Ddos-aanvallen maakten Tweakers maandag- en dinsdagavond onbereikbaar

Twee ddos-aanvallen hadden tot gevolg dat Tweakers op maandag 9 en dinsdag 10 juli in de avonduren voor veel mensen niet te bereiken was. Tweakers heeft technische maatregelen genomen waardoor de aanval in de nacht van dinsdag op woensdag werd afgeslagen.

Het ging beide avonden om een zogenoemde syn-floodaanval, waarbij de tcp-handshake wordt ingezet om een server te overbelasten. De aanvaller stuurt daarbij een synchronize-bericht (syn) om een tcp-verbinding naar het doelwit op te stellen, maar reageert vervolgens niet op het verzoek om bevestiging (syn-ack) van het doelwit. Dat leidt ertoe dat een grote hoeveelheid half-open verbindingen ontstaan, die de server kunnen overbelasten.

We hebben in de afgelopen twee dagen met onze hostingpartner True verschillende maatregelen genomen die ervoor moeten zorgen dat dit soort aanvallen in de toekomst een minder grote impact hebben of geheel afgeweerd worden. Die oplossing bestaat enerzijds uit een extra firewall en configuratieaanpassingen en anderzijds uit een nieuwe samenwerking met NBIP, een non-profitorganisatie die met haar NaWas-dienst al het inkomende verkeer voor ons filtert. Dat inkomende verkeer wordt gescrubd van ongewenste pakketjes, zoals die van een ddos-aanval. Het uitgaande verkeer richting clients blijft direct verlopen. Daarmee is de werking vergelijkbaar met een dienst als Cloudflare.

We willen via deze weg onze vrienden bij True enorm bedanken voor hun hulp in de afgelopen dagen. Diverse mensen, op diverse locaties - één persoon zelfs vanaf een vakantieadres - hebben tot in de late uurtjes doorgewerkt om Tweakers zo snel mogelijk weer stabiel te krijgen. Dank daarvoor.

Lees meer

Reacties (198)

198

187

135

Wijzig sortering

kcRogue 11 juli 2018 14:51

Beetje vage steek naar Cloudflare, dat gewoon prima edge servers heeft staan in NL...

bron: https://www.cloudflare.com/network/

SomerenV @kcRogue • 11 juli 2018 14:52

Maar het blijft een Amerikaans bedrijf. Wat dat betreft vind ik het wel mooi dat er gebruikgemaakt wordt van hulpmiddelen/diensten die van eigen bodem komen.

Baris @SomerenV • 11 juli 2018 14:56

Met die gedachtegang kun je alle producten wel in twijfel trekken

Cloudflare doet veel voor de internetgebruikers, waaronder de 1.1.1.1 dns die laatst is uitgebracht. Lees hun blogs eens

SomerenV @Baris • 11 juli 2018 15:03

Oh, ik ontken ook niet dat ze veel doen voor internetgebruikers en ze bieden mooie diensten, maar Nederlandse dienst > Amerikaanse dienst. Zeker een website als Tweakers.net siert het als ze voor nationale initiatieven kiezen vind ik.

Rhy @SomerenV • 11 juli 2018 15:23

Opzich heb je daar wel een punt, maar dan vraag ik me onmiddelijk af hoe je tegenover CDN platformen staat als Amazon AWS / S3 / Cloudfront. Dus waarom heeft Tweakers niet 'gewoon' gekozen voor CloudFlare? *edit* echt vanwege dat NL vs USA verhaal??

[Reactie gewijzigd door Rhy op 25 juli 2024 01:56]

Kees BOFH

Servers
Ddos

@Rhy • 11 juli 2018 17:36

Waar lees je dat? Volgens mij is dat niet het enige waarom we die beslissing hebben genomen namelijk. En ik kan het weten, ik heb hem genomen

De redenen voor NaWas zijn
- Geen configuratiewijzigingen aan onze kant nodig, dus snel in en uit te zetten
- Support door True, waar we gewoon veel lijntjes en een goede band mee hebben

Bonuspunten:
- Nederlands
- Stichting
- Geen ondoorzichtig bedrijf er tussen waar je bij een storing met lege handen staat
- Geen mitm en alle daarbij behorende kopzorgen

Verwijderd @Kees • 11 juli 2018 22:05

De vraag is in dit geval 'Wat is MITM?'. NaWas levert verschillende diensten en dus ook het aftappen van verkeer. Zo is een firewall van Arbor ook gewoon een sterke firewall voor het 'filter' en 'monitoren' van verkeer.

Ik ben het eens met de redenen voor NaWas. Maar ik kan vrijwel nergens terugvinden wat de huidige capaciteit is op dit moment en op welke layers (osi) NaWas bescherming biedt. Filteren van content of floods op applicatieniveau is specialistisch werk. NaWas is volgens mij op dit moment effectief tegen de 'simpele' aanvallen, zoals SYN-floods etc.

Een vergelijking van NaWas met CloudFlare en OVH is op dit moment niet echt te doen denk ik zelf. Deze twee partijen (OVH/CF) zijn gelijk de twee beste partijen als je te maken hebt met zware aanvallen en zien permanente mitigatie als 'basis' voor een goede infrastructuur.

-- Offtopic --
Zo ben ik begonnen met het hosten van verschillende gameservers bij OVH en de machines waren binnen no-time plat tijdens zware aanvallen. Dit ging vaak in combinatie met Doxing etc. Ik ben een lange tijd op zoek geweest naar een permanente oplossing. De support kon niets doen (gelijk ook een nadeel van OVH). De oplossing was heel dichtbij. Namelijk de Anti-DDoS Game oplossing. Filtering per gameserver en het whitelisten van legitiem udp verkeer. Na de migratie nooit meer problemen gehad.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 01:56]

wica @Verwijderd • 11 juli 2018 22:51

Een vergelijking van NaWas met CloudFlare en OVH is op dit moment niet echt te doen denk ik zelf. Deze twee partijen (OVH/CF) zijn gelijk de twee beste partijen als je te maken hebt met zware aanvallen en zien permanente mitigatie als 'basis' voor een goede infrastructuur.

Ik denk dat je NaWas niet kan vergelijken met een CloudFlare of CloudFront. OVH ken ik zelf niet.

NaWas werkt alleen voor bedrijven die op de AMS-IX aangesloten zijn (op dit moment).
Dit is omdat, het verkeerd via BGP omgeleid wordt naar NaWas.
NaWas stuurt het schone verkeer vervolgens weer via AMS-IX naar jouw. Als of het nooit door de NaWas is gegaan. Vandaar dat tweakers ons ook zelf beantwoord.

Bij CF, zet je CF als een soort proxy voor je eigen HTTP(S) diensten. En regel je het via je DNS.
Wat zoals Kees al aangeeft, idd meer config werk opleverd.

Verwijderd @wica • 12 juli 2018 05:36

Ja, dat is zeker waar voor CloudFlare. CF gebruik ik vrij veel als reverse roxy.

OVH heeft permanente mitigatie en is dus vergelijkbaar met NaWas. Verkeer wordt omgeleid via de firewalls tijdens detectie. Dit kan ik op technisch vlak niet beoordelen, omdat NaWas weinig info heeft.

Layer 7 wordt vaak vergeten en ik kan weinig vinden over de bescherming van NaWas. Behalve dat het helpt tegen basis-aanvallen.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 01:56]

CH4OS @Verwijderd • 17 juli 2018 11:57

Laat antwoord, maar in dit geval zou CloudFlare de 'Man in the Middle' zijn; CloudFlare gebruikt eigen SSL/TLS-certificaten en kan dan eventueel via HTTPS verbinden naar de daadwerkelijke host, alwaar je dan zelf andere SSL/TLS-certificaten hebt, bijvoorbeeld via Let's Encrypt.

[Reactie gewijzigd door CH4OS op 25 juli 2024 01:56]

Verwijderd @CH4OS • 17 juli 2018 15:25

Snap ik, maar dat bedoel ik niet. Het gaat mij niet om de werking van CloudFlare, maar om het feit dat NBIP ook gewoon een aftapdienst is en dus een MITM.

CH4OS @Verwijderd • 17 juli 2018 15:32

CloudFlare is een bedrijf, waar NBIP een stichting is. De een is uit op winst (al dan niet door advertenties na profilering etcetera), de ander kan geen winst maken en hoeft dingen dus niet 'om het geld' of ander gewin te doen.

SomerenV @Rhy • 11 juli 2018 15:29

Ik heb er echt de ballen verstand van, maar ik zie het zo.
Amerikaanse aanbieders kunnen de aanval afweren want grotere 'pijplijnen'
Nederlandse aanbieder kan aanval afweren ondanks kleinere 'pijplijn'

Dus waarom zou je dan niet voor Nederlands kiezen?

Jeoh @Rhy • 11 juli 2018 19:39

CDN platformen als AWS, AWS, en AWS?

Als je niet weet waar je het over hebt, post dan niet.

StefanJanssen @Jeoh • 11 juli 2018 21:13

Inderdaad, hoe kan AWS nou vergeten worden?

mkools24 @Rhy • 11 juli 2018 17:58

CF heb ik vervangen door Sucuri omdat CF niet eens een simpele layer 7 HTTP flood kon afslaan. Ja je kunt dan support krijgen voor 200 dollar per maand laat maar zitten.

Cloudflare is m.i. overrated en werkt alleen goed als je veel betaalt.

[Reactie gewijzigd door mkools24 op 25 juli 2024 01:56]

GrooV @SomerenV • 11 juli 2018 15:03

Klopt alleen is de NaWas alleen mogelijk voor ISP's en mensen die hun eigen ip space en peering met de AMS-IX regelen. CloudFlare werkt voor iedereen met een domeinnaam met hosting.

Eventueel kan je OVH's SSL gateway er voor zetten https://www.ovh.com/world/ssl-gateway/ als simpel CF alternatief (is alleen geen WAF)

Of bijvoorbeeld Severius, wat ook NL bedrijf is, gebruiken, https://serverius.net/ddos-protection-comparison/

[Reactie gewijzigd door GrooV op 25 juli 2024 01:56]

BliXem @GrooV • 11 juli 2018 15:29

+1 voor anti ddos van Serverius! Werkt echt super goed!

CyberMania @SomerenV • 11 juli 2018 14:53

+1 ook beter voor de lokale economie

[Reactie gewijzigd door CyberMania op 25 juli 2024 01:56]

GrooV @CyberMania • 11 juli 2018 15:06

NaWas is een initiatief van de NBIP wat een stichting is, dus zo goed voor de economie is het ook weer niet

[Reactie gewijzigd door GrooV op 25 juli 2024 01:56]

robvanwijk @GrooV • 11 juli 2018 18:00

NaWas is een initiatief van de NBIP wat een stichting is

Dat is juist nog beter. Een bedrijf maakt (als alles goed gaat) winst, die bij de eigenaar blijft hangen, terwijl een stichting in heel veel opzichten lijkt op "een bedrijf dat geen winst mag maken". Al het geld dat daar naartoe gaat (een stichting mag prima geld in rekening brengen voor geleverde diensten en kan gewoon werknemers is dienst hebben) kan immers niet afgeroomd of opgespaard worden en moet in zijn volledigheid terug de economie in. Ik heb geen flauw idee of NaWas betaald of gratis is; als het gratis is lijkt het me echter een nog veel betere reden om daarvoor te kiezen in plaats van Cloudflare te betalen; alle winst die zij maken verdwijnt immers naar de VS.

CivLord

@robvanwijk • 11 juli 2018 19:48

Een stichting is een rechtsvorm die zo'n beetje alles kan en mag wat een rechtsvorm als een BV of NV ook kan en mag.
Het grootste verschil is dat een stichting geen eigenaar heeft, alleen een bestuur (en wanneer er activiteiten zijn kan er gewoon personeel in dienst zijn). En er is geen fiscaal gunstige manier om winst uit een stichting te krijgen (zoals een dividend uitkering aan aandeelhouders van een BV of NV).
Daarom is een Stichting totaal oninteressant voor een bedrijf dat verwacht om winst te maken en deze winst aan de eigenaars/ bestuurders uit wil keren. Maar er is geen juridische belemmering om in een stichting een groot commercieel miljoenenbedrijf te runnen.

jesse111 @GrooV • 11 juli 2018 15:08

Hoezo? Bij een stichting werken ook mensen hoor. Als een stichting groeit zijn er ook meer werknemers nodig en steunt dat dus weer de lokale economie

Geim @GrooV • 11 juli 2018 16:36

Stichtingen zijn juist heel goed voor de economie.
Buiten wat jesse111 zegt, vloeien alle winsten die een stichting maakt terug naar de stichting en mogen alleen gebruikt worden, daar waarvoor de stichting is opgericht. Geen aandeelhouders die op snel geld uit zijn dus.

MadEgg @SomerenV • 11 juli 2018 15:00

Eens, mooie oplossing. Heb ik liever dan dat de er een dienst uit de VS bij betrokken wordt. Chapeau, Tweakers! $_/-\o_$

johnkeates @SomerenV • 11 juli 2018 15:22

Dat maakt geen zak uit en is in geen enkele vorm te vergelijken met CloudFlare of andere grote CDNs. De wedstrijd in DDoS vs. CDN zit hem in de grootste pijp hebben en de beste mensen, en geen van beide kan je in NL vinden.

slijkie @kcRogue • 11 juli 2018 15:58

Ik blijf Cloudflare tig maal horen overal. Omdat toevallig die het bekendste is hieronder. Dit wil niet zeggen dat Cloudflare de meester is in ddos preventie.

Verwijderd @slijkie • 11 juli 2018 16:29

Omdat ze juist zo groot zijn hebben ze enorme capaciteit om een DDOS op te kunnen vangen / af te kunnen slaan.

mkools24 @Verwijderd • 11 juli 2018 18:03

Ja maar je krijgt toch niet altijd de grootste ddos? Lijkt me dat je afhankelijk van het type en grootte van de aanvallen de beste oplossing kiest en niet persee de grootste capaciteit. Al die ddos aanvallen zijn tegenwoordig toch allemaal Layer7 dus een dkke pijp is vaak al niet meer nodig, dankzij CF, OVH etc. hebben bandbreedte aanvallen eigenlijk geen zin meer.

teacup @slijkie • 11 juli 2018 22:23

Een typisch verschijnsel van deze tijd. Bekend en populair zijn, of het hardst van de daken schreeuwen dat je dat bent, is tegenwoordig heel effectief om je spullen aan de man te brengen. En we weten dat Amerikanen hard kunnen schreeuwen, en ze kunnen ook erg tevreden zijn over wat ze kunnen.

Die spullen kunnen nog best wel goed zijn ook, dat kan ik niet beoordelen, maar op een of andere manier lijkt dat niet hetgeen te zijn waar mensen tegenwoordig gevoelig voor zijn, en wat die Cloudflare zo populair maakt. Zijn er nadelen? Het blijkt een Amerikaanse cloudoplossing te zijn. Veel meer hoef ik niet te zeggen denk ik.

xDiglett @slijkie • 11 juli 2018 16:46

Cloudflare is de beste op het gebied van DDoS preventie omdat zij de meeste capaciteit hebben.

[Reactie gewijzigd door xDiglett op 23 juli 2024 04:36]

mkools24 @xDiglett • 11 juli 2018 18:05

Beste op layer 4 ddos dus maar dit was geen Layer 4 aanval. Dit was meer een soort slowloris.

xDiglett @mkools24 • 11 juli 2018 19:29

Cloudflare helpt hier ook tegen:
https://www.cloudflare.co...s-attack-tools/slowloris/

knutsel smurf @xDiglett • 11 juli 2018 19:22

Het zijn van de grootste is potentieel ook nadelig. Kijk maar eens naar een de hack op dyn vorig jaar.
Een voordeel van nbip is dat ze door klein te zijn een hele mooie specifieke dienst kunnen aanbieden die mijns inziens beter is afgestemd op de gebruikers.

Verwijderd @kcRogue • 11 juli 2018 15:12

Cloudflare is geen holy grail. Een site van mij met een paar duizend bezoekers per dag werkte o.a de payment optie ineens niet meer, wekenlang zitten dibben met support van cloudflare, we kwamen er echt niet uit ondanks whitelisten van tientallen ip adressen. Uiteindelijk cloudflare gestaakt. Het enige goede eraan is is dat je het IP achter de website kunt masken maar verder ook niet.

Als je je website fatsoenlijk ook in elkaar steekt dan heb je die optimalisatie's zoals minify, compressie en noem maar op helemaal niet nodig.

mkools24 @Verwijderd • 11 juli 2018 20:18

Mijn ervaring is ook dat zonder Cloudflare alles sneller lijkt en je kunt idd heel veel zelf al doen.

Verwijderd @mkools24 • 11 juli 2018 22:21

Dat is de ervaring. Totdat je server wereldwijd snel en bereikbaar moet zijn. Dan is CloudFlare gewoon erg krachtig.

ViperXL @Verwijderd • 11 juli 2018 18:05

Je had het betreffende JS bestand kunnen whitelisten dan zou het geen probleem moeten zijn. Heb zelf inderdaad dat probleem ook ervaren met onze klanten, wij bieden standaard CF aan als optie.

Auteur

WoutF Hoofdredacteur @kcRogue • 11 juli 2018 14:58

Totaal niet bedoeld als steek, misverstand over locaties van servers. Heb het dus weggehaald

Frozen @WoutF • 11 juli 2018 15:01

Ik neem aan dat het meer met de financiële kant te maken heeft.

NBIP, een non-profitorganisatie die met zijn NaWas-dienst al het inkomende verkeer voor ons filtert.

Richh

@Frozen • 11 juli 2018 15:07

Want non-profitorganisaties zijn gratis?

Ook die moeten de kosten dekken, en door op kleinere schaal te opereren zijn ze misschien wel duurder.

Ik denk dat er ook genoeg andere argumenten zijn om juist voor zo'n dienst te kiezen.

RobbyTown

@kcRogue • 11 juli 2018 14:53

Klopt maar wie kan garanderen dat data dan op NL grond word opgeslagen en niet ergens in de VS...

Milosonator @kcRogue • 11 juli 2018 14:59

> maar dan op eigen grondgebied, met een veel lagere latency tot gevolg.

Ik vat dat dan maar op als dat deze dienst zich in hetzelfde datacenter bevind, en dusdanig een orde grootte minder latency heeft (orde 1-2ms naar orde 0.1-0.2ms). Maar een dergelijke keuze heeft natuurlijk meer om handen.

biteMark @kcRogue • 11 juli 2018 18:55

Hoe is dit nou weer een steek?! Het wordt als voorbeeld aangehaald omdat veel meer mensen bekend zijn met Cloudflare dan met NBIP!

Over afkortingen gesproken: SJW!

AW_Bos

@kcRogue • 11 juli 2018 17:47

Cloudflare is wel leuk, maar als je IP-logging op je servers op orde wilt houden, moet je de originele IP's uit speciale headers halen, welke CF meestuurt. Je moet dus je setup aanpassen. Anders krijg je allemaal CF IP-adresjes.

Verwijderd @AW_Bos • 12 juli 2018 08:10

IPs? Je bedoelt die dingen die je uit hoofde van GDPR toch al heel snel moet anonimiseren?

AW_Bos

@Verwijderd • 12 juli 2018 09:33

Als de logs openbaar zijn. Maar dat is echt niet het geval.

Verwijderd @AW_Bos • 12 juli 2018 16:50

Nee, ook als de logs niet openbaar zijn is de toepassing van de wet hetzelfde.

AW_Bos

@Verwijderd • 12 juli 2018 18:31

Ip's zijn niet persoonsgebonden.

Verwijderd @AW_Bos • 12 juli 2018 18:54

Hof van Justitie van EU is niet met je eens: https://louwersadvocaten....adres-is-persoonsgegeven/

ViperXL @AW_Bos • 11 juli 2018 18:03

Daarvoor kun je gewoon een mod installeren

AW_Bos

@ViperXL • 11 juli 2018 19:50

Klopt, maar in een hele serverfarm voor Tweakers is er vast meer iets meer logging dan enkel de webserver.

[Reactie gewijzigd door AW_Bos op 25 juli 2024 01:56]

MainframeX @kcRogue • 11 juli 2018 15:04

EDIT: Niet meer relevant.

[Reactie gewijzigd door MainframeX op 25 juli 2024 01:56]

Septimamus 11 juli 2018 14:53

Wel ironisch. Ik wou mijn netwerk verbinding testen van een nieuwe wifi hotspot. Ik bedacht me om Tweakers te gebruiken want die ligt er eigenlijk nooit uit. Nou toevallig dit keer wel waardoor ik mijn Wifi hotspot opnieuw heb ingesteld. Daarna nog steeds geen Tweakers. Voor de zekerheid een andere site en jawel. Zal je net zien precies op dat moment.

Top dat het zo snel weer is opgelost. Je merkt pas hoe erg je dingen mist als ze weg zijn.

Richh

@Septimamus • 11 juli 2018 15:12

Ook ik gebruik Tweakers regelmatig als netwerktest

Rhy @Septimamus • 11 juli 2018 15:26

dat had ik ook met finetunen van mijn nieuwe pi-hole configuratie. Twee uur zitten rommelen, maar met een andere DNS deed die het ook niet. Dus dat is met dit 'persbericht' ook weer opgehelderd.

rookie no. 1 @Septimamus • 11 juli 2018 17:16

Hé toevallig, ik was precies met hetzelfde bezig en wat firewall instellingen en ging helemaal twijfelen aan de eigen configuratie aangezien ik Tweakers zeldzaam offline zie.

Engineer @Septimamus • 11 juli 2018 19:44

Na ping tweakers.net even ping google.com proberen was niet makkelijker geweest?

Als die beide niet reageren weet je zeker dat het internet offline is, en niet iets op de route naar tweakers.net (dns / ip route / t.net zelf)

Septimamus @Engineer • 12 juli 2018 06:39

Op een telefoon niet nee.

HollowGamer 11 juli 2018 14:52

Thanks voor de update Tweakers!

Ik hoop dat dit de aanvallen stopt en diegene die erachter zit kunnen achterhalen.

Zoals al eerder aangeven vond ik het jammer om niks te lezen als een banner (wanneer site up was) en/of bericht op Twitter op dinsdag en woensdag. Het is inderdaad goed om de DDoS'er geen aandacht te geven, maar wij als gebruikers zijn wel betrokken en willen graag ook weten hoe en wat we eventueel zelf kunnen doen tegen dit soort aanvallen.

Gelukkig komen jullie er nu op terug. Nogmaals succes en bedankt ook aan jullie partners.

Keypunchie @HollowGamer • 11 juli 2018 15:04

Allereerst, pluim voor True. Maar ben het met @HollowGamer eens dat een mededeling-banner wel had gekund.

Nu zat ik dan toch in eerste instantie ook wat ping-testjes e.d. uit te voeren om te kijken of het misschien aan mijn route door het netwerk lag.

@Soldaatje De bereikbaarheid was wisselvallig. Een banner zou in de vorm van notificatie kunnen zijn, zoals tweakers wel vaker doet bij akties, e.d.

[Reactie gewijzigd door Keypunchie op 25 juli 2024 01:56]

Soldaatje @Keypunchie • 11 juli 2018 15:07

Ik keek op isitdownrightnow.com dan weet je of het bij jouw zit of een aanval is. En op twitter stond het ook.
Een banner is denk ik niet mogelijk.

Yggdrasil

@Keypunchie • 11 juli 2018 15:33

Maar hoe kun je een banner tonen als je site niet of nauwelijk laadt?

NickyVDP @Keypunchie • 11 juli 2018 15:37

Je maakt het voor jezelf lastig. Als je op het trefwoord tweakers zoekt op twitter dan zie je dat meerdere mensen er last van hadden en dat het niet aan jou kant lag.

Neko Koneko @Keypunchie • 11 juli 2018 16:02

Of je trekt gewoon zelf de conclusie dat er weer een of andere kleuter bezig is wanneer een site als Tweakers, die normaal gesproken best rap is, opeens niet meer vooruit te branden is

BLACKfm @Keypunchie • 11 juli 2018 16:28

Gezien het relatief vaak gebeurd de laatste tijd was het testen 'of de rest van het internet' het wel deed voldoende om er achter te komen dat t.net weer down was. Als half t.net gebruikend Nederland (e.o.) even gezellig wat pingtest gaat lopen uitvoeren schiet het natuurlijk niet echt op.

Verwijderd @HollowGamer • 11 juli 2018 15:17

Op het twitter account van tweakers stond wel een mededeling dat er een DDOS aanval plaats vond en tweakers om die reden moeilijk te bereiken was.

HollowGamer @Verwijderd • 11 juli 2018 15:20

Die stond er maandag, maar die zie je niet meer bovenaan staan als je nieuwsberichten wel (automatisch) blijft plaatsen, maar dus vervolgens de site niet werkt.

Verwijderd @HollowGamer • 11 juli 2018 18:17

Klopt, die stond er op 9 juli. Maar je kunt op je vingers natellen dat er 'dus' iets aan de hand zou kunnen zijn wat dat betreft gisteren, toch?

zenlord 11 juli 2018 15:01

Kan zo'n aanval niet gewoon middels een firewall worden afgeslagen? Zoiets in de zin van
nft add rule inet filter input tcp flags & (fin|syn) == (fin|syn) drop
nft add rule inet filter input tcp flags & (syn|rst) == (syn|rst) drop
nft add rule inet filter input tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) drop # == 0 would be better, not supported yet. null packet
nft add rule inet filter input tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) drop

ndonkersloot @zenlord • 11 juli 2018 15:06

Nee, hoe weet je wat valide requests zijn en wat niet?

x86dev @ndonkersloot • 11 juli 2018 15:14

Daarvoor heb je IDS en IPS.

ndonkersloot @x86dev • 11 juli 2018 15:18

Niet echt..

Vaak gebeurt een DDoS in een botnet met duizende clients.
Als iedere client een valide request doen die vervolgens niet meer bevestigd wordt doet IDS en IPS hier helemaal niets mee.

Buiten dat is een SYN Flood één van de vele manieren om een DDoS op te zetten.

Snow_King

@x86dev • 11 juli 2018 16:11

En laat nou IDS en IPS als eerste omvallen bij een DDoS omdat ze de vele nieuwe requests/sec niet aan kunnen.

Bij een DDoS kunnen er (honderd)duizenden packets/s binnen komen met SYN, een IDS en IPS gaat daar snel op onderuit.

x86dev @zenlord • 11 juli 2018 15:06

Dan moet je wel een firewall hebben die zoveel packets per seconde kan afslaan.

johnkeates @zenlord • 11 juli 2018 15:27

Dat helpt niet als je meer dan 1.4Mpps hebt. nftables kan wel hard, maar de NICs kunnen meestal nog maar ergens tussen en 1 en 2 Mpps.

Verwijderd @zenlord • 11 juli 2018 15:32

If (visitor) is unknown then wait 5 seconds.
end

ZeromaNoiS @Verwijderd • 11 juli 2018 16:24

En hoe bepaald je wie de visitor is? Dat kost ook rekenkracht. Het is een beetje kip of ei verhaal.
Waar het op neer komt bij een ddos aanval is dat elke bewerking of berekening die je op het verkeer los laat resources kost en dat is dus het hele ding, de aanval is groter dan jouw beschikbare resources dus ga je plat.

Als het afslaan van dit soort aanvallen zo simpel zou zijn als jij denkt te beredeneren dan zouden ze niet meer voorkomen.

MadEgg @zenlord • 11 juli 2018 15:04

Dat ze daar nou niet eerder op gekomen zijn, dat had ze een hoop zweterige uurtjes bespaart

[Reactie gewijzigd door MadEgg op 25 juli 2024 01:56]

zenlord @MadEgg • 11 juli 2018 16:45

Grappig, maar hoe vaak moet er niet eerst iets ernstigs voorvallen voordat er actie wordt ondernomen?

Mijn post bevat eigenlijk (zeer goed verborgen weliswaar) de vraag: zouden deze firewall-regels thuishoren in de firewall van mijn (prive) site-je? Ik ga de vraag in alle gevallen (ook) stellen waar ze thuishoort, en dus niet in de comments hier

Loekie

@zenlord • 12 juli 2018 17:09

Hangt er maar net van af wat je denkt/hoopt te bereiken, vaak zul je in een dergelijk geval tegen de grenzen van de infra richting het internet aanlopen. Daarnaast zijn er vaker aanvallen op applicatie-niveau waar evt input van je applicatie gebruikt kan worden om je firewall mee te voeden.

TheWizard 11 juli 2018 15:21

waarom zou je in godsnaam Tweakers willen DDossen ,vraag me af wat het motief is, stoerdoenerij ?, iets te verhitte discussie met 1 v,d Tweaker Admins ?

kom op man ,ik ga er even vanuit dat Meneer dit leest , gebruik je Woorden op het Forum hier als je meningen hebt of anderzijds het ergens mee oneens bent , Tweakers prob plat te leggen is not done

Anonymoussaurus @TheWizard • 11 juli 2018 15:30

https://gathering.tweaker...message/55805863#55805863

jdh009 @TheWizard • 11 juli 2018 16:34

Een van de motivaties zou kunnen zijn Om op deze manier op de frontpage te komen. Je geeft een gebruiker nu de eer dat er een artikel aan hem/haar gewijd wordt en ook nog eens een honderdtal gebruikers reageren op zijn ‘meesterwerkje’.

Verwijderd @TheWizard • 11 juli 2018 17:40

Je moet het ongeveer zoeken in de zelfde hoek als van die mannetjes die het leuk vinden om een baksteen door een bushokje heen te gooien. Uitermate kwalijk gedrag, maar gelukkig groeien de meeste kwajongens er op den duur overheen. Het is niet meer en het is niet minder.

johnkeates 11 juli 2018 15:32

Er is geen enkele reden waarom Tweakers niet achter cloudflare kan zitten, behalve politiek en emotie.
Je kan gewoon een bewerkersovereenkomst sluiten, dan ben je GDPR-compatible, je kan je upstream en downstream allebei met eigen SSL certs, of met CF certs met TLS versleutelen, en je kan een PoP in Amsterdam of ergens anders in de buurt eigenlijk altijd wel bereiken. Er is geen NL service met dezelfde capaciteit en kundigheid, hoe graag je het ook wil.

Zelfs een gratis basic CF account is meer dan genoeg.

De oplossingen die aangedragen worden zijn in geen enkele vorm te vergelijken met CloudFlare of andere grote CDNs. De wedstrijd in DDoS vs. CDN zit hem in de grootste pijp hebben en de beste mensen, en geen van beide kan je in NL vinden, niet commercieel inzetbaar in elk geval. Daarnaast is DDoS bescherming niet een geval van een magische doos in je netwerk opnemen, als dat zo was hadden we er op de wereld een stuk minder last van gehad.

MadEgg @johnkeates • 11 juli 2018 17:47

Je kunt het op straat ook 99% veilig maken door de straten vol ME te zetten. Je kunt geüploade content ook één-voor-één gaan bekijken om illegale uploads te voorkomen. Je kunt nieuwe virusinfecties voorkomen door de internetstekker uit je modem te trekken.

Of het nodig is is een heel ander verhaal. Die paar keer dat er een DDOS is die Tweakers niet aankan verantwoorden de oplossing naar mijn mening niet. Het is vervelend, maar voorlopig ook weer opgelost. Nu hopen dat ze de dader pakken.

Er is echt geen reden om al het verkeer maar via een Amerikaanse partij te sturen. Politiek en emotie of niet, ik ben blij dat Tweakers daar niet voor heeft gekozen.

johnkeates @MadEgg • 11 juli 2018 17:57

Alsof het verkeer nu niet op een of andere manier via een Amerikaanse partij gaat. We kunnen wel doen alsof NL op zichzelf staat, maar dat is ook gewoon onzin. CF basic kost niks en doet 99% van wat je nodig hebt. Als je die ene 1% bent die speciaal is (en dat is tweakers qua volume en techniek gewoon niet, wat helemaal niet erg is) dan zou je nog verder kunnen kijken. Doen alsof alle Amerikaanse bedrijven slecht zijn slaat ook nergens op. Bovendien is tweakers ook niet speciaal genoeg om dat niet te kunnen, er zijn veel meer sites met meer bezoekers, data en transacties die in NL zitten maar ook gewoon achter CF zitten, en die hebben daar ook geen probleem mee.

Op dit moment zit je met Tweakers sowieso al lekker JS uit te voeren van Google bij elke pageview (d.m.v. Google Tag Manager - USA!, Google Analytics - USA!, Google Ads - USA!, DoubleClick, ook USA!), draait de software nog op Apache (2.2.15 oid) wat ook grotendeels in de USA gemaakt wordt door FOSS vrijwilligers maar ook mensen die voor Amerikaanse bedrijven in de FOSS sfeer werken, gehost in repo's uit USA, die op z'n best dan in NL gemirrord worden. En dat geldt natuurlijk ook voor de kernel, het OS, de DB, alles eigenlijk wel.

En als we dan toch bezig zijn met het grote enge 'oh nee de amerikanen kunnen misschien bij het verkeer': Tweakers draait bij True, en die zitten met hun suite in TeleCity en dat is van TeleCityGroup en dat is overgenomen door Equinix en dat is een Amerikaans bedrijf. En peering over AMSIX is dan misschien nog redelijk NL, maar sinds AMSIX ook in USA zit vallen ze voor het USA hoger gerechtshof onder de USA wet en daarmee kunnen geheime diensten (in het geheim) tappen op AMSIX. Dat is op papier verboden, maar we weten allemaal wel dat geheime diensten daar niet echt wat mee hebben.

Dus, is het erg als Tweakers een bewerkersovereenkomst met CF zou hebben en ze als CDN en Proxy en DDoS bescherming gebruiken? Nee. En je kan het met een simpele gameserver change aan en uit zetten on-demand, en dat duurt op z'n ergst de tijd van de TTL van je DNS zone.

[Reactie gewijzigd door johnkeates op 25 juli 2024 01:56]

MadEgg @johnkeates • 11 juli 2018 17:59

Dat andere sites het doen betekent toch niet dat Tweakers het ook hoeft de doen? 99.9% van de tijd dat ik op Tweakers zit heb ik geen last van DDOS. Voor die 0.01% hoeft er echt geen aparte dienst tussen gehangen te worden.

johnkeates @MadEgg • 11 juli 2018 18:00

Dus dat jij 99.9% van de tijd geen last hebt van een DDOS op tweakers hebben andere mensen er ook geen last van? Voor die tijd dat andere mensen er wel last van hebben is er echt geen reden om geen gratis dienst te gebruiken die nagenoeg elke DDoS kan afhandelen.

MadEgg @johnkeates • 11 juli 2018 18:41

Dat mag jij vinden. Er zijn ook genoeg mensen die er geen kwaad in zien om Google DNS als DNS server te gebruiken. Ik wel. Gratis diensten zijn sowieso niet te vertrouwen.

Je hoeft het niet met me eens te zijn, maar ik ben blij dat Tweakers géén Cloudflare gebruikt en ik zou als ze dat wel gaan doen ook zeker mijn Tweakers abonnement opzeggen. Vind ervan wat je wilt, maar zo ligt het voor mij.

johnkeates @MadEgg • 11 juli 2018 18:59

En alle andere dingen die Tweakers wel gebruikt dan? En andere sites die jij gebruikt die wel CloudFlare gebruiken? Meet je dat met dezelfde maten?

MadEgg @johnkeates • 11 juli 2018 20:20

Vanzelfsprekend. Zaken als Akamai en Cloudflare zijn een reden voor mij om driemaal na te denken of ik die site echt nodig heb en ik doe veelal een nieuwe poging om een alternatief te vinden. Sowieso neem ik daar geen abonnementen af.

Andere dingen die Tweakers wel gebruikt: jammer voor Tweakers maar die blokkeer ik. Alle trackers worden simpelweg geblokkeerd. Ter compensatie heb ik dus een abonnement al vind ik het vrij jammer dat ik dan alsnog trackers moet blokkeren - het abonnement verwijderd alleen de ads. De zaken die je noemt van Google draaien bij mij dan dus ook niet. Noch van Scorecard, Krux en Visual Website Optimizer.

Ik heb een tijdje getracht om Cloudflare proxies volledig te blokkeren maar helaas is dat te rigoureus, dus nu krijg ik alleen een melding.

Software die oorspronkelijk gehost wordt vanuit de VS is een ietwat andere zaak - zolang die geen phone home behavior heeft is dat mij prima. Die grootschalige datavergaring daar in de VS, dat is de kwalijke zaak. Niet de software die daar ontwikkeld wordt.

Verwijderd @johnkeates • 11 juli 2018 16:12

Volgens mij heb ik deze comment al op 2 plekken gelezen, en wel een keer of 3. Ben jij die figuur die werkt voor Cloudfare?

johnkeates @Verwijderd • 11 juli 2018 17:40

Nee, en al zou ik voor CloudFlare werken, dan nog is het niet minder waar. Er was wel iemand anders in het storing topic die wel voor CloudFlare werkt, misschien dat je die in gedachten had?

Maar om op CF in te gaan: het werkt gewoon goed, en voor de prijs en functionaliteit kan je het als 99% van de NL sites niet beter doen. Bovendien geldt ook: als je CF gebruikt is je site niet down, en als je het niet gebruikt is je site wel down, zo zwart-wit kan het zijn.

[Reactie gewijzigd door johnkeates op 25 juli 2024 01:56]

wildhagen

Ddos

11 juli 2018 14:52

Ik vind het echt te triest voor woorden al die DDoS-attacks. Hoe triest is iemand die zoiets uitvoert?

Als je dan zonodig andere mensen wil treiteren, neem dan familie of vrienden van je onder (digitaal) vuur, ipv een hele grote groep mensen te duperen. Houdt het lekker in je eigen omgeving.

Ik vind dat het Team High-tech Crime van de politie hier wel eens op zoek zou mogen gaan naar de daders en ze dan strafrechterlijk laten vervolgen voor hun misdrijf.

Dit geldt dan natuurlijk voor DDoS in zijn algemeenheid, niet specifiek die op deze site gericht zijn.

[Reactie gewijzigd door wildhagen op 25 juli 2024 01:56]

Verwijderd @wildhagen • 11 juli 2018 15:12

Een DDoS aanval kan heel effectief zijn als je de site langere tijd (bijvoorbeeld een week) totaal offline kan gooien. Veel klanten vertrekken dan en komen niet meer terug en het bedrijf gaat failliet, zeker als het een webwinkel is.

Dan heb je een keus: betalen of failliet gaan.

Gelukkig zijn er op dit moment nog technische maatregelen te nemen, maar als zo dadelijk miljoenen IoT apparaten worden gebruikt dan zie ik dat niet meer lukken. Dan gaat de site gewoon echt voor langere tijd plat.

Zeker voor een bank kan dit funest zijn en zelfs leiden tot een financiële crisis.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 01:56]

BLACKfm @Verwijderd • 11 juli 2018 16:33

Al zal welgeteld 0,niks% van de klanten bij bank X na de zoveelste storing gaan denken "Laat ik mijn geld nu maar eens ergens anders parkeren"... Bij die andere banken is het net zo bar en boos.

En als ze dan zien dat ze óf nog minder spaarrente krijgen of 20 euro extra per jaar moeten betalen voor een betaalrekening dan is die gedachte al helemaal van de baan.

En ik verwacht dat een bank wel wat betere DDoS veiligheidjes heeft dan de gemiddelde (populaire) website. Het zijn veelal de diensten voor de consument die er uit liggen.

En ja, dat is ook lastig als je even niet kan betalen met ideal, maar lekker belangrijk, over een uurtje weer een keer proberen.

[Reactie gewijzigd door BLACKfm op 25 juli 2024 01:56]

Verwijderd @BLACKfm • 11 juli 2018 16:35

Als jij een weet geen geld meer kan overmaken, pinnen, via iDeal kan kopen of opnemen dan wil ik nog wel zien hoe lang jij bij je bank blijft. Ik in ieder geval niet lang.

BLACKfm @Verwijderd • 11 juli 2018 16:42

Als dat het geval zou zijn dan kun je niet eens naar een andere bank, want je hebt je geld dan niet.
Tuurlijk, doe je achteraf dan wel. Maar wie garandeerd mij dat als zoiets bij de ING of Rabobank gebeurd dat dit ook niet bij de andere banken gebeurd. Wat heb ik er dan aan om over te stappen.

En een week red ik off-line ook prima. Gewoon zorgen dat je een paar honderd euro in een oude sok hebt liggen voor dit soort gevallen. Zijn er ergens grote getallen bij gemoeid en het moet snel snel, dan is daar in zo'n situatie wel begrip voor.

ADR3 11 juli 2018 15:26

Degene die beweerd achter de aanval te zitten (niet de moeite waard om zijn naam te noemen) zegt dat hij het heeft gedaan omdat iemand van tweakers.net stelde dat sommige banken een bepaalde beveiliging niet heeft geïmplementeerd en daardoor gevoelig zouden zijn voor aanvallen. Dit vatte hij foutief op als tweakers.net is beter beveiligd dan banken en toen moest hij zonodig op de criminele manier even bewijzen dat tweakers ook aan te vallen was. Aangezien hij dat niet gewoon, zoals hier in het artikel, kan uitleggen en per se op deze manier moet doen mist hij kennelijk wat normen en waarden. Hij zou ook de NOS willen gaan aanvallen op maandag. Whitehats (wat hij kennelijk denkt te zijn) zijn prima maar dat ben je niet met deze aandachtshoererij die ten koste gaat van de community, tweakers.net en de hosting provider (die oa dus op vakantie zijn).
Dit soort aandachtshoeren moet men gewoon aanpakken. Ik neem aan dat tweakers.net aangifte heeft gedaan.

[Reactie gewijzigd door ADR3 op 25 juli 2024 01:56]

Pablo @ADR3 • 11 juli 2018 15:46

zoals ik het lees, was de referentie "NOS op maandag" , naar afgelopen maandag.
Dus dat heeft hij al gedaan.

NOS was idd afgelopen maandag kort uit de lucht.

HDoc @Pablo • 11 juli 2018 16:06

Als Tweakers zou ik zeker ook een advocaat in de arm nemen en bezien welke juridische actie kan worden genomen om de financiële schade die de dader heeft aangericht op deze te verhalen. Want schade, dat is zeker, al was het maar aan misgelopen reclame-inkomsten en de rekening die de verschillende partijen die er mee bezig zijn geweest, te betalen.

Een goede advocaat betaalt zichzelf in dit soort gevallen altijd terug.

En als het inderdaad, zoals hier wordt beweerd, een grappenmaker is, zal hij dan een wijze levensles leren. Trollen zullen er altijd zijn en die gaan wel weg met doodzwijgen. Maar dit soort types moeten gewoon mores leren..

[Reactie gewijzigd door HDoc op 25 juli 2024 01:56]

Freyaldo @HDoc • 11 juli 2018 18:16

Moet de aanvaller wel geld hebben, dus moet je wel voorzichtig zijn, een levenslange schuld kan ook meerdere gevolgen hebben.

Niet dat ik geen (advocaat) onderzoek zal inlassen, als je geld kan vorderen, waarom niet?

HDoc @Freyaldo • 14 juli 2018 10:49

Een levenslange schuld wens je niemand toe. Gelukkig zijn er altijd manieren om daar op de lange termijn af te komen. Laat hem of haar daar in de praktijk mee aan de slag gaan!

En tegelijk, dit is echt met voorbedachten rade. Deze kerel (of vrouw) verstoort willens en wetens het werk van heel veel mensen. En richt dus echt heel veel schade aan. Tel maar eens op wie hier allemaal min of meer nadeel van heeft ondervonden:

De redactie van Tweakers
De aandeelhouders van Tweakers
De service provider van Tweakers
De bedrijven die op Tweakers adverteren (inclusief weggevallen omzet)
De leveranciers van de hierboven genoemde bedrijven

En bedrijven zijn geen abstracte entiteiten, het zijn organisaties waar mensen werken en hun geld verdienen en voor hun levensonderhoud van afhankelijk zijn.

Als je dit soort gedrag een beetje gaat gedogen zijn er uiteindelijk vaker dit soort uitwassen, en dat kan leiden tot draconische wetgeving als er ineens een slecht-geïnformeerde meerderheid het echt zat is. En daar zit uiteindelijk ook niemand op te wachten.

Chuk 11 juli 2018 14:54

Klassieke DDoS, weten jullie al meer over de potentiele daders/het motief achter deze aanvallen?

dakka @Chuk • 11 juli 2018 14:55

volgens mij heeft de slimmerik aan het begin van dit artikel een comment achtergelaten

Anonymoussaurus @dakka • 11 juli 2018 15:02

Hij zal grotendeels nu wel van z'n fouten hebben geleerd. VPN/VPS + andere browser + extra andere maatregelen.. Dan wordt het alweer een stukje lastiger..

NickyVDP @Anonymoussaurus • 11 juli 2018 15:38

Waarom wijs je direct vingers naar de vorige kiddie?

Anonymoussaurus @NickyVDP • 11 juli 2018 15:39

Omdat ik een vermoeden heb. Schrijfwijze, manier van praten, gedrag, is allemaal hetzelfde. Is aan jezelf of ik het interpreteer als feit of niet.

NickyVDP @Anonymoussaurus • 11 juli 2018 15:41

Dat is aan de Politie (Ik neem aan dat ze aangifte hebben gedaan iig) Onderbouwde vermoendens kan je beter bij de redactie achterlaten, tho zij zijn daar zelf ook wel achtergekomen wss

Anonymoussaurus @NickyVDP • 11 juli 2018 15:43

Ik mag toch wel speculeren en m'n vermoedens hebben of niet?

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 01:56]

NickyVDP @Anonymoussaurus • 11 juli 2018 18:33

mods willen liever niet dat mensen gaan speculeren en een heksen jacht gaan opzetten

dakka @Anonymoussaurus • 11 juli 2018 15:34

hopelijk hangen ze hem aan de schandpaal

kunnen we dit soort knullen niet eerst publiekelijk bekogelen met rotte voorwerpen voordat die de een computer verbod krijgt?, ik ben normaal niet zo van vergeldings-straffen maar in dit soort gevallen

Hmmbob 11 juli 2018 14:53

Ik hoop dat er voldoende aanknopingspunten zijn voor een strafrechtelijk onderzoek samen met de THTC en het OM, om dit soort vervelende stoerders aan te kunnen pakken.

Good job - komt er misschien een keer een achtergrond artikel over hoe de NaWas werkt en/of geconfigureerd is voor Tweakers? Heb er wel eens van gehoord, maar geen idee hoe het werkt.

Anonymoussaurus @Hmmbob • 11 juli 2018 15:04

Ze hebben al ontzettend veel prijsgegeven in dit artikel: reviews: Een ddos'er betrapt: hoe de aanvaller tegen de lamp liep

Je wilt juist niet teveel informatie vrijgegeven. Laat die aanvaller maar nog een keer tegen de lamp lopen. Dat kan je grotendeels bereiken door juist niet te vertellen welke maatregelen je hebt genomen. Je gaat ook niet zeggen "we hebben nu wat extra back-up servers ingeschakeld die nu dit en dit IP hebben".

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (198)

Sorteer op:

Weergave: