Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

LeaseWeb heeft in samenwerking met SIDN, de stichting die de .nl-domeinen beheert, de zogeheten dns-anycasttechnologie op zijn ip-netwerk geÔntegreerd en geactiveerd. Hierdoor zouden .nl-domeinen beter zijn beveiligd tegen onder andere ddos-aanvallen.

De dns-anycasttechnologie, een methode om dns-servers te dupliceren en geografisch te distribueren, moet de bereikbaarheid en betrouwbaarheid van dns-servers verhogen. Stichting Internet Domeinnaamregistratie Nederland (SIDN) stelt de eerste registry in Europa te zijn die gebruikmaakt van deze methode om het nationale topleveldomein .nl extra te beveiligen. Om de dns-anycasttechnologie breder uit te rollen heeft SIDN contact gezocht met LeaseWeb, waarop de hoster besloot om de routeringstechnologie op zijn ip-netwerk uit te rollen.

Volgens LeaseWeb is dns-anycast inmiddels volledig gedistribueerd en ingeschakeld op zijn netwerkinfrastructuur. Hierdoor zouden .nl-domeinen bij LeaseWeb beter zijn beveiligd tegen bijvoorbeeld denial-of-service-aanvallen. Zo zouden domeinen dankzij de routeringstechnologie lokaal beschikbaar blijven mocht SIDN direct door ddos-aanvallen worden getroffen. De lokaal bij LeaseWeb opgeleverde technologie omvat behalve een volwaardige .nl-nameserver onder andere ook een switch, een firewall en een node.

SIDN wil de technologie de komende tijd ook breder gaan uitrollen bij andere internetgerelateerde partijen zoals telecom-, kabel- en hostingproviders. Volgens de stichting hebben al vijf andere grote internetbedrijven positief gereageerd op het verzoek om de dns-anycasttechnologie lokaal bij hen te implementeren. Ook is er door SIDN een node geplaatst op de AMS-IX zodat ook bedrijven die geen eigen node kunnen of willen implementeren van de technologie gebruik kunnen maken.

Om als partij de dns-anycasttechnologie van SIDN te mogen gebruiken, moet aan een aantal voorwaarden worden voldaan. Zo moet het netwerk volledig ipv6-compatibel zijn en moet er gerouteerd worden volgens de zogeheten BCP 38 best practices-norm. Ook moet er actief opgetreden worden tegen 'open resolvers' binnen het eigen netwerk omdat deze de veiligheid juist kunnen verminderen.

Moderatie-faq Wijzig weergave

Reacties (27)

Je hoeft naar mijn mening helemaal niks aan te passen om anycast in je netwerk mogelijk te maken. Je gebruikt gewoon hetzelfde subnet op aantal verschillende lokaties en adverteert deze allemaal in je interne netwerk. Als jij naar een adres toe wil zorgen de standaardrouteringsprotocollen wel dat je bij de dichtsbij gelegen server komt met dat ip adres. Valt die server uit dan verdwijnt de route naar die specifieke server en word je automatisch omgeleid naar de dan dichtsbij zijnde server.
Zie het als een bordje naar de dichtsbijzijnde macdonalds. Verdwijnt die mac donalds dan wijzen de bordjes automatisch naar de dan dischtsbijzijnde macdonalds. Het maakt niet uit bij welke mac je komt want het is toch bij elke mac donalds dezelfde troep.
Dank, Rudie_V!
Leuk om te lezen dat Leaseweb anycast inzet maar wat het inhoudt wordt mij uit het Tweakers artikel niet duidelijk. Op zich verwacht ik van een site als Tweakers iets meer achtergrond dan alleen de marketingpraat uit het persbericht :)

Als ik het goed begrepen heb komt het er op neer dat via anycast meerdere machines op hetzelfde netwerk hetzelfde IP adres kan hebben. Op die manier wordt het veel moeilijker om een DNS-server via een DDoS aanval offline te krijgen. Het klinkt als een loadbalancer zonder de loadbalancer.

Ah, zie ook de uitleg hier: TrailBlazer in 'nieuws: LeaseWeb en SIDN gaan .nl-domeinen beveiligen met dns-anycasttechnologie'

[Reactie gewijzigd door bartvb op 4 december 2013 20:05]

Mocht je meer willen weten, ik quote uit het leaseweb artikel:
http://www.leaseweb.com/n...voor-beveiligen-nl-domein
quote: uit link
Webinar over anycast

Meer weten over anycast? SIDN organiseert op 16 december een webinar over anycast, DNSSEC en Abuse Information Exchange. Ga voor meer informatie en aanmelden naar https://www.onlineseminar.nl/sidn
O.a. Cloudflare maakt hier ook gebruik van dat zorgde er o.a. voor dat Spamhaus niet downging zelfs niet met een 300 gbps dns amplification attack.

http://blog.cloudflare.com/a-brief-anycast-primer

http://blog.cloudflare.co...almost-broke-the-internet
Goeie zaak en mooie stap in de juiste richting. Enkel, van wat ik uit dit stukje begrijp, heeft het enkel nut als SIDN, of de .nl TLD resolver direct ge-DDoSed wordt, en niet het domein/IP zelf.

Zo ver ik weet komt het amper voor dat TLD resolvers targets zijn voor DDoSers, en meestal juist de kleinere vissen/IP adressen.

Maar we zullen zien met de tijd wat voor verschil dit zal uitmaken :)
Het kan ik elk geval geen kwaad :)
ook de root servers zijn al doelwit geweest van DDoS aanvallen. Wanneer een groepering nu ineens een probleem heeft met de beslissing van een bepaalde regering acht ik het niet ondenkbaar dat een DDoS zal opgezet worden tegen deze servers.
De DNS infrastructuur van DNS.be in in het verleden ook al meermaals doelwit geweest van een DDOS aanval, waarbij anycast zijn nut zeer zeker heeft bewezen. De niet-anycast servers zijn toen allemaal door hun knieŽn gegaan, maar de anycast cluster niet.
Eerste van Europa? Volgens is heeft DNS.be toch al enkel jaren een anycast cluster in de lucht van van 42 38 machines.

Tijdens de DDOS van vorig jaar was de anycast trouwens de enige die niet door de knieŽn was gegaan, wat eigenlijk aan toont dat het in ieder geval wel zijn effect heeft.

[Reactie gewijzigd door Tom C op 4 december 2013 19:11]

"Stichting Internet Domeinnaamregistratie Nederland (SIDN) stelt de eerste registry in Europa te zijn die gebruikmaakt van deze methode om het nationale topleveldomein .nl extra te beveiligen."
Toch staat dit heel duidelijk vemeld in het jaarverslag van 2010 van DNS.BE (beheerder .be) dat ze al gebruik maken van anycast om de bereikbaarheid veilig te stellen.
Oh, maakt DNS.BE gebruik om .nl extra te beveiligen?
Nee maar SIDN is dan niet de eerste in europa die deze techniek inzet... Dit in tegenstelling tot wat er in het artikel wordt gemeld.

Het zou de tweakers redactie dan ook sieren om dit soort persberichten te checken op correctheid. Ook de SIDN zou zich als ze het zelf zo stellen niet moeten bedienen van dit soort borstklopperij die niet klopt.
Tsja, als je die weg op gaat kan je van alles beweren dat je de eerste bent, als je het beperkt tot iets waar je zelf het exclusieve gebruik hebt.

Ik vind het noemenswaardig dat men anycast gebruikt, maar die toevoeging dat ze de eerste zijn om hun eigen nationaal tld .nl extra te beveiligen is even misleidend als stellen dat ik de eerste persoon ter wereld ben die mijn Android telefoon heeft geroot.

[Reactie gewijzigd door Tom C op 4 december 2013 19:22]

Het artikel is erg misleidend, niet alleen DNS.be heeft al meerdere jaren anycast nameservers in gebruik, ook EURid voor .eu (wordt ook bij ccTLD's gerekend door ICANN), CZ.nic werkt tegenwoordig enkel nog met anycast technologie (de verschillende nameservers voor .cz zijn eigenlijk allemaal anycast servers met 2 of meerdere geografische nodes per anycast server), en ik ben er zeker van dat er nog een heel pak meer ccTLD's gebruik maken van anycast clusters.

Anycast (en DNSSEC) is zowieso de toekomst voor grote registries om hun nameserver infrastructuur en hun klanten te beschermen.

Edit: CZ.nic registry en nameserver setup: http://www.nic.cz/page/350/registry-system/

[Reactie gewijzigd door Valhorth op 4 december 2013 23:38]

Dat sidn .nl meer gedistribueerd neerzet is mooi nieuws. Het anycastgehalte in het artikel snap ik niet helemaal, dat zullen ze hierbij vast gebruiken maar dat is niet het bijzondere.

Anycast (anders gezegd: gebruik van duplicate ip's) maakt het voor niet connection based protocollen (zoals dns dat over udp loopt) mogelijk om om meerdere plekken dezelfde server neer te zetten met hetzelfde ip adres. Resultaat voor Internet is dan dat verkeer voor dat ip bij de dichtsbijzijnde (netwerktechnisch) host wordt afgeleverd en dat het pakketje als die host stuk is vanzelf terecht komt bij een andere host. Dat werkt prima voor alle services die een ťťn vraag ťťn antwoord principe hanteren, dan maakt het namelijk niet uit hoe vaak je topologie wijzigt, er is geen sessie die daar last van heeft.

Dit wordt voor dns vaker ingezet, het is een makkelijke manier om je dns over meerdere locaties redundant te krijgen zonder dat je clients aan moet passen, je zet gewoon meer servers met hetzelfde ip adres neer. Google zal het ook vast zo doen om 8.8.8.8 etc wereldwijd te gebruiken.

Maargoed, je moet iets verzinnen om je persberichten spannender te maken :)
connection based werkt prima hoor. Enkel als tijdens je sessie er een toplogiechange voorkomt en je op een andere server uitkomt heb je een een probleem. Dat geldt echter ook voor UDP verkeer dat is net zo goed een sessie maar dat wordt niet op laag 4 van het osi model geregeld.
Dat is waar, als je een erg stabiele topologie hebt kan je het breder toepassen.
Dus als ik het goed begrijp hebben alleen Leaseweb-gehostte websites hier profijt van?

Zo ja, is er bekend van meer webhosts die hier over na zitten te denken?
Op Leaseweb nameservers geregistreerde domeinen hebben hier profijt van, dat wil zeggen ze hebben hier profijt van als de nameservers van Leaseweb worden geDDoS'ed. En dit is denk ik ook de reden dat Leaseweb juist dit doet.. Leaseweb host nogal wat onguur spul, en hebben derhalve ook erg veel last van DDoS aanvallen. Qua Gigabits weten ze dat wel aardig af te wenden, omdat ze gewoon erg veel bandbreedte capaciteit hebben. Een nameserver is dan een aantrekkelijk alternatief doelwit om toch die ene Leaseweb site offline te krijgen.

Voor Leaseweb is deze stap dus meer een noodzaak terwijl dat bij andere partijen niet het geval hoeft te zijn.
"Hierdoor zouden .nl-domeinen die bij LeaseWeb beter zijn beveiligd tegen bijvoorbeeld denial-of-service-aanvallen"

De zin lijkt incompleet, maar vond dit wel cruciaal.
Bij leaseweb wat...? gehost worden? dus enkel bij LW gehost spul boeit? :)

Lijkt me wel, maar toch.. ff zekerheid! :)
Allemaal leuk en aardig maar dit heeft allemaal geen enkel nut. Laat ik dat aanvullen met: "in welke hoedanigheid dan ook". Problemen dienen bij de oorzaak te worden aangepakt. Men kan kunstjes verzinnen wat men wil, maar de veroorzaker past zich continue aan en zal derhalve wel weer andere manieren blijven vinden voor DDOS-aanvallen en zulks. Als men AL deze energie en AL dit geld nou eens op de oorzaak richtte, AL die afgelopen jaren, nee decennia zelfs, dan zag de wereld er al een heel stuk anders uit. De ene oplossing na de andere, de een kost nog meer energie en geld dan de ander - nog maar niet te spreken over all kosten die in research e.d. gingen zitten. Kap er mee; er is immers maar 1 veroorzaker en dat is de mens - daar moet het aangepakt worden - en HARD -, nergens anders.

[Reactie gewijzigd door CoreIT op 4 december 2013 20:12]

Zit er in jou redenatie ook een vorm van realiteiteszin? Je theorie is aardig, maar de wereld zit helaas niet zo simpel in elkaar dat je de bron(nen) van probleem kunt aanpakken. Obstakels als tijd, macht, bevoegdheid, fysieke locatie en menselijk onvermogen spelen o.a. een rol. Als alles mee zit dan wellicht.....nee - lapmiddelen zijn en blijven helaas nodig tegen acties van personen die een andere mening hebben dan wie hun tegen staat.
Realiteitszin? Nevermind. Ik ken geen realiteitszin. Laten we vooral onze energie blijven verspillen en het ontwikkelen van obstakels i.p.v. alle energie te richten op uitroeien van het daadwerkelijke probleem.

[Reactie gewijzigd door CoreIT op 4 december 2013 21:19]

In china zijn ze best goed met het in toom houden van mensen (internet-wise) is dat wat je wil?

De enige oplossing/hack (Met de huidige technologie) tegen een ddos is meer bandbreedte beschikbaar hebben. Dit omdat de data al op je netwerk binnenkomt voordat je deze kan droppen, en dus je uplink(s) vol lopen. En wat is de makkelijkste manier om (veel) bandbreedte te verkrijgen voor een stateless protocol? precies, Anycast! (en daarnaast kan je latency ook nog omlaag brengen!)

(Ondertussen wordt er door de grote spelers op de routermarkt druk gewerkt aan poteneiele oplossingen, zoals het gebruik van BGP signaling om gegevens al upstream te droppen)
-edit- nevermind
Beter ga ik een psychiater opzoeken.

[Reactie gewijzigd door CoreIT op 4 december 2013 22:28]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True