ze dat weleens eerder gedaan hebben (kost resources).
Dat is inderdaad een keer eerder gedaan, 6 jaar geleden. En nee, deze anval was redelijk amateuristisch van opzet en had ik sneller kunnen blocken als de server niet zo langzaam was geweest ;)

Een echt grote attack waarbij de pijpline vol komt is inderdaad weinig tegen te doen, maar dit was een 'technische' ddos, wat je redelijk eenvoudig kan blokkeren. En zodra ik het blokkeerde was het ook afgelopen 5m erna, dus de ddosser zt ook onze site te bekijken ;)
Mooi, dan hebben we na de analyse van de log files ongeveer 174.000 verdachten... Naja, 173.999 natuurlijk want ik was het in ieder geval niet 8-)
Lees de logs van iedereen die op de site kwam 5 minuten na het blokkeren. :P
!!! Kees is een held !!!

Gefeliciteerd met jullie overwinning. O+
Zo zie je maar weer hoe professioneel de crew van t.net is in verhouding met andere sites!
Fok! en GeenStijl zijn andere sites dan Tweakers... Het lijkt me dan ook niet meer dan logisch dat ze er bij Tweakers beter mee om weten te gaan...
Lijkt mij dat andere grote sites ook gewoon "mensen" hebben die het onderhoud voor de servers verzorgen. Het is niet omdat een site een andere doelgroep heeft dat "alles achter de schermen" ook met dezelfde kennis van zaken moet gebeuren als die van de doelgroep.
Wat je zegt klopt wel, maar op tweakers.net zijn vast wel meer mensen die er iets van weten, ervaring mee hebben en de motivatie ligt misschien ook hoger. Dat zou ik in ieder geval wel verwachten.
haha nee dan was geenstijl niet zo groot geworden ;)
Lijkt mij ook niet zo heel lastig om heel eerlijk te zijn.. Doelgroep en zo.
Door de kleine suggestie in het nieuwsartikel
Het is niet bekend of de aanval gerelateerd is aan de hack van FOK zaterdagavond
Zou ik het erg op prijs stellen als iemand van tweakers kan bevestigen of tweakers dezelfde kwetsbaarheden heeft (unsalted md5 in combinatie met sql injecties).. Zo weet ik in ieder geval dat mijn MD5 hash niet op straat ligt.

Dit was mijn reactie op de FOK.nl hack.
DutchStoner in 'nieuws: Website FOK gehackt en onder vuur van ddos-aanval'

[Reactie gewijzigd door DutchStoner op 24 augustus 2009 01:16]

Je kunt nooit bevestigen dat een website SQL Injection proof is, hacken is altijd een kat en muis spel. Een hacker vind een ingang, het slachtoffer lost het lek op. Best practices hanteren is het beste wat je kan doen, maar ook dat is niet feilloos. Daarnaast is er niets mis met MD5 als je een goed wachtwoord gebruikt, geen enkele rainbow table die de mijne kent :)
Wat natuurlijk onzin is, als jou super moeilijke wachtwoord een hash oplevert die gelijk is aan een enkel cijfer, dan heb je nog steeds jou wachtwoord niet nodig en staat je hash wel in iedere rainbow table.
Onzin. Simpelste tegenvoorbeeld van een website die SQL injection proof is: elke tinythhpd website. Als je geen SQL hebt, dan ook geen SQL injection. Volgende tegenvoorbeeld: Elke site met fixed SQL queries is bewijsbaar vrij van SQL injection, omdat elke query vantevoren geschreven is Volgende bewijs: Elke site die uitsluitendgebruik maakt van geparameteriseerde queries is vrij van SQL injectie.

Sterker nog, elke vorm van SQL injectie is een direct gevolg van luiheid van de verantwoordelijke programmeur. Maar gezien het risico zou SQL (in z'n string vorm) uberhaupt verboden moeten zijn op webservers.
Wat denk je zelf?

Die zaken zijn heus wel op orde bij t.net :)
Dat gevoel heb ik in ieder geval wel altijd gehad, en denk dus inderdaad dat dit allemaal in orde is. Maar ik zou het toch graag willen weten, dat vereist namelijk voor velen tweakers een actie. Ik weet verder niet in hoeverre Fok is gerelateerd aan Tweakers.

[Reactie gewijzigd door DutchStoner op 24 augustus 2009 00:47]

Je hoeft je over de beveiliging van T.net niet meer zorgen te maken dan je deed voor je van dit hele gebeuren hoorde. Geen beveiliging is onfeilbaar, maar die van Tweakers is één van de betere die je tegen kunt komen. Mochten de hashes toch op straat komen te liggen, dan hoef je niet bang te zijn dat die unsalted zijn.

Als je zelf de benodigde voorzorgsmaatregelen hebt genomen (een uniek wachtwoord op Tweakers.net, die ook voldoende sterk is), dan hoef je je hier geen zorgen te maken.

EDIT:
Ohja, de relatie tussen Tweakers.net komt van het feit dat de bedenker en beheerder van Fok! (Danny), ooit erg actief was op T.net. Het idee van Fok! heeft hij toen hij hier actief was uitgewerkt (hij heeft geloof ik ook nog wel wat gerecruteerd).

[Reactie gewijzigd door Patriot op 24 augustus 2009 01:28]

1 2 3 ... 11

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True