Grootste ddos-aanval van 2011 treft Aziatisch e-commerce-bedrijf

Bij een ddos-aanval op een Aziatisch e-commerce-bedrijf piekte het aantal verbindingen op 15.000 per seconde. De servers van het bedrijf kregen 45Gbps aan malafide traffic te verduren. Dat meldt een beveiligingsbedrijf.

Volgens beveiligingsbedrijf Prolexic gaat het om de grootste ddos-aanval van dit jaar, meldt Computerworld. Het is onbekend om welk e-commerce-bedrijf het ging; Prolexic wil dat niet zeggen, omdat het een vertrouwensovereenkomst met het bedrijf heeft. Ook de reden voor de aanval is nog onbekend; mogelijk gaat het om een concurrent of een gebruiker die de dienst wil saboteren.

De 15.000 requests per seconde werden uitgevoerd door een botnet van in totaal 250.000 pc's, die samen op 45Gbps aan ddos-traffic piekten. De aanval zou begin november hebben plaatsgevonden. Het gaat overigens niet om de grootste ddos-aanval ooit; er zijn in voorgaande jaren ddos-aanvallen met een totale capaciteit van 100Gbps of meer aangetroffen.

Ddos-aanvallen die puur leunen op traffic worden overigens zeldzamer. Er zijn ook geavanceerdere ddos-aanvallen mogelijk, die fouten in software misbruiken of, door requests op een bepaalde manier uit te voeren, webservers laten vollopen zonder veel data te verstoken.

De in bandbreedte zwaarste aanval waar Tweakers.net mee te kampen had, piekte op 7Gbps. Dat was in 2002. De recentste grote aanval was geavanceerder en verstookte 'slechts' 200Mbps.

IT-banen

Reacties (39)

Pi0tr 24 november 2011 16:41

Als ze 250.000 pc's nodig hebben om 15.000 requests per seconde uit te voeren, dan zou een pc ongeveer 1 keer in de 16.5 seconde een request uitvoeren

...

Dat is niet zo veel...

Mavamaarten @Pi0tr • 24 november 2011 16:43

En toch, 45 Gbps is wel veel.
Niet elke request wordt beantwoord wanneer een server onder aanval ligt. Veel paketten raken verloren, wat ervoor kan zorgen dat bepaalde requests niet beantwoord worden.

Weyland @Mavamaarten • 24 november 2011 17:01

Alle requests die een server binnen krijgt worden behandeld. Hij zet ze in de queue en als deze zodanig vol is dan weet de server geen raad meer en loopt het geheugen vol. Als het geheugen vol is wordt de server langzaam tot deze uiteindelijk zoveel requests in een queue heeft staan dat deze er simpel weg mee 'ophoud'.

koelpasta @Weyland • 24 november 2011 17:58

Wie zegt dat alle paketten ook werkelijk bij de netwerkkaart van de server aankomen?
Er zullen meerdere switches/routers voor dat ding hangen en die kunnen ook volle buffers hebben.
TCP is er op gemaakt om zelf dropped packets op te vangen. Een router heeft dus niet zoveel moeite met het droppen van paketten als de buffer vol is. Er wordt dan van de hosts verwacht dat ze hiermee om kunnen gaan.

GateKeaper @koelpasta • 25 november 2011 10:30

Wie zegt dat alle paketten ook werkelijk bij de netwerkkaart van de server aankomen?

Hoe wil je anders weten dat er 250.000 pc's waren die deel uitmaakten van de aanval?

koelpasta @GateKeaper • 25 november 2011 10:48

Door de IP adressen vast te leggen van de paketjes die wel doorkomen.
Dat een paketje niet doorkomt wil niet zeggen dat een volgend paketje ook niet doorkomt.
Over de hele aanval zal van de meeste computers heus wel minstens 1 paketje doorkomen.

ACM Software Architect @Weyland • 24 november 2011 17:08

Op het moment dat het erg druk wordt mag een server best besluiten niet op alle verzoeken in te gaan hoor. 't Is maar net hoe ie opgezet is om om te gaan met overcapaciteit. In de regel zullen inderdaad de meeste diensten net zo lang door gaan tot het in de praktijk niet meer bruikbaar is en niemand er wat aan heeft.

TD-er

@Pi0tr • 24 november 2011 16:46

Dat is niet zo veel...

Maar wel zo'n 180 kbps per host.
Dat zal wel de gemiddelde upload limiet zijn van een hoop thuis-PC's.

MAX3400 @TD-er • 24 november 2011 16:53

[...]

Maar wel zo'n 180 kbps per host.
Dat zal wel de gemiddelde upload limiet zijn van een hoop thuis-PC's.

Gedeeltelijk eens maar als er "maar" 15K requests per seconde worden uitgevoerd en daar worden 250K hosts voor ingezet, hoeft elke host maar eens in de 17s een request te sturen... Of, 17 seconden lang een request van maar 11KBps; verwaarloosbaar dus.

Daarbij is Azie relatief goed bedraad en zijn upload-snelheden van meer dan 2MBps gemeengoed; zelfs in jouw berekening snoept het botnet dus maar 10% van je bandbreedte op.

[Reactie gewijzigd door MAX3400 op 23 juli 2024 08:15]

Verwijderd @MAX3400 • 24 november 2011 17:10

Als dit niet het geval was en iedereen van je botnet word volledig geleeched dan zou je nooit zo'n groot botnet op kunnen zetten.
Het gros zou het dan doorhebben.

Superblik @Pi0tr • 24 november 2011 17:32

Dat is zeker niet veel,maar vaak voldoende om kleinere bedrijven neer te halen voor een tijdje.Ik kan eerlijk gezegd ook niet uit dit bericht halen als de servers daadwerkelijk down waren gegaan voor een bepaalde tijd? zou dit betekenen dat ze het verkeer aan kunnen zelfs met 45gbps pieken?

[Reactie gewijzigd door Superblik op 23 juli 2024 08:15]

Falcon @Pi0tr • 24 november 2011 17:42

Misschien valt dit ook minder op dan het per seconde te gaan uitvoeren?

Pizzalucht 24 november 2011 18:39

Ik vraag me af hoe ze dit ooit hebben kunnen meten? Ik denk niet dat er veel bedrijven kunnen zeggen dat ze 45gbit aan capaciteit hebben(hoe wil je anders meten dat er meer binnen komt dan je kunt hebben?)

Tenzij de provider die 45gbit natuurlijk wel aan kan en informatie heeft verstrekt.

Dat dit de grootste aanval van dit jaar is betwijfel ik, we weten namelijk niet hoeveel er bij PayPal en MasterCard binnen is gekomen tijdens de aanvallen van Anonymous.

foobar79 @Pizzalucht • 24 november 2011 20:08

Prolexic is een partij waar je DDOS bescherming kunt afnemen.
(Filteren het verkeer voordat het bij de klant aankomt)
Zij hebben een infra die, neem ik aan, enkele honderden Gbps kan verwerken.
Prolexic heeft dit dus gemeten.

Facepalm|IA 24 november 2011 16:57

En dan nog proberen te achterhalen van wie en welk botnet het afkomt.

Verwijderd 24 november 2011 16:59

Botnet warfare: 250.000 pc's (45 Gbps) vs .........

Beste botnet overigens

Verwijderd 24 november 2011 17:10

botnet van in totaal 250.000 pc's, is dat met de gebruikers die op dat moment gewoon op de pagina wouden komen meegerekend (die ook 20 keer op F5 drukte omdat de pagina niet geladen werd)?

Ketho 24 november 2011 21:46

Als ik moet denken aan een groot e-commerce bedrijf, vermoed ik dat het Tencent, Sina, Netease of 178 is ..

Gamebuster 24 november 2011 16:38

250.000 PC's
45Gbps aan traffic

Daar kan je toch wel meer leuke dingen mee doen dan een DDoS

Mavamaarten @Gamebuster • 24 november 2011 16:41

Zoals?
Er is niks leuk aan het vernielen/platgooien van servers. Vind je dat wel dan is er iets mis met je manier van denken.

Tegelijk is het toch indrukwekkend, een botnet van 250.000 PC's is bijlange niet niks. Da's een hoop geïnfecteerde personen bij wie geen antivirus is geïnstalleerd of waarbij deze niet up-to-date is. Veel van dit soort aanvallen kunnen worden voorkomen als de gebruikers wat meer op hun surfgedrag gaan letten.

Zanzibar-1337 @Mavamaarten • 24 november 2011 17:02

Uit ervaring spreek ik dat je ook met een goede antivirus deel kunt uitmaken van een botnet. Scriptkiddies zijn erg handig vandaag de dag en weten een botje zo te knutselen dat ondanks de antivirusprogramma's de bots gewoon mogen draaien.

En de bots vermenigvuldigen zich in een botnet door naar lekken te zoeken in bv. het besturingssysteem of andere software, je kunt met je surfgedrag heel veel tegengaan, maar bij lange na niet alles.

Foxl @Zanzibar-1337 • 25 november 2011 00:06

Volgens mij gebruik je hier de term scriptkiddies nogal verkeerd, een "botje" knutsel je niet even snel in elkaar, zeker niet een welke antivirussoftware lang kan ontlopen. Overigens wordt met een bot de getroffen computer bedoeld, niet de gebruikte software.

Maar het blijft vreemd, een botnet van 250.000 PC's opbouwen doe je niet zomaar even, en door ze in te zetten voor een ddos, met op termijn een erg laag effect, verhoog je uiteraard het risico op ontdekking flink.

kramerty88 @Foxl • 25 november 2011 11:00

Ik ga hier geen links naar dergelijke sites plaatsen, maar een botnet van 250.000 zet je zelf vaak niet op. Dit kun je via botnetbeheerders "huren"; deze semi-professionele mensen doen niets anders dan botnets opzetten en deze vervolgens verhuren.

Daarnaast zijn crypters en scripts (trojans/backdoors/virussen/rootkits/browser injections) vrij verkrijgbaar up-to-date met licenties voor life-time updates. Dus voor script-kiddies is een botnet eenvoudiger op te zetten dan je eigen pc te formatteren.

Via een aantal crypters (die ik ook niet ga plaatsen, maar wel ken) kun je zelf zeer up to date AV's misleiden:

Derived from the Embedded Method but even more powerful and faster. <weggelaten> (Unique Stub Generator) that allows you to create custom stubs and totally FUD (Fully Udetectable). The multiple options to AUC bypass (User Account Control) and bypass KIS 2011 (Kaspersky Internet Security) complete the setting for this exceptional Crypter.

Inject Custom Process: If selected, the file executed, will be injected into another process (depending your choose). This means when your tester open the task manager the tester will see a non-suspicious process (for example firefox.exe or iexplore.exe).

Ten tweede zijn SIDoS (Self inflicted Denial of Service) in opkomst:

Hier is wel makkelijk tegen te beschermen, maar je moet een goed backup plan hebben. Deze scripts (wederom vrij verkrijgbaar) kunnen namelijk ook via een crypter FUD gemaakt worden voor AV's. Ook deze zijn dus zeer eenvoudig door scipt-kiddies op te zetten.

Veel groter gevaar is dat de PDoS in opkomst is:

Dit zijn vaak trojans, die wederom via crypters FUD zijn. Hier is echter wel meer kennis voor nodig, maar de schade is dan ook vele malen groter/erger dan beide bovenstaande.

A Permanent Denial of Service (PDoS) also known loosely as phlashing,is an attack that damages a system so badly that it requires replacement or reinstallation of hardware. Unlike the Distributed Denial of Service Attack, a PDoS Attack exploits security flaws which allow remote administration on the management interfaces of the victim's hardware, such as routers, printers, or other networking hardware. The attacker uses these vulnerabilities to replace a device's firmware with a modified, corrupt, or defective firmware image—a process which when done legitimately is known as flashing. This therefore bricks the device, rendering it unusable for its original purpose until it can be repaired or replaced.

The PDoS is a pure hardware targeted attack which can be much faster and requires fewer resources than using a botnet in a DDoS attack. Because of these features, and the potential and high probability of security exploits on Network Enabled Embedded Devices (NEEDs), this technique has come to the attention of numerous hacker communities. <weggelate> is a tool created by <weggelaten> (an employee of Hewlett-Packard's Systems Security Lab) used to detect and demonstrate PDoS vulnerabilities at the 2008 EUSecWest Applied Security Conference in London.

Mensen doen vaak alsof het alleen voor de specialistische elite is om dit soort dingen uit te voeren, maar je kunt zelf met "redelijke" kennis er zeer eenvoudig toegang krijgen. Dat is ook meteen het gevaar, deze scripts zijn zo eenvoudig te vinden en veelal voor een paar tientjes (ja letterlijk 10-100$) heb je een botnet waarmee t.net in het verleden platgelegd is.

Het vreemde vind ik dan ook dat er door onze overheid zo weinig tegen gedaan wordt en er vaak alleen achter nieuwsberichten aangelopen wordt en dus pas ingrijpen wanneer het in de publiciteit komt. Persoonlijk zou ik liever zien dat hiertegen hard wordt opgetreden, maarja wie ben ik....

[Reactie gewijzigd door kramerty88 op 23 juli 2024 08:15]

s0larus @Mavamaarten • 24 november 2011 23:25

Gamebuster zei dat er iets beters ermee kon worden gedaan.
Denk hierbij bijvoorbeeld aan Folding software of iets dergelijks. Er zijn zeker beter toepassingen dan een DDoS aanval op een server doen.

OT: Ik wil best wel weten welke bedrijf werd getroffen ne wat voor gevolgen dit had ^^

ZebeDeuS @s0larus • 25 november 2011 11:19

Jij hebt het ook goed geinterpreteerd. Gamebusters zin:
Daar kan je toch wel meer leuke dingen mee doen dan een DDoS
Had hij waarschijnlijk bedoeld als:
Daar kun je toch wel leukere dingen mee doen dan een DDoS

OT:
15.000 requests per seconde? Dat is maar ~0,5 request per minuut per PC?...

MetalfanBlackness @ZebeDeuS • 25 november 2011 14:46

OT:
15.000 requests per seconde? Dat is maar ~0,5 request per minuut per PC?...

Dat is heel slim, hoe minder request per seconden per pc hoe moeilijker het is om het verschil tussen een normale gebruiker en een bot van het botnet te onderscheiden.

Wolfos @Gamebuster • 24 november 2011 16:49

Zeker. Kan je wel verhuren als renderfarm ofzo.

Verwijderd @Gamebuster • 24 november 2011 16:58

Op de achter grond bionic laten draaien, en deze groep aan melden onder DPC en zo mee doen aan medisch onderzoek en een betere wereld.

elke dag boven aan de stats prijken geeft je o veel eer $_/-\o_$

GateKeaper @Verwijderd • 25 november 2011 10:27

Bitcoins farmen

Met zo'n systeempje kan het nog eens uit (stroom hoef je immers toch niet te betalen)

[Reactie gewijzigd door GateKeaper op 23 juli 2024 08:15]

Verwijderd 24 november 2011 17:42

nouja, fijn dat het iig om een e-commerce bedrijf gaat, en niet om iets goeds

mxcreep @Verwijderd • 24 november 2011 18:40

lol

Verwijderd 24 november 2011 23:33

Even off-topic ik ben benieuwd hoeveel de (ik gok) 200 servers van RuneScape kunnen handlen die hebben vast wel een loadbalancing server. Btw mijn gok is gebasseerd op het f het feit dat Runescape ongeveer 160 werelden en dus 160 servers en vast wel een stuk of 40 servers voor allerlei andere dingen.

Ontopic ik kan me zo voorstellen dat dit bedtijf een tijdje offline is geweest, er zijn gast niet veel bedrijven dit zovel aankunnen.

Verwijderd 25 november 2011 10:51

Is dit een antwoord van amerika op de zogenaamde hacks vanuit china?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (39)

Sorteer op:

Weergave: