Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 109 reacties

De politie heeft hostingprovider Asp4all opgedragen politie.nl enkel bereikbaar te maken vanuit het binnenland. De blokkade van buitenlandse adressen houdt wellicht verband met een ddos-aanval die eerder deze week zou hebben plaatsgevonden.

Hostingprovider Asp4all heeft de website politie.nl onbereikbaar gemaakt voor buitenlandse ip-adressen. Een woordvoerder van de provider liet weten dat de maatregel in samenwerking met de politie is genomen. Hoe lang de maatregel van kracht blijft, is niet bekend. De meeste mensen met een Nederlands ip-adres hebben geen last van de blokkade. Een dienst als Just-Ping bevestigt echter de onbereikbaarheid van de politiewebsite vanuit het buitenland.

Waarom de maatregel genomen werd is niet helemaal duidelijk, maar misschien houdt hij verband met een ddos-aanval op politie.nl, die woensdag zou hebben plaatsgevonden, zo werd gemeld op GoT. De aanleiding voor die mogelijke ddos-aanval is evenmin bekend. De korte downtime van woensdag kon nog niet het gevolg zijn van de genomen maatregel. Toen was de site ook niet bereikbaar vanaf Nederlandse ip-adressen.

De hostingprovider noch de politie kon de reden voor de blokkade bevestigen. Het afsluiten van alle connecties die uit het buitenland komen is een drastische maatregel. De politiewebsite is nu immers onbereikbaar voor Nederlanders die, al of niet tijdelijk, in het buitenland verblijven.

Moderatie-faq Wijzig weergave

Reacties (109)

Ik probeer te checken of politie.nl dan ook onbereikbaar is via TOR (ip 93.182.*.* in Zweden), maar na een enorme vertraging verschijnt een interessante melding:

This Connection is Untrusted
You have asked Firefox to connect securely to www.politie.nl, but we can't confirm that your connection is secure. Normally, when you try to connect securely, sites will present trusted identification to prove that you are going to the right place. However, this site's identity can't be verified.
What Should I Do? If you usually connect to this site without problems, this error could mean that someone is trying to impersonate the site, and you shouldn't continue.

I Understand the Risks: If you understand what's going on, you can tell Firefox to start trusting this site's identification. Even if you trust the site, this error could mean that someone is tampering with your connection. Don't add an exception unless you know there's a good reason why this site doesn't use trusted identification.


Hierna krijg ik vrolijk de niet te vertrouwen site in de TOR-Firefox.

Niet alleen lijkt die blokkade dus niet helemaal te werken, maar bovendien lijkt de site zelf niet in orde te zijn. De ddos-aanval is misschien niet het enig probleem van deze site ...

[Reactie gewijzigd door Kalief op 16 maart 2012 17:02]

Niet alleen lijkt die blokkade dus niet helemaal te werken, maar bovendien lijkt de site zelf niet in orde te zijn. De ddos-aanval is misschien niet het enig probleem van deze site ...
Of in TOR zelf zit een man-in-the-middle (kan ook veroorzaakt worden door de software of een eventueele proxy ergens), die dit veroorzaakt.

Zonder meer details dan je hier geeft kan onmogelijk een betrouwbare conclusie getrokken worden.
Als ik een 'new identity' kies (ander ip-adres/relay point) krijg ik hetzelfde resultaat.
Welke details heb je nodig?
Ik krijg hier vanuit Zweden (zonder TOR) de website niet geladen.... Lijkt dus wel te werken ;) Jammer, ik kijk regelmatig op de website van politie.nl voor de laatste nieuwsberichten. Vind dit dan ook wel een erg drastische maatregel en ook redelijk bezopen dat een website als Tweakers.net een DDoS-aanval (redelijk) weet te doorstaan terwijl politie.nl dit blijkbaar niet kan... Beetje amateuristisch of is dat te bruut gezegd?
Oude versie van Firefox? Ik had gisteren op een Nederlands universiteitsnetwerk hetzelfde probleem, het SSL-certificaat op politie.nl bleek vorige maand vervangen en blijkbaar is de CA nog erg nieuw. Firefox 9 kende de CA nog niet, FF 10 wel.
Een check via http://host-tracker.com laat zien dat er maar 1 locatie is die antwoord geeft.
Amsterdam!
De rest van de wereld krijgt geen response. (van de 38 locaties waar vandaan getest is).
De blokkade lijkt dus te werken ook al ontgaan het nut hiervan enigszins.

Location Result Page Size Response time KB/sec IP Partner
Received responses: 1 Ok 38 Fail Average: 0.04 sec 494.33
....
WanChai, Hong Kong Http error:Http_client.Bad_message("Unknown reason (e.g. unexpected eof, timeout)") 80.50 sec 62.112.225.193 Zolar Co Ltd
.....
Amsterdam, Netherlands Ok 20754 0.04 sec 494.33 62.112.225.193 PDhost
.....


Politie.nl gebruikt ook vreemde DNS entries.
ns2.isc.nl is een DNS van het oude ICT bedrijf van de politie.
Dit heet nu ipv ISC, vtsPN, en gaat straks naar Politie Nederland.

ns2.isc.nl. [145.119.165.5]
62.112.225.193
3600
164 OK
ns2.asp4all.nl. [62.112.236.60]
62.112.225.193
3600
149 OK
ns3.asp4all.nl. [62.112.244.60]
62.112.225.193
3600
155 OK
ns1.asp4all.nl. [62.112.224.60]

[Reactie gewijzigd door HoppyF op 16 maart 2012 17:31]

Waarom zijn dat vreemde DNS entries?
http://host-tracker.com Ligt bij mij trouwens plat, momenteel.
Politie.nl is niet de enige met deze actie:
Aanval vanuit buitenland op website OV-chipkaart
Na analyse is daarop besloten alleen nog internetverkeer uit Nederland toe te laten.
http://www.nu.nl/internet...website-ov-chipkaart.html
Als je een synflood aanval doet kun je gewoon je ipadres spoofen lijkt me geen probleem om dan politie.nl aan te vallen van uit het buiten land met een gespoofd nederlands adres.

Het lijkt me een beetje een gammele manier van beveiligen. Er staat dan ook bij dat het tijdelijk is dus ik hoop dat het tijdelijk is in de zin van we gaan het beter oplossen en niet we hopen dat niemand ons nog aanvalt als we dit 2 maanden blokkeren.
Ik denk zelf dat de impact niet zo groot zal zijn.
Ja het is lastig voor die paar mensen in het buitenland, maar als ze daarmee even een dreiging buiten kunnen houden lijkt me het geen drama.
Natuurlijk moet het wel een tijdelijke oplossing zijn.....
Genoeg mensen (waaronder ik) die vanaf het bedrijfsnetwerk nu niet meer kunnen connecten, de proxy staat in het buitenland.
Ik vind het wel een erg rigoureuze maatregel.
Er zitten risico's aan vast door buitenlandse IP adressen te blokkeren. Maar het gros van de nederlanders zitten op een nederlandse range en kunnen hierdoor wel gebruikmaken van de site.

Wat nu als ze dit niet doen en uit het buitenland komt een golf van DDOS aanvallen op de site waardoor deze mogelijk uren of zelfs dagen niet bereikbaar is? Dan is een grotere groep gebruikers van de site afgesloten. Beter is dus om een deel af te sluiten. en mogelijk andere later weer toegang te geven via andere kanalen.

Daarnaast weet ik niet hellemaal waarom ze dit mogelijk wel zouden gaan doen. een x% kan niet meer bij de site komen omdat zij via proxy's werken. Je kan ook in elk land een lokale proxy neer zetten en intern verkeer nog routeren naar het hoofdkantoor in het buitenland.
De vraag is dan juist waarom die blokkade van buitenlandse adressen niet alleen ingesteld kan worden wanneer dat nodig is (tijdens een DDOS dus). Dan is de site het grootste deel van de tijd normaal beschikbaar, en alleen in uitzonderingsgevallen niet bereikbaar vanuit het buitenland.
Rigoreus, maar waarschijnlijk goedkoper dan een RioRey.

reviews: RioRey RX1810: een firewall onder vuur
Ook NS internet in de trein gaat via het buitenland (T-Mobile Duitsland). Dus niet effe op politie.nl meer kijken hoe je meldt dat je portemonnee gerold is (of erger).
je woont blijkbaar niet in het grensgebied. en heb ook geen ervaring met bedrijven die Nederlanders over de hele wereld sturen.
met het afsluiten van de site word gelijk een groot gedeelte van de Nederlandse bevolking getroffen.
Effectief middel, vanuit Nederland zal er relatief weinig ddos-verkeer komen. Van ftp://ftp.ripe.net/ kun je zo een lijst met ip-ranges plukken, waarbij bij elke range staat bij welk land hij hoort, waarmee je op router-niveau al kunt filteren. Omdat routers heel efficiŽnt zijn in het aflopen van enorme routetabellen, heeft dit nauwelijks effect op de performance voor bezoekers die er wel op mogen.
Enige nadeel is dat die lijsten lang niet altijd juist zijn. Zo word ons Tweakers.net kantoor ook gewoon geblocked, terwijl wij ons toch echt in Amsterdam bevinden.
GeoIP heeft het waarschijnlijk weer eens aan het rechte eind? ^^
Effectief middel, vanuit Nederland zal er relatief weinig ddos-verkeer komen.
En voor DDOS-verkeer uit Nederland hebben ze veel makkelijker de mogelijkheid om opsporingsmiddelen in te zetten en daarmee daders proberen te vervolgen.
Ip changer NL range pakken evt. via proxy en whoppa. Effectief??
d-dossen over een proxy? Dan is eerder de proxy down dan de host die je wilt d-dossen.

[Reactie gewijzigd door thegve op 17 maart 2012 10:52]

Bij een ddos kun je twee services te hoog belasten: jouw pijpje naar het internet of je serverparkje. Je moet dus wel eerst een 10Gb+ lijn hebben wil je kunnen gaan filteren want die 1Gb zit zo vol.
In Belgie kan ik hem nog steeds bereiken
Vanuit Oostenrijk kan ik er ook niet opkomen. Pingen zorgt voor time-outs
Ecuador... no go....
Mijn desktop in UK komt er ook niet op. Mijn Blackberry verkeer gaat via Frankrijk en dat krijgt ook een time-out.
hier ook in de UK geen contact
Boedapest ook niets.
Ook BelgiŽ hier, maar bij mij is hij onbereikbaar.
Ok van thuis kan ik hem ook niet bereiken. Op het werk daarstraks wel.
Nu nog net even via vpn naar het werk geprobeerd lukt niet meer
eens via RD men pc van ginder overnemen en kijken...

...Ok via RD op het werk lukt het wel. vreemd mja over vpn van thuis moet ik de proxy gebruiken.
op mijn pc ginder heb ik een vast ip zonder proxy en kan ik alle sites bekijken.

ff een traceroute gedaan.
thuis over vpn via het werk
1 <1 ms <1 ms <1 ms 192.168.2.1
2 36 ms 36 ms 36 ms gateway.15mem0-1.cityconnect.schedom-europe.net
[83.101.93.1]
3 37 ms 36 ms 36 ms 4-4.r1.br.hwng.net [69.16.190.225]
4 47 ms 48 ms 49 ms 3-4.r1.am.hwng.net [69.16.191.85]
5 54 ms 62 ms 44 ms openpeering.nikhef.nl-ix.net [193.239.116.17]
6 45 ms 45 ms 45 ms openpeering-mg-1.asp4all.nl [82.150.154.91]
7 * * * Time-out bij opdracht.
....

vanop de pc op het werk (RD, ja die heeft alle updates ;-) )
1 2 ms 2 ms 2 ms 10.200.10.252
2 4 ms 5 ms 5 ms 70-0-0-1.pools.spcsdns.net [70.0.0.1]
3 * * * Time-out bij opdracht.
...

timeout maar toch te bereiken. nu ja het gaat allesinds langs een andere route.
we zijn een groot bedrijf met 150 mensen, maar onze proxy server staat in Duitsland.
de site werkt hier dus niet....
Ik kan er momenteel vanuit Belgie niet rechstreeks op.

Ik moet een open proxy die zich in NL bevindt in mijn proxy settings instellen om er nog bij te kunnen.

Gelukkig zijn open proxies makkelijk te vinden via google :-)

[Reactie gewijzigd door awulms op 16 maart 2012 21:21]

Hier niet (ook in BelgiŽ) ISP Belgacom. Morgen eens via een open proxy proberen.

[Reactie gewijzigd door Johan tb op 17 maart 2012 01:31]

Ik zit in Belgie en heb net een testje gedaan: zowel op domeinnaam als op ipadres is politie.nl niet bereikbaar. ping geeft timeout.

Zodra ik een vpn opstart naar een server in .nl kan ik wel direct op de website van politie.nl
Dus ook op IP adres is de boel vanuit het buitenland geblokkeerd, niet alleen op DNS niveau.
Als de politie snel ook een mirror voor buitenlandse adressen opent is er weinig aan de hand.
Als die onder een DDOS overlijdt is dat jammer maar minder ernstig

[Reactie gewijzigd door 80466 op 16 maart 2012 16:48]

Moet je die wel weer op een totaal gescheiden netwerk draaien.
Of je gebruikt een loadbalancer met een max aantal sessies per minuut. Als ze daar overheen gaan, dan laat je ze een mooie HTTP Status 503 met uitleg geven.
Dan kun je net zo goed die load balancer weglaten.

Bij een DDOS is de site zo goed als onbereikbaar, en bij een overschrijding van het aantal sessies als gevolg van een DDOS, is de site onbereikbaar.
Ergens pikken ze het IP op van een inkomende request. Of je dit request nu blokeerd of een alternatieve pagina serveert maakt niet zoveel uit. Met varnish kan je zo een aparte pagina vanuit ram serveren zonder dat de webserver er zelf aan te pas komt.

Als je bij de routers als een ip selectie doet dan handel je het exotische verkeer dus apart af zonder dat je reguliere setting gevaar loopt. Volgens mij hoeft het niet ingewikkelder te zijn dan dat.

[Reactie gewijzigd door -RetroX- op 16 maart 2012 20:30]

De site die door het buitenland wordt bereikt hoeft niet alle functies te hebben die Nederlandse ip-adressen wel hebben. Het is in mijn optiek terdege wel interessant om dit voor meerdere sites te laten gelden.
De gemeentes kunnen bepaalde delen van hun site gewoon onbereikbaar maken voor buitenlandse ip's. Zij hebben immers niks aan afspraak maken voor een paspoort of rijbewijs etc.
En juist dat zijn functies die je als overheid ten alle tijden wilt garanderen.

Het lijkt rigoreus maar het is een verdomd simpele manier om het risico te beperken en te controleren. Aanvallen moeten nu vanaf Nederland gebeuren en dat is veel makkelijker te registreren en eventueel te achterhalen.
Er zijn zat scenarios denkbaar waarbij je in het buitenland een afspraak voor een nieuw paspoort zou willen maken. Zo zou je bijvoorbeeld door de weeks in het buitenland kunnen werken, en alvast voor het weekend een afspraak maken om je paspoort te verlengen (die heb je immers nodig als je in het buitenland werkt).
Dat niet alleen. Datzelfde systeem (aka het digitaal loket) wordt ook gebruikt voor de overige burgerzaken waarvoor je bij de gemeente moet melden. Als je dit blokkeert dan blokkeer je vrijwel al je dienstverlening dus ook voor wie in het buitenland zit en nog even wat wil of moet regelen. Denk bijv. aan calamiteiten (en daarmee bedoel ik dus niet meteen iets als brand, overstroming, etc.).
Registreer de ip's van de ambassades en je kunt vandaar uit je handelingen op de site doen...moeilijk is het niet...
Jij bent nog nooit bij een Ambassade echt geweest zeker? Hier in Londen houdt de dienstverlening voor een paspoort ed. in dat ik in een wachtruimte die zelfs NS onwaardig is moet wachten om met iemand te spreken achter glas. Je komt de echte ambassade eigenlijk niet eens in. En nu zou jij willen dat mensen die gewoon even op een gemeente website wat informatie willen opzoeken hiervoor eerst naar de ambassade zouden moeten?!


Ontopic: Ik vraag me af waarom er niet gekozen is voor een blokkade voor IP adressen buiten Europa of het deel van de wereld waar de meeste problemen vandaan komen.
Elk land is ook echt zo klein als Nederland. En dan nog...
Zeker nog nooit langtijdig in het buitenland gezeten en je paspoort of rijbewijs verloren?
Een beetje aanvaller beschikt over een botnet. Een DDOS aanval is daarmee nog steeds een koud kunstje. Kortom: broddelwerk.

[Reactie gewijzigd door ncoesel op 17 maart 2012 00:14]

1 woord: anycast

[Reactie gewijzigd door raphidae op 16 maart 2012 21:05]

Ook zeer vervelend dat automatisch feed verwerkers nu dus ook niet meer werken. Dat vergeten ze daar ook even....
Of leuker nog, je Google Ranking is naar de klote ;)
Tuurlijk, daar zal de politie zich druk over maken... politie.nl is immers al zo moeilijk zelf te bedenken als je de politie wilt contacteren... ;)
Als dat nou het ergste van ASP4All zou zijn. :')
Goed dat ze proberen een ddos proberen tegen te houden... met nadruk op proberen. dit zal het inderdaad vertragen, als hackers zoiets proberen te doen.
Jouw berichtje hinkt een beetje op twee gedachten. Aan de ene kant vind je het goed dat ze het proberen, aan de andere kant realiseer je je wel dat het toch niet lukt.

Waarschijnlijk vanuit het standpunt dat alle beetjes helpen... Maar het lijkt me dat de nadelen in dit geval veel zwaarder wegen; de site is immers ook onbereikbaar voor een groep onschuldige burgers. Burgers in het Buitenland, maar ook die in Nederland die toevallig een IP hebben uit een blok dat re-assigned is of gewoon onjuist genoteerd staat.

[Reactie gewijzigd door mae-t.net op 17 maart 2012 18:59]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True