Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 97 reacties

Als gevolg van een ddos-aanval is DigiD slecht bereikbaar en kunnen gebruikers regelmatig niet inloggen. Gebruikers op sociale media klagen over de storing en een woordvoerder van het ministerie bevestigt dat het op dit moment erg moeilijk is om in te loggen op de overheidsdienst.

Digid-logoDe aanval begon dinsdagavond, aldus woordvoerder Frank Wassenaar van het Ministerie van Binnenlandse Zaken, en sindsdien is de dienst regelmatig niet te gebruiken. AlleStoringen meldt dat gebruikers sinds dinsdag om vijf uur 's middags klagen over slechte bereikbaarheid.

De beschikbaarheid van de dienst verandert van minuut tot minuut. "Het is op en af", aldus Wassenaar. "Vanmorgen kreeg ik het signaal dat iemand moeiteloos kon inloggen, maar nu kan het moeilijk zijn om in te loggen." De voorpagina van DigiD kan wel worden geladen, maar zodra gebruikers proberen in te loggen, krijgen ze regelmatig een timeout. Volgens Wassenaar doen de aanvallers tweehonderd aanvragen per seconde.

Door de vergaande integratie van DigiD zijn de nodige overheidsdiensten moeilijk te gebruiken. Veel overheidsdiensten leunen op DigiD, waaronder die van de belastingdienst, gemeentes, de Dienst Uitvoering Onderwijs en Studielink. Daarnaast gebruiken onder meer zorgverzekeraars DigiD om hun klanten te laten inloggen. De afgelopen weken steeg het aantal ddos-aanvallen in Nederland; onder meer banken en luchtvaartmaatschappij KLM waren doelwit.

Update, 12:45: Inmiddels zou DigiD weer te gebruiken moeten zijn.

Moderatie-faq Wijzig weergave

Reacties (97)

Er zijn toch inmiddels voldoende DDOS beschermings mogelijkheden beschikbaar. Telecom bedrijven als Verizon en ook specifieke beveiligings bedrijven als Prolexic bieden DDOS bescherming. Die werken erg simpel, normaal gaat het verkeer via je eigen verbindingen, zodra je aangevallen wordt dan reroute je het verkeer via BGP naar de data centers van de aanbieder.

Deze scrubt de data, dat betekent dat ze naar de packets kijken en bepalen wat aanvals verkeer is en wat normaal verkeer is. Alleen het normale verkeer sturen ze door naar de klant. Ze kunnen dit doen omdat ze erg grote bandbreedtes hebben en verschillende datacenters. Digid heeft mss één of twee beperkte verbindingen, de DDOS beschermers hebben verschillende 10Gb koppelingen. Wil je die onderuit krijgen dan heb je echt een enorme aanval te verduren. Denk dat hackers dat wel als uitdaging zien maar tot die tijd is dit een prima oplossing.

ABN-Amro is een klant van Verizon en die heeft ze dus ook beschermd bij de laatste DDOS aanvallen. Zij waren één van de weinige banken die niet onderuit ging. Overigens later wel, maar dat was weer een ordinaire datacenter storing. Dat kan ook nog steeds ;)
Over hoe de ddos-beveiliging precies werkt is in deze en deze blogpost wat geschreven. Het kost wat tijd om op te bouwen, maar dan kun je 120 Gbps aanvallen afslaan.

Voor DigiD is zoiets niet haalbaar omdat het HTTPS-endpoint bij DigiD moet liggen vanwege de veiligheid. Een grote derde partij kan dus nooit aan level 7 filtering doen (dat is filteren op basis van de inhoud van de pakketjes). Ik denk dat er veel opgelost kan worden door DigiD-binnenland en DigiD-buitenlandservers te scheiden, en iedereen die via een van de grote Nederlandse ISPs gebruikt naar de binnenlandse servers te sturen. Het wordt dan heel lastig om die binnenlandse servers down te krijgen.
super intressante blogs! ik heb weer wat geleerd,...21,7 miljoen open dns resolvers, nou t eind is nog niet inzicht vrees ik....

heel intressant trouwens hoe dat tier 1, 2 enz aan elkaar zit en de afhankelijkheid hiervan. (wordt goed uitgelegd in de 2 blogs).

zeer informatief wat mij betreft! :) goeie post.
DigiD is juist een dienst die nooit in buitenlandse handen mag vallen, of onder bijvoorbeeld de vergaande Amerikaanse Patriot Act zou kunnen vallen. Je moet voor deze dienst volgens mij voor een Nederlandse DDoS bescherming zorgen. Van zo'n dienst kunnen dan ook gelijk alle banken gebruikmaken.
Ik heb wel eens gehoord dat de amerikanen nauwelijks gebruik maken van de patriot act (iig in NL) omdat vragen aan de NL autoriteiten altijd sneller, gemakkelijker is en ze krijgen de data toch wel.

Dit soort diensten hebben vaak scrubbing centers over de wereld verspreid. Je kunt natuurlijk afspreken dat je de DC's in de USA niet wilt gebruiken.
Volgens Wassenaar doen de aanvallers tweehonderd aanvragen per seconde
Dat is toch niet zo heel veel? Inloggen zou toch binnen een paar ms gebeurt moeten kunnen zijn. Dan moet de goedkoopste Amazon EC2 server dit nog aan kunnen. Ik hoop dat het een verspreking is van de woordvoerder anders hebben "ze" de boel daar echt niet op orde.
de hoeveelheid per seconde zegt niet zoveel.

als het bijvoorbeeld een UDP flood is, kunnen ze met die 200 "aanvragen" per seconden
met pakketjes van bijv 10MB (ik zeg maar wat!!)

dan heb je toch 10MB x 200 per seconden.
dan ontvangt die server ongeveer 2000MB/s ~ 2GB/s

uiteraard weten we niet wat voor type flood het is,

het zou ook kunnen dat het 200 "SlowPost" connecties zijn per seconden.
uit ervaring kan ik zegen, dat dat sommige grote servers daar *al* down van gaan.

edit:
je moet er wel van uitgaan dat die connecties (daarom ook de naam: slowpost) open gehouden worden, waardoor alle connecties vol gaan zitten.

[Reactie gewijzigd door Boxxy op 24 april 2013 11:19]

200 aanvragen per seconde is inderdaad niet veel.
Als per aanvaller er nu 200 requests per seconden gedaan worden kan het wel aardig oplopen natuurlijk.
Zou het zo zijn dat de staat er nu wel achteraan gaat, bij de banken zeiden ze massaal dat het aan de banken zelf zou liggen. En dat zei zelf maar hun zaakjes op orde moeten brengen. Nu een staatsorgaan dat aangevallen word. Zouden ze nu weer zeggen de beheerder moet maar zijn zaakjes op orde hebben.

Je vraagt je zo langzamerhand af of dit niet gezien mag worden als een directe "Act of War" als men namelijk elke NUTS bedrijf afgaat op gebied van beveiliging. Hoeft men straks als alles getest is alleen maar op een knop te drukken en boem, weg infrastructuur Nederland. Vraag me af hoeveel er dan overblijft van alles.
Ik denk dat dit is wat er aan de hand is. We worden uitgebreid getest. Maar testen hoeft niet het enige doel te zijn. Het kan ook een false flag operatie zijn vanuit Nederland zelf.

Als het een test is dan komt het waarschijnlijk uit het buitenland, Nederland is doel omdat ons land sterk gedigitaliseerd is en voorop schijnt te lopen met nieuwerwetse vormen van digitaal bankieren.

Als het een false flag operatie is al dan niet via het buitenland uitgevoerd, dan beoogt men door via aanvallen ons bewust te maken van onze kwestbaarheid, om dan de burger te doen ontwaken, die dan eisen gaat stellen rond beveiliging en over kwetsbaarheid waarop dan de voorstellen op tafel komen voor verregaande maatregelen, het 'trekken van lessen' (dat doen we erg graag in Nederland - denk aan burgemeesters en andere bestuurlijke verantwoordelijken en wat die voor de camera altijd zeggen: 'we moeten zien welke lessen we kunnen trekken...', en uiteraard moeten er door burgers opofferingen gedaan worden voor veiligheid m.b.t. internet gebruik.

These, antithese an synthese. Een deel van de synthese is al bereikt. De banken hebben voorgesteld om meer informatie te gaan delen. Als je vandaag de dag iets hoort over informatie delen houdt dan je hart vast. Ze gaan een organisatie oprichten, dus dan weet je al weer genoeg.
Uit Brussel komen vermaningen aan de banken. Als de DDOS aanvallen doorgaan dan duurt het maar even of de Jaderlander smeekt op de blote knietjes om de boeven te vangen en neem me a.u.b daarbij verder zo veel mogelijk nutteloze privacy af, neem me meteen een handvol burgerrechten- en vrijheden af meneert de ministert.

Je snapt de Jaderlander best, word!

Hoe dan ook, of het nu een testcase is voor een buitenlandse (lees amerikaanse, maar Russische mag ook) mogendheid zodat ze onze fouten kunnen vermijden, onze kwetsbaarheid willen blootleggen of gewoon willen weten wat te doen om een cyberaanval in de toekomst meteen doeltreffend te doen zijn, of dat het een false flag operatie is of een combinatie van beide, het gaat binnenkort duidelijk worden dat de overheid al snel voorstellen op tafel legt voor bestrijding van deze ongein en dat burgers daarvan de dupe gaan worden.

[Reactie gewijzigd door Vendar op 24 april 2013 11:19]

Niet helemaal correct:

van Wikipedia:

Currence is een Nederlandse organisatie die is opgericht door een aantal vooraanstaande bankorganisaties met als doel "facilitering marktwerking en transparantie met behoud van de kwaliteit en veiligheid van het betalingsverkeer in Nederland."

Het is verantwoordelijk voor nationale collectieve betaalproducten en het faciliteren van marktwerking en transparantie met behoud van de kwaliteit en veiligheid van het betalingsverkeer in Nederland en is opgericht op 1 januari 2005 op initiatief van acht Nederlandse banken (ABN AMRO, Rabobank, ING, Fortis, SNS Bank, BNG, Friesland Bank en Van Lanschot Bankiers).

Het is opgericht door een aantal banken waar de helft staatsteun van krijgt en in die zin dus ook deels staateigendom is. Daarbij is het natuurlijk een ontzettend doeltreffende aanval om onze financiele infrastructuur te beperken.

Overigens leuk dat we een High tech cybercrime unit hebben maar wat zijn die daar aan het toen? Tetris aan het spelen? Er mag onderhand wel eens actie ondernomen worden!
Leuk dit verhaal, maar waarschijnlijk heb je gemist dat het hier gaat om DigiD, en die is wel degelijk staats gebonden!!!!!
Zijn DDoS aanvallen tegenwoordig niet redelijk te stoppen? Ik heb in het verleden toch echt regelmatig gelezen dat het inzetten van speciale firewalls dit mogelijk zou moeten maken. SpamHaus was ooit ook doelwit en die zijn toen door een speciaal bedrijf geholpen. Ik zou als overheid zijnde al mijn servers preventief zo beveiligen, toch?
Het probleem is niet dat ze niet te stoppen zijn,
het grootste probleem is juist dat ze gemakkelijk uit te voeren zijn.
Je kan ze zelfs "bestellen", als je daar een bepaald bedrag voor over hebt
SpamHaus was ooit ook doelwit en die zijn toen door een speciaal bedrijf geholpen.
Dat bedrijf is CloudFlare, die simpelweg de DNS zone van een site overneemt, het inkomend verkeer scant op bekende botnets, en alleen legitiem verkeer naar de site doorlaat. Mocht een aanvaller echter het IP adres van de site weten te achterhalen, dan kun je (buiten CloudFlare om) alsnog de hele site omver krijgen.
Ja, zijn oplossingen voor, maar zijn veelal niet goedkoop.
Er zijn inderdaad dure firewalls, alleen hebben die allemaal één mak: ze beschermen de achterliggende servers wel, maar niet de verbinding. Als je 10Gbit glas hebt liggen en je krijgt een 100Gbit aanval binnen, dan draait je server nog prima, maar ben je alsnog niet meer bereikbaar doordat je verbinding compleet verzadigd is.
het grootste probleem is juist dat ze gemakkelijk uit te voeren zijn.
Je kan ze zelfs "bestellen", als je daar een bepaald bedrag voor over hebt
Dat zijn de botnets die je idd kunt bestellen of huren. Echter vraag ik me af of deze nog steeds worden gebruikt aangezien je botnet wel _erg_ groot moet zijn om een aanval van 300-500Gbit/s uit te voeren: zoveel upload hebben particuliere zombies doorgaans ook weer niet én als de daadwerkelijke eindgebruiker er last van krijgt zul je als botnetbeheerder zombies gaan verliezen omdat eindgebruikers je trojans zullen gaan opschonen.
Daarom vermoed ik dat 'ze' (whoever that may be) de kracht van amplification attacks hebben ingezien. Deze aanvallen zijn met enkele machines uit te voeren en kunnen enorm veel verkeer genereren. Ze werken ook vrij simpel: kies een x aantal open DNS resolvers (lees: verkeerd ingestelde DNS servers) en vraag bij zo'n server een grote DNS zone op (bijvoorbeeld facebook.com oid). Gebruik daarbij als afzender adres het IP adres van de machine die je wilt aanvallen. Deze machine krijgt daardoor resultaten binnen waar die niet om heeft gevraagd, dus worden deze genegeerd. Het idee is echter om (zoals hierboven aangehaald) de verbinding te verzadigen. Aangezien DNS server doorgaans dikke verbindingen hebben kun je met enkele tientallen/honderden (??) een site prima omver krijgen.
Oplossing: netwerkbeheerders die in deze lijst staan moeten onmiddellijk hun DNS resolvers goed configureren zodat deze niet meer op aanvragen van buiten het eigen netwerk reageren. Dan houden de criminelen alleen botnetjes over en die kunnen we wel redelijk baas (tot op zekere hoogte).

[Reactie gewijzigd door Rick2910 op 24 april 2013 11:57]

Een andere veelgebruikte aanval is een SYN flood, waarbij de verbindingen van de servers in een half-open status blijven staan (voor een tijdje tenminste). Het SYN bericht is het eerste bericht dat een client naar een server stuurt, om zich aan te melden. De server stuurt dan een SYN-ACK terug, en wacht op antwoord. Als het ip adres vervalst is (er is geen PC met dat adres), dan komt er geen antwoord, en blijft de server een tijdje in die state. De server zal een aantal malen proberen om opnieuw met SYN-ACK antwoord te krijgen.

Omdat de server slechts een gelimiteerd aantal half-open verbindingen kan hebben, zal op een gegeven moment de server niet meer reageren op nieuwe SYN verzoeken. De server is dood gemaakt door een (D)Dos aanval.
Voor dit type aanval heb je als clients helemaal geen Gbit bandbreedte nodig. Je voert geen aanval uit door de server aansluiting dicht te slibben, maar door de limieten in het aantal verbindingen op te zoeken.
Meer info op wikipedia.nl
Er zo veel verschillende manieren zijn om een dos aanval uit te voeren. En niet tegen elke techniek is een effectieve verdediging beschikbaar.

Maar die lijst van open DNS resolvers is interessant.
De bijbehorende omschrijving.
http://dns.measurement-factory.com/surveys/openresolvers.html

Ook heel wat Nederlandse instellingen in die lijst.
Zoek bijvoorbeeld op "B.V."
Ook vind ik ISP's als KPN, xs4all, Tiscali, Orange, Scarlet, TrueServer BV
En al de technische universiteiten ... 'AS-TUE Technische Universiteit Eindhoven (TU/e)', "UTWENTE-AS University Twente" en "TUDELFT-NL DTO TUDELFT, The Netherlands - AS"
Ja, zijn oplossingen voor, maar zijn veelal niet goedkoop. Dus is de vraag of de overheid de uitbesteding van deze projecten aan de goedkoopste of de beste aanbieder heeft gegund.
Daar weet iedereen het antwoord wel op.
Nou ja, massa-productie maakt goedkoop zeggen ze wel eens ;-) Misschien dat men nu wel fatsoenlijk wil investeren in hardware, software en niet te vergeten: IT-ers met kennis. Regelmatig dat daar een gebrek aan is.
Ahum, IT-ers met kennis heb je niks aan als je niet naar ze luisterd.
Vaker is het de manager die alleen maar zo snel mogelijk resultaat wil zien. Daardoor wordt er juist zo snel en goedkoop mogelijk gebouwd.
Tja, aan de andere kant is er altijd maar commentaar dat de overheid geld slurpt en iedereen teveel belasting moet betalen. Als ze dan vervolgens een goedkope(re) optie kiezen is het weer niet goed...
Het wordt een probleem als de goedkopere oplossing op termijn duurder is dan de dure oplossing.
Dat is vaak het geval, maar aangezien kiezers nogal kort van geheugen zijn is het voor dergelijke organisaties nog altijd beter om de ogenschijnlijk "goedkope" oplossing te gebruiken.
@Kwibus
De aanvallers gebruiken een gemodificeerd IP pakket wat af *lijkt* te komen van 127.0.0.1 of :;1, of een random adres in de 169.x.x.x range van adressen.

Bovendien: de accountants vinden een investering van een paar ton tot een miljoen niet echt leuk, zeker niet voor iets wat statistisch gezien bijna nooit voorkomt.
Dat 't nu handig was geweest staat als een paal boven water, dat ben ik met je eens.
Ik denk dat de accountants een investering van een paar ton tot een miljoen prima hadden gevonden, en daarna aandelen hadden gekocht in het bedrijf dat het zo goedkoop kan oplossen.

Reken voor het beschermen van een infrastructuur zo groot als DigiD eerder op 5-10 miljoen euro, en dan ben je grotendeels maar niet definitief beschermd.
Dat lijkt me niet erg waarschijnlijk aangezien verkeer van 127.0.0.i o.i.d. dat van buitenaf komt makkelijk weg te filteren is.
Het is een kat en muis spel.

Ik val je aan met een grote aanval.
Jij zet een grotere firewall in en een dikkere internet pijp.
Ik vergroot weer mijn aanval...

En zo ga je maar door. Wie gaat er winnen, denk je?
Wat is het toch met die DDoS aanvallen de laatste tijd? Is er eigenlijk al meer duidelijk naar de daders?
Dat is ook wat ik eerst dacht. Maar aan de andere kant is het de vraag hoeveel meer het voorkomt dan eerst. Misschien brengen bedrijven het nu een stuk sneller naar buiten omdat de term meer is ingeburgerd.
Ik zat zelf te denken aan het copycat effect. Gelukkig niet met moorden, maar ddos'sen is de laatste paar weken wel 'hip' met voldoende media-aandacht.
Als ik kijk naar het aantal aanvallen (200 per seconde) dan durf ik wel te zeggen dat het een vrij goedkope copycat is die wat aan het scripten is. Niets echt professioneels.

Ter referentie, met JMeter (http://jmeter.apache.org) bouw je in een middagje een script wat met een standaard computer en internet verbinding makkelijk deze aanval voor elkaar krijgt.
Het enige lastige is de aanval niet vanaf 1 IP adres te laten plaatsvinden, want dat is wel heeeel makkelijk te blokkeren. Als dat het geval was dan hadden ze het nu wel opgelost.

Wat betreft de "kracht" van de aanval, 200 inlog pogingen per seconde = alle Nederlanders die binnen 24 uur 1x inloggen. Dat moet de site toch makkelijk kunnen verwerken?
"Alle Nederlanders die binnen 24 uur 1x inloggen"

Dat is ook gewoon af te vangen ja, maar als we laten we nou eens een leuk voorbeeld nemen, alle studenten en scholieren met recht op studiefinanciering wat vandaag gestort word inloggen:+...
Sssst.. nu breng je nog meer mensen op een idee :)
Wat is er hip aan als je zelf niet in het nieuws komt. Iedereen kan vervolgens wel zeggen "dat heb ik gedaan" maar er valt niks te bewijzen.
Ik vraag me toch echt af of ze die 'cyberaanvallen' niet gewoon verzinnen om incompetentie en storingen te verhullen.

De aanvaller heeft er immers niets aan. De aanvallen van de laatste tijd worden niet opgeeist en zijn ook niet duidelijk naar aanleiding van iets.

Bijvoorbeeld Visa/Mastercard/PayPal besluiten om geen donaties aan Wikileaks meer te verwerken, en vervolgens worden die bedrijven platgelegd uit protest. Hier is er een duidelijke oorzaak en een doel, en werd de aanval ook opgeeist door actievoerders.

Het aanvallen van die banken de laatste tijd, KLM, DigiD nu lijkt volkomen nutteloos en zonder reden, alsof er morgen ineens 2000 mensen de ingang van een bank blokkeren, maar niemand weet waarom en er zijn geen borden en spandoeken.

Ik vind het maar een rare situatie.
Dankzij die storingen worden phishing mails geloofwaardiger. Je legt een bank plat, mailt phishing mails in de rondte met betrekking tot de storing en een echt lijkende pagina waarop je vervolgens wel zou moeten kunnen inloggen.
Banken gaat om geld, DigID gaat om toeslagfraude. Lekker iemands huur en zorgtoeslag kapen door het naar een andere bankrekening over te zetten.
het zou kunnen dat ze aan het testen zijn om te kijken voor zwakke plekken. zeg maar eerst even de boel aftasten voor de grote slag komt. ben bang dat dit niet het laatste is wat we hier over gaan zien/horen en van merken.
Ik vrees ook dat dit niet het laatste zal zijn, wat we te zien krijgen.
Het lijkt er sterk op (ook door berichten die niet in de media komen) dat men de Nederlandse Infrastructuur aan het "bekijken" is.

Door bepaalde zaken nu aan te vallen, kan je kijken wat ze aankunnen en hoe ze een aanval proberen af te slaan. Hier op kan men weer de aanvallen verbeteren.

Vrees dat DE aanval nog moet komen.
goeie vraag ik begin die lui ook aardig zat te worden e het word dan ook tid dat ze eens hun best gaan doen deze samen met providers te tracen en een jaartje of 10 laten knijpervouwen voor water en brood in een donkere kelder.
200 requests per second...
Dan spreek je toch niet over een DDOS ??
Het gaat ook niet per se om de hoeveelheid requests, maar om de zwaarte van de requests. Bij inloggen moet het password worden gehasht. Wij in nederland willen graag goede encryptie, het berekenen van de hash aan de hand van een sterk encryptie algoritme gaat even duren.

Als de server een miliseconde of 5 bezig is per hash heb je dus aan 200 aanvallers al genoeg.
Maar 200 is wel dermate weinig, dat de aanval wel valt af te slaan (het is niet zo dat de bandbreedte door deze attack volledig wordt gebruikt).

Dingen die je kunt doen:
- Geografische info van een IP opvragen en deze wel/niet blokken (voor het afslaan van deze attack)
- Mits afkomstig van 1 IP adres, deze blokkeren
- Filteren "foutief" verkeer, voordat het de webserver raakt

@ hieronder, ik zie niet in hoe je op een router niet een route drop met source addr 127.0.0.1 kan doen naar netwerk *.*.*.*

Een pakketje met dest. addr. 127.0.0.1 zou namelijk nooit worden gerouteerd

[Reactie gewijzigd door XiniX88 op 24 april 2013 11:54]

@XinIX88
Malformed TCP/IP pakketjes met 169.x.x.x. of 127.0.0.1 in de header, doe je weinig aan, immers communiceert unix/linux over 127.0.0.1 (doe maar eens ifconfig lo op een linux bak) voor systeemservices.
Je strooit met wat termen en zegt dan dat je er weinig aan kunt doen, maar je blijkt er weinig verstand van te hebben.

Malformed TCP pakketjes zijn juist makkelijk af te slaan omdat de handshake nooit wordt voltooid. Als de pakketjes dan toch van 127.0.0.1 lijken te komen (en dus nooit een handshake voltooien) kun je een aanval makkelijk blokkeren in de eerste de beste router waar het verkeer het datacenter binnenkomt.

Omdat er gesproken wordt over 200 aanvragen per seconde ga ik ervanuit dat er een HTTP(S)-aanvraag wordt gedaan en er dus een TCP handshake is gedaan en de ip-adressen van de aanvragers bekend zijn. Als je met 200 aanvragen per seconde down bent, dan doe je als digiD echt wat grandioos fout.
- De ip-adressen van de aanvragers zijn bekend en dus te blokkeren.
- 200 aanvragen per seconde is erg weinig, dat moet je met een handvol webservers probleemloos kunnen opvangen.
Malformed TCP pakketjes zijn juist makkelijk af te slaan omdat de handshake nooit wordt voltooid.
Het idee achter een SYN-flood met een spoofed source address is daar juist op gebaseerd. Ja je kan het afslaan, maar niet omdat de handshake niet tot stand zou komen. Zéker met een spoofed source address wordt het "afslaan" lastiger. Daar ga je waarschijnlijk SYN cache of cookies voor nodig hebben (technieken die ze vast wel toepassen). Packet filtering is lang niet altijd even effectief, zeker niet zoals jij het voor doet komen.

Verder denk ik niet dat je de bewoording van zo'n woordvoerder niet al te technisch moet interpreteren en daar vervolgens allerlei conclusies aan gaan koppelen.

Voor wie meer interesse heeft in informatie over SYN-floods, lees dan deze whitepaper van Jonathan Lemon (FreeBSD) eens: http://people.freebsd.org/~jlemon/papers/syncache.pdf

[Reactie gewijzigd door EnigmA-X op 24 april 2013 13:35]

In computing, a denial-of-service attack (DoS attack) or distributed denial-of-service attack (DDoS attack) is an attempt to make a machine or network resource unavailable to its intended users
http://en.wikipedia.org/wiki/Denial-of-service_attack

Ergo, als het de bedoeling is de site plat te leggen d.m.v. meer requests af te vuren dan dat er verwerkt kan worden dan wordt er gesproken over een (D)DoS
waar lees je dat dan?
Uit de tekst;
Volgens Wassenaar doen de aanvallers tweehonderd aanvragen per seconde.
We zijn ondertussen al anderhalf tot twee weken "under attack" maar het delen van informatie, de opsporing van de daders, het afschermen van systemen en de komende bezuinigingen op de AIVD, hebben tot op heden alleen maar geleiid tot meer leed?

Sowieso dat nu DigiD onder vuur ligt lijkt me een goed excuus dat andere proefballonnetjes (zoals het samenvoegen van gemeente-portals) even on hold worden gezet totdat Nederland in zijn algemeenheid iets beter ddos-aanvallen kan pareren.
andere proefballonnetjes
Wees maar niet bang, de volgende proefballonnetjes gaan over meer controle en regulatie op internet. Daarmee spelen deze ddos-ers de politici mooi mee in de kaart.

Overigens snap ik niet dat de verantwoordelijkheid voor het beheer van je internetverbinding niet meer bij de eindgebruiker wordt neergelegd. Mijn auto moet naar de APK, mijn fiets moet een bel hebben, mijn huis moet veilig zijn, mijn pincode geheim. Maar mijn computer, nee, dat mag een virus infested, spammend, ddos-end device zijn.

Uiteindelijk hangt er aan het eind van elk kabeltje een PC, router of switch. En elk kabeltje kan doorgeknipt worden als het belang maar groot genoeg is.
En wat dan? Moet de overheid verantwoordelijk zijn voor de beveiliging van PC's? Dat lijkt me, zeker gezien de geschiedenis van de overheid icm IT projecten, geen goed idee en ik voel me daar ook gewoon totaal niet bij op m'n gemak.

Ik draai zelf geen Windows in mijn netwerk en al het verkeer komt binnen via een server die DNS + firewall (oa) is, dus ik hou 80%+ van de rotzooi mooi buiten de deur.
Tuurlijk snap ik dat niet iedere Jan met een computer dat zo heeft maar ik hoef die "bescherming" vanuit de overheid helemaal niet.

Even offtopic: ik vind het al erg genoeg dat ik gewoon geweigerd word bij de telefonische helpdesk van Logius/DigID omdat ik geen MS Windows maar Linux als primair (en enig) OS draai. Ik had vorige week problemen met de wachtwoord reset code die ik keurig per brief ontvangen had, dus ik dat nummer gebeld.. niks kunnen ze voor je doen.

Ik hoop dat er daar ook een belletje gaat rinkelen over service en welke OS'en ze ondersteunen, wat eigelik vreemd is want het is een webbased dienst
(einde rant, woops)
Het gaat erom dat de verantwoordelijkheid bij de eindgebruiker komt te liggen. De vraag is echter of je iemand verantwoordelijk kunt houden voor iets wat die niet snapt. Daarbij is er geen 'one-size-fits-all' oplossing die je kunt kopen waarna je safe bent (àla een APK keuring of een fietshelm). Vaak zijn security producten even vaak het probleem ipv de oplossing (denk aan false positives, extra CPU cycle verlies enz).
Enerzijds zorgt de markt zelf al voor verbetering door de grote omarming van thin clients zoals tablets en smart phones. Daar is de beveiliging (met name qua rechten) veel beter geregeld dan op desktops en laptops. Ook zal een gebruiker met haastige spoed hulp zoeken als een trojan eventjes 10GB traffic verstuurd over 3G met een rekening van honderden Euro's tot gevolg.
Kortom: de oplossing is niet eenvoudig en zeker niet als je beseft dat de marktfragmentatie steeds dynamischer wordt. Kon de overheid vroeger aan met een USB token voor Windows, nu zou zeker de helft daar al niks meer aan hebben gezien de opkomst van OSX, Linux, iOS, Android, WindowsPhone enz.
Het gaat erom dat de verantwoordelijkheid bij de eindgebruiker komt te liggen. De vraag is echter of je iemand verantwoordelijk kunt houden voor iets wat die niet snapt.
Ja hoor dat kan prima. En de one-size-fits-all oplossing is er ook.
Gewoon wereld wijd ISP's verplichten er een goed functionerende abuse afdeling op na te houden die klanten die geinfecteerd zijn met een botnet oid ook daadwerkelijk afsluit.
Probleem voor die klant misschien niet opgelost, maar voor de rest van ons wel.
Klopt, alleen dan verplicht je ISP's ertoe om packet filtering toe te passen.

De makkelijkste manier lijkt mij om vooral MS en Oracle (Java) ertoe te verplichten hun oude software ook veilig te houden. Vooral in China met de vele gekraakte Windows XP pc's.

Ik bedoel dat de leverancier van commerciële software uiteindelijk verantwoordelijk moet worden gehouden als zijn product niet veilig is.

[Reactie gewijzigd door 505261 op 24 april 2013 13:42]

Probleem voor die klant misschien niet opgelost, maar voor de rest van ons wel.
Daar gaat het niet om. De ISP krijgt van jou geen geld, maar wel van de geïnfecteerde gebruiker. Daarom ligt vanuit de ISP gezien de prio bij het als klant behouden van de zombie ipv jou als irrelevante buitenstaander tevreden te houden. Ik denk dat ISP's voor ¤ 5,- per call best klanten af willen sluiten. Is het jou geen ¤ 5,- waard, dan doet de ISP gewoon niks. Verantwoordelijkheid is leuk, maar het moet wel betaald worden.
Ik denk dat je TheGhostInc verkeerd begrijpt in deze. Hij zegt namelijk "ik snap nietdat de verantwoordelijkheid (...) niet meer bij de eindgebruiker wordt neergelegd".
Dat is een dubbele ontkenning, en is dus van mening dat de eindgebruiker verantwoordelijk gehouden moet worden voor de veiligheid van zijn eigen PC. In feite zeg je dus grofweg hetzelfde wat hij al zei.

En zijn eindconclusie is dus ook: Als je PC problemen verzorgt op het netwerk, dan moet je PC afgesloten kunnen worden van dat (inter)net.

Nu is het probleem dat DDoS aanvallen vaak vanaf een heel groot aantal PCs komt, waarvan waarschijnlijk een behoorlijk deel ook buiten Nederland staan, dus dat is vrijwel niet te realiseren.
Hierom pakt men een DDoS vaak aan aan de kant van het target, door bijvoorbeeld al het verkeer naar de aangevallen server te nullrouten (weg te gooien). Dan is inderdaad de betreffende server niet meer bereikbaar vanaf het internet, maar neemt de load op de server ook af zodat evt andere virtuele machines op dezelfde doos geen impact meer hebben. Aangezien de meeste websites (DigID wel mag ik hopen) wel redundancies ingebouwd hebben herstelt dit vaak ook wel weer een deel van de dienstverlening. Het is geen ideale oplossing, en er zijn uiteraard wel betere (vaak ook veel duurdere) oplossingen, maar als last resort is het wel een snelle en effectieve.
Dan maar hopen dat ik er vanavond geen last van heb! Ik wou me namelijk gaan inschrijven voor een nieuwe opleiding.. haha.

Ontopic:
De DDos aanvallen zien er wel tactisch gericht uit.. eerst de banken, toen een luchtvaartmaatschappij nu weer DigiD dit zijn toch wel de wat grotere jongens die van groot belang zijn in Nederland. Ik ben benieuwd waar het vandaag komt en wat de achterliggende gedachte hierbij zijn
Hoewel ik allesbehalve vrolijk wordt van deze aanvallen, denk ik wel dat het goed is voor het bewustzijn onder de burger. Internet is een kritieke infrastructuur, anno 2013 zijn we er in grote mate afhankelijk van. Deze afhankelijkheid is an sich niet verkeerd, maar veel burgers weten niet welke gevolgen dit met zich mee kan brengen.

Door deze aanvallen komt er wellicht eindelijk wat meer bezwaar tegen systemen als het EPD. Want ook deze zou simpelweg ge-ddos't kunnen worden; deze opereert immers ook niet onafhankelijk van 'ons' internet. Zo zijn er nog vele voorbeelden te bedenken. Technologische vooruitgang is goed; daar moeten we ook de vruchten van plukken. Evengoed moeten we ons bewust zijn van de risico's welke dit met zich meebrengt en daarmee ons 'hebben en houden' toevertrouwen aan het internet.
Op zich gaat het leven nu nog door, ik heb liever dat de systemen en hun afweerwaarheid/beveiliging mee groeien met de tijd dan dat na verloop van tijd in eens alles plat ligt. Dit leidt tot besef bij burgers en investering in een tijd dat we het wel kunnen gebruiken.

Het liefs zou ik willen dat het helemaal niet nodig was aan de andere kant is dat een beetje te naïef.

// EPD
EPD vind ik een slecht voorbeeld, deze is gedistributeerd en dus lastig te DDoS-en omdat je niet zo even al het verkeer naar een plek kan sturen. Daarbij is het ook nog zo, dat er bij een DDoS geen gegevens worden buitgemaakt(combinatie aanvallen daargelaten). En de service die dan word ge-denied zou dan de uitwisseling zijn welke nu sowieso al niet gebeurd. Daarbovenop nu wordt ook al stiekem ip en internet lijnen gebruikt om binnen (een) ziekenhuis (vestigingen) dingen uit te wisselen - te minste dat was min of meer op te maken uit de berichtgeving. Denk voor de rest aan uitwisseling lab/specialisten<->ziekenhuis.

//edit grammatica et al.

[Reactie gewijzigd door Mr_Light op 24 april 2013 18:43]

Ik ben blij dat ze dit niet een maand eerder hebben gedaan.. Dan zouden er een heleboel belasting aangiftes niet goed zijn gegaan gok ik..

Vraag me ook af of dit niet een soort recon actie is om te kijken hoe zwaar de verschillende Nederlandse systemen belast kunnen worden voor ze breken.

Dit zodat er in de toekomst op een handig moment het 1 en ander tijdelijk plat gegooid kan worden..

Ze gaan wel alle belangrijke online services van Nederland af momenteel.
Dat was ook mijn gedachten, verkennende testen op belastbaarheid/uitschakelbaarheid door externe partijen.

Eigenlijk juist jammer dat het niet een maand eerder werd gedaan. In dat geval zou de kwetsbaarheid namelijk nog veel meer in het oog zijn gesprongen, met hopelijk nuttige maatregelen als gevolg.
Hmm goed punt.
Trouwens, misschien is het de aivd wel die voor werkverschaffing aan het zorgen is. :)
Ben benieuwd of de overheid (NL/EU - had die Kroes niet wat geblaat) nu weer gaat roeptoeteren dat de betreffende instantie maar meer maatregelen tegen DDOS aanvallen moest treffen (zoals met de banken was gebeurd).

Gezien het feit dat DigiD zelf van de overheid lijkt me dat toch wat minder waarschijnlijk maar het zou wel vermakelijk zijn.
Eens. Bereikbaarheid van banken is redelijk kritisch, maar DigID is wat dat betreft nog kritischer. Dus als de overheid vindt dat de banken meer hadden moeten doen, dan mag ze er nu even een spiegel bij pakken. En het telefoonnummer van Prolexic.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True