Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

De destructiviteit van ddos-aanvallen

Ddos'en zijn ondanks eenvoud amper te stoppen

Perfect storm

Dat maakt ddos-aanvallen anno 2020 tot een 'perfect storm'. Ze zijn kinderlijk eenvoudig uit te voeren, letterlijk: ze zijn goedkoop en de techniek van het internet is er niet op gemaakt ze gemakkelijk tegen te kunnen houden.

De eenvoud van ddos-aanvallen maakt het theoretisch ook gemakkelijk om ze te mitigeren. Een dienst krijgt te maken met veel ongewenst verkeer en dat hoeft alleen maar naar een andere plek te worden gestuurd. Bedrijven als Cloudflare en Akamai investeren miljoenen euro's in servers waar ze dan ongewenst verkeer naartoe kunnen leiden, als een prijzige dienst. Ook in Nederland gebeurt zoiets met de Nationale Wasstraat of NaWas, die is opgezet als samenwerking tussen het bedrijfsleven, banken en Nederlandse providers. Het idee erachter is dat leden die zich bij de NaWas hebben aangesloten, hun overdaad aan verkeer kunnen omleiden en 'schoonspoelen'.

Het data verkeer tijdens de ddos-aanval op Tweakers.

Geheim van de chef

Uiteraard is de praktijk lastiger, want het eerste obstakel is: hoe weet je wanneer je te maken hebt met een ddos-aanval? Dat is in principe niet zo ingewikkeld. Met tools als Netflow kunnen bedrijven zelf detecteren of er een ongewone hoeveelheid verkeer binnenkomt. Vervolgens kan de wasstraat worden ingeschakeld. Via het border gateway protocol kan verkeer naar de wasstraat worden gerout. Met een more specific-route kan verkeer worden onderscheiden en 'schoongewassen', waarna het legitieme verkeer verdergaat naar de originele bron.

Hoe dat schoonwassen precies gebeurt, is niet zomaar te achterhalen, zegt Giovane Mora. "Fingerprinten is een belangrijke methode, maar hoe die precies wordt opgesteld, is het geheim van de chef", zegt hij. "Bedrijven als Cloudflare verdienen veel geld met dat geheim." Voorlopig blijft een groot serverpark met filtersoftware ook de enige aanpak die echt werkt tegen ddos-aanvallers, hoe simpel dat ook klinkt. De aanvallen blijven oersimpel, dus is de bestrijding dat ook. Dat is juist wat ddos'en zo hardnekkig maakt.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Reacties (103)

Wijzig sortering
Leuk achtergrond artikel. Ik de k voor veel mensen die als serveradministrator hebben gewerkt of wel eens een site met een community hebben geleid hier wel vaker mee te maken hebben gehad.
Ooit, jaren terug, was ik een admin op een community forum voor tieners (was er zelf ook 1). Zodra iemand uit deze community werd gezet kon je er de klok op gelijk zetten. Dit was in de tijd dat data schaars en duur was. De aanvaller kon soms vanaf een thuisnetwerk de aanvallen uitvoeren. Zodra de ontvangende kant over het bandbreedte limiet zat kwam er een dikke rekening. Hoewel de hoster destijds daar erg netjes mee omging en de resolve naar de site killde. Dit had ermee te maken dat achteraf een php image resizer actief werd misbruikt. Laat bijvoorbeeld 10 afbeeldingen tegelijkertijd per seconde renderen (image.php?id=123&height=9999&width=9999) zo werd een kleine avatar van 80x80 pixels door gdlib opgeblazen. Doe je dat vaak genoeg dan wordt alle bandbreedte verzamelt om uit te leveren. Layer 7 ook aangepakt en dit alles doordat er geen limiet zat op de grootte van de afbeelding (was in die tijd simpelweg geen trigger gemaakt).
Toen er eenmaal een max was werd het minder.

Maar alsnog werden er nieuwe manieren gezocht. Later in mijn carriere en al lang geen tiener meer was mij de DDOS bij gebleven. Als ontwikkelaar van grote websites kwam het nog wel regelmatig voorbij. Een prettige hoster die je kan bellen is dan prettig. Toen die ook niet meer alles alleen naar dev/null konden sturen werden al snel diensten als Cloudflare gebruikt. Want gratis, effectief en slechts voor de reguliere bezoeker een verificatie van 5 seconden ipv een 30 seconden time-out. De sites waren Drupal based en er werd vaak gebruik gemaakt van zero-days in de applicatielaag om zaken te misbruiken.

Erg vervelend en juvenile om het zo maar te zeggen. De grote DNS aanval uit 2016 was ook bijzonder, the day that broke the internet. Mooi dat jullie deze ook noemen. Dit gaf veel professionelere bedrijven de kans om beveiliging voor zaken dat aan het internet hangt te verbeteren. Zo kon, mits je goed kon praten, meer funding beschikbaar gesteld bij gerenomeerde bedrijven zodat de robotstofzuiger niet meer meedeed aan de aanval.

Feit blijft wel dat je oom met een AliExpress camera, open naar internet via UNPNP vaak een complete Linux distro draait, die doet dus weer lekker mee. Maar dat mag je ook verwachten voor 15(!) euro voor een buitencamera met prima beeld. Hij doet het toch? Hoezo onveilig? Ik heb toch niets te verbergen?

IoT zie je dus nog steeds meer. Bij het beveiligen van 1 IoT product lijkt het alsof er twee weer terug op de markt komen met elke keer dezelfde ingebouwde “fouten”. Zo’n apparaat hoort geblockt te worden in de lokale firewall en slechts 1 poort met timeout hoeft open te staan (namelijk die van een VPN!)

Dan nog ben je niet verzekerd dat je netwerk niet meedoet aan een botnetwerk. De laatste jaren krijg ik om me heen steeds vaker mailtjes van ex-klanten met een kleine website. Die hebben Patchman achtige software draaien en houden exploits bij, vooral die misbruikt worden en grijpen daar actief op in. Het fixen van het lek dat misbruikt wordt op de server om zodoende anderen aan te vallen kan dan makkelijker worden opgelost (dan gaat het dus eerder om kleinschalige managed reseller hosting). Ook internetproviders voor consumenten doen vaker een mailtje of brief de deur uit bij problemen vanaf je verbinding.

Daar zitten dus al veel verbeteringen, maar de lage appels zijn toch de software van de reguliere internetter, en een van de redenen dat poort 25 op een consumentenverbinding vaak niet werkt.

Ik wist overigens niet dat ntp (nog steeds) zo’n ding was. We kunnen wel zeggen dat het internet langzamerhand uit zijn broek groeit en wij de riem steeds strakker proberen aan te trekken. Er komen steeds meer vernieuwingen op het http protocol zoals https/3 en de daarbij geleverde handshakes.

De geheime saus van Cloudflare? Dat heeft grotendeels te maken met het gebruiken van hun DNS services die je ip adres van je server proxien om zodoende je host niet bekend te maken naar buiten toe (mits goede config). Door de aantal klanten (veel) die CloudFlare heeft kunnen ze makkelijker aanvallen pinpointen en brengen daar ook wel eens white-papers over uit. Een jaar of 2 a 3 geleden lieten ze zelfs een exploit voor Wordpress blokkeren totdat developers tijd hadden om het te fixen. De exploit was uit maar Cloudflare kon simpelweg de request weigeren doordat het over de DNS werd aangevraagd en code geïnjecteerd word op de site van een Cloudflare hosted website. Hoe meer klanten Cloudflare dus heeft, hoe makkelijker het is te spotten wanneer een exploit ineens massaal actief wordt misbruikt. Dit werkt gewoon al bij de gratis tier. Wil je nog een fatsoenlijke cached site laten zien tijdens een aanval, of zelfs nog bepaalde functies van een applicatie laten werken dan kan dat vaak met maatprijzen. Geen volledige garanties maar alwel een stuk veiliger.

Een van de nadelen van CF is; je site wordt eerder gescanned door botnets, Cloudflare heeft inzicht in je bezoekers, en je weet nooit 100% wie er waar achter de knoppen zit.

@Tijs Hofmans , Van mij mogen er vaker security artikelen op Tweakers. Erg leuk en zal ook de comments in de gaten houden met daarin misschien tips maar vast en zeker ervaringen van dichtbij.

[Reactie gewijzigd door Kecin op 3 oktober 2020 07:36]

Mooi stukje. Heb je tips voor het afschermen van zo een Ali camera? Ik kan uitgaand verkeer blokkeren maar ik wil er wel nog met (chinese)app bij kunnen. Is er een tussen weg? Ik sta open voor creatieve oplossingen met rerouting, andere porten, en een andere apps e.d.
die tips zijn niet zo heel moeilijk,

1. hang al je IP-cam meuk aan een apparte switch : dat is toch wel handig voor PoE. verbind die switch vervolgens met een poort aan je router, trek die port vervolgens uit je local-network vlan en hang hem aan je VPN's vlan. zo dat is één geen verkeer meer tussen je lokale netwerk en de spycam.

vervolgens kun je nog kiezen om internet access voor het ding helemaal uit te schakelen en dus alleen lokale communicatie toe te staan.

de laatste stap is zoeken naar apps die kunnen verbinden met dit soort cams via api's of mpeg streams. zodat er geen remote server nodig is.
Tsja, en dat dan verwachten van de consument met gemiddelde of veelal onder gemiddelde competenties van netwerken. De meeste (waaronder ook ik, geef ik grif toe) vinden het al een hele prestatie als je het ding werkend krijgt _/-\o_ .

Als e.e.a. nou eens simpel wordt uitgelegd, welke switch (geen idee wat dat is in een ICT netwerk), hoe je een port uit je local-network vlan (??????) moet trekken en welke app je moet gebruiken om camera's te verbinden via api of mpeg streams en hoe je dat dan moet doen. Gewoon stap voor stap de onwetende meenemen in de wondere wereld van netwerken.

De competenten onder ons vergeten vaak dat de taal waarin wordt gesproken echt heel bijzonder is. Veel mensen kennen die taal gewoon niet :? en weten echt niet wat er wordt bedoeld 8)7 .
Ik kan het je hier wel gaan uitleggen, maar dat is niet het punt. Probleem is veelal dat het gewoon veel geld kost om dergelijke dingen te regelen. Een managed switch met POE kost je al gauw een €100, dan moet je nog geschikte bekabeling regelen (standaard cat5e stranded CCA 26AWG patchkabeltje is niet oke en mogelijk gevaarlijk) en dat kost je ook weer een paar tientjes. Het inregelen van VLANs vereist wel wat kennis en je zult daar in moeten investeren en leren hoe dat met jouw management interface werkt (kost behoorlijk tijd) dan moet je nog een VPN op gaan zetten wat weer via je router moet en je vaak handmatig in moet regelen, plus apparaat wat 24/7 aan staat om dat te fiksen (of een duurdere router), dan nog inter VLAN firewall regels.


En als je dat allemaal gedaan hebt kom je er weer achter dat de hele boel op wifi zit en je nu dus geen internet op je Accespoints hebt, moet je dat weer uit gaan zoeken en regelen.


Ik snap je punt. Het klinkt makkelijk, maar dat is het echt niet en het kost nog behoorlijk geld ook. Mogen we er wel vanuit gaan dat een Henk of Ingrid dat gaat kunnen doen? Antwoord is nee.
Dank voor je reactie. Voor mij zouden die paar honderd Euro niet zo'n probleem zijn, maar ja, dan heb je het spul en dan begint de uitdaging pas. De hele zooi laten installeren is ook weer zo wat. Vertrouw je die mensen dan wel? Bovendien gaat het dan een veelvoud kosten.

Vaak is de handleiding dusdanig slecht opgeschreven, dat je zonder gedegen netwerkkennis er geen bal van snapt. Dat je er dan niet aan moet beginnen, zoals batjes voorstelt, is ook weer het andere uiterste naar mijn mening.
En dat voor een Ip camera van €15 8)7

Kijk het probleem is dat je voor die goedkope meuk een fatsoenlijk netwerk moet hebben om het veilig te krijgen.

Dan koop je duurder spul, maar dan heb je het geld weer niet om een fatsoenlijk netwerk te bakken.

Ff serieus. Een fatsoenlijk normaal + los IoT netwerk kost rustig 1000+.

Staat dat in verhouding met een camera van €15?

Hoe beter je weet wat je doet hoe duurder het allemaal wordt. Ik ga m’n huis verglazen bijvoorbeeld. T glas zelf kost geen drol in verhouding met goede cat6 bekabeling, maar de rest, poh. Ik denk dat ik het de eerste maanden met half internet moet gaan doen.
Wat kan er onveilig zijn aan een cat5e patch kabel?
CCA is aluminium met een heel dun laagje koper. Zeker als je dunne kabels heb over lange afstand potentieel brand gevaar.
Cca duidt toch op de brandklasse van een kabel (CPR richtlijn)? Zo heb je Eca, Dca Cca en B2ca, dit zegt verder niets over de geleidersamenstelling van een kabel.
Wat niet wegneemt dat @sanscorp een valide opmerking maakt, hier had ik niet bij stil gestaan.
CCA bij netwerk kabels staat letterlijk voor Copper Cladded Aluminium.

CPR Brandklasse is hier niet van toepassing.
Zeker als je dunne kabels heb over lange afstand potentieel brand gevaar.
Nee.
Lange afstanden geven geen brandgevaar. Al het beschikbare vermogen zal zeer plaatselijk moeten worden gedissipeerd om hoge temperaturen te krijgen. Dat zal met een lange slechte kabel niet lukken dus juist absoluut geen brandgevaar.
Je haalt nu oorzaak en gevolg door elkaar. Het probleem met dit soort kabels is dat de lengte icm dunheid van de kabel zorgt voor een groter spanningsval, waardoor je een hogere stroomsterkte moet gebruiken om hetzelfde vermogen te kunnen leveren. veel POE apparatuur werkt met een marge van een paar volt en dus is de kans aanwezig dat het met 22V ook nog werkt, maar moet je wel meer stroom trekken. Zeker met CCA heb je dan met langere lengtes een probleem. Je moet namelijk een 2 kwadraturen dikkere kabel hebben dan koper voor dezelfde geleiding. Op een gegeven moment zal het koper wat er omheen zit als gloeidraad gaan fungeren want dat is veel te dun. 26awg CCA is niet geschikt voor POE. Kun je hoog of laag springen, dat is gewoon echt gevaarlijk.
Hoe haal ik oorzaak en gevolg door elkaar?
Je haalt zelf dingen door elkaar. Je verzint dat het gevaarlijk is en wat je verder zegt klopt wel maar is niet relevant in deze. Je legt niet uit waarom een langere kabel meer brandgevaar zou geven en laat (expres?) het maximum vermogensverlies en het oppervlakte waarover de warmte afgevoerd kan worden weg.

Reken anders zelf uit Met gebruikt van 2 van de 4 aderparen kan je ook met 50 meter 28 AWG CCA (dus dunner) makkelijk 20W afleveren. Met 4,22W verlies in de kabel, optimaal is anders maar 85mW/m zal niet zo erg opwarmen. 100 van die kabels samen door 1 nauwe buis die 2kW afleveren zullen warmer worden maar nog steeds geen brandgevaar.
En als je alle 4 aderparen gebruikt i.p.v. de helft zal het verlies in de kabel stukken minder zijn.

Je had kunnen bedenken dat er iets niet klopt in je redenatie. PoE zou niet mogen bestaan als het brand gevaar zou kunnen geven bij verkeerd gebruik. En Willem van Ockham zei dat bij tegenstrijdigheden de simpelste verklaring normaal de juiste is. Dat verschillende organisaties en regeringen PoE toestaan als dat brandgevaarlijk kan zijn is niet de simpelste verklaring.
PoE over een te dunne, niet koperen kabel is potentieel brandgevaarlijk.
Misschien zouden mensen daar zelf ook wel stil bij kunnen staan en niet massaal spul kopen waar ze de ballen verstand van hebben. Want vertrouwen op een fabrikant in een ver land die het idiotproof maakt is ook niet alles.
Dat is makkelijk gezegd, en ik denk dat ook bij elektronica of netwerk producten. Maar ik heb ook geen verstand van motoren. Als ik een auto koop ga ik er van uit dat die werkt en veilig is.
Thnx, dit gaat helemaal lukken, ik heb al een managed switch met vlan en dmz support, de cam gebruikt onvif, dus daar moet vast wel een app voor zijn. Power over ethernet heb ik niet nodig.
Maar heb je ook een router met VPN support? Of de mogelijkheid om een VPN op te tuigen die 24/7 aan staat?
ONVIF IP Camera Monitor (Onvifer)
Ik weet wel een heel weinig creatieve oplossing: geen inbound connecties toestaan op je thuisnetwerk. Niet te veel willen dus die Chinese app alleen gebruiken als je op je eigen Wifi zit.
Bedankt, heb alle replies meegenomen in mijn plan van aanpak. Ik zit met het probleem dat ik de onvif via Shinobi op een Pi opneem die in een ander netwerk zit, dus ik denk dat ik doe wat jij zeg, en dan via Shinobi mobile over een specieke port naar buiten ga, zodat ik de cam volledig (in- en outbound) kan dichtzetten :)
Ik ben juist gestopt met CF omdat m'n site altijd down ging. Probleem is dat iedereen CF gebruikt en aanvallers dus constant zoeken naar bypass attacks op dat platform en die ook vinden.

Ik zit nu bij een kleinere CDN, wordt constant aangevallen maar heb nog amper downtime.
Heb eigenlijk nog nooit iets down gehad achter CF, alleen bij de recente global outage maar dat was routing-related en geen aanval.

[Reactie gewijzigd door johnkeates op 3 oktober 2020 14:58]

Nee maar mijn site (gaming site) en game servers worden ongeveer 20 keer per dag aangevallen.
Wat voor aanvallen? Heb je cijfers die je kunt delen? Of is een portsscan al een aanval?
Volume aanvallen maar ook Layer7 aanvallen en nee geen port scans.

Maar dat is vrij normaal hoor in de gaming community. Ban een cheater en die huurt direct een booter.

Maar ik ben goed beschermd dankzij OVH en een goede CDN.
Zeer leuke toevoeging Kecin _/-\o_

Als system/netwerk engineer heb ik er in 8 jaar tijd vreemd genoeg nog nooit mee te maken gehad en maar goed ook.

Het zou inderdaad wel leuk zijn om meer van dit soort artikels te zien. Ik weet zeker dat er genoeg lezers op zitten te wachten.
Aan de ene kant is UPnP gevaarlijk, maar het is een nachtmerrie om al deze LoT of een game console werkend te krijgen.

Geen idea of Tweaker hierover een post heeft geplaatst, anders ben ik daar enorme voorstander van hoe je nu een thuis netwerk met ISP router veilig kan krijgen.

Elke game gebruikt andere poort, moet je weer gaan zoeken etc.

Heb zelf UPnP gewoon weer aangezet, teveel gedoe met NAT: OPEN krijgen.

Als je de standaard gebruikersnaam/wachtwoord etc veranderd heb je in mijn ogen al de helft geweerd.

+ een Game console kun je gewoon op een DMZ zetten, alleen een game pc gaat dat weer niet op. Vooral als je meer apparaten draadloos wilt benaderen vanaf je pc.

[Reactie gewijzigd door DutchWing op 3 oktober 2020 12:48]

HTTP3 is UDP-based.
Ik mis enige referentie naar de publieke cloud bedrijven in dit artikel; bedrijven als AWS en Azure spelen hier namelijk ook op in en maken het onderdeel van hun portfolio. Zo hebben deze bedrijven inmiddels zulke grote (brede?) netwerken dat je als eindgebruiker menig DDoS niet meer merkt. En als deze dan toch significant is hebben ze een DDoS Response Team (DRT) 24/7 voor je klaar zitten die pro-actief voor jou je Web Applicatie Firewall regels kan instellen om de DDoS te mitigeren. Uiteraard tegen een serieuze maandelijkse prijs.

Samen met de kinderlijk eenvoudige manier waarop je je infrastructuur binnen de cloud kan opschalen voor de duur van zo’n DDoS aanval is de kans dat je echt volledig offline gaat aanzienlijk verminderd. Ik zeg hier expliciet niet uitgesloten, want het voorkomen hangt af van vele factoren en alles heeft zijn grens waarna het omvalt. Ook je portemonnee speelt hier een rol uiteraard. Opschalen naar 100, 250 of zelfs 1000 servers is gemakkelijk in te regelen en snel uit te voeren, maar het heeft allemaal een prijs.

Gelukkig dekken bedrijven als AWS je hier ook tegen. Ze bieden een kosten protectie aan als het duidelijk is dat je onder een DDoS aanval ligt, zodat je credits kunt krijgen om kosteloos je infrastructuur op te schalen. Voor jou als eindgebruiker weer een zorg minder.

Bovenstaande, en nog veel meer uiteraard maakt waarom de publieke cloud zo immens populair is en imo het noemen waard in dit artikel..

[Reactie gewijzigd door Tristan op 3 oktober 2020 08:36]

De cloud aanbieders hebben zeker een aantal troeven. Het is wel zo dat bij een DNS-aanval zoals we die gehad hebben in 2016 (als ik me goed herinner gingen toen 6 of 7 van de 13 root servers plat), het niet veel uitmaakte of je bij een cloud aanbieder zat of niet: site was pokketraag of onbereikbaar.
Overigens hadden we met 9/11 een vergelijkbaar effect: uiteraard was de capaciteit toen nog veel minder, maar puur door het surfen van mensen naar de nieuwssites kreeg je enorme vertragingen en zelfs onbereikbaarheid.
De oplossing ligt mijn inziens niet in het oplossen of beschermen tegen de aanval, maar in het bestrijden van slechte security van het thuisnetwerk. Dit moet een taak zijn van fabrikanten, software ondersteuning met auto updates voor alles wat online verbonden is in huis, en algeheel meer aandacht voor de security van de iot apparaten. Voor fabrikanten van modems en voor de ISP's die het modem leveren. Een thuis netwerk moet potdicht zitten by default. De geavanceerde gebruiker mag dan zelf iets open gaan zetten als dat nodig is, maar voor het gros van de gebruiker hoeft dat niet.

[Reactie gewijzigd door Aiii op 3 oktober 2020 13:39]

Helemaal eens. Als nu de ISP's en alle AS-en nu eens de handen ineen slaan en zorgen voor goede filtering dan wordt het ineens een stuk rustiger op het internet.
Het was een jaar of 10 al bekend dat dit soort filtering behoorlijk kostbaar is en daarom wordt het niet gedaan. Vergis je niet, het is de schuld van de ISP's! Het type filtering heet Anti spoofing (BCP84) of in andere benaming Ingress filtering, dat zoiets betekent als:
Aan de binnenkant van mijn router kondig ik een netwerk aan naar buiten, dus kan ik nooit verkeer krijgen aan de buitenkant wat van origine van een ip adres afkomstig is uit mijn eigen netwerk.
Zolang dat type filtering niet wordt toegepast blijft iedereen last houden van amplification attacks.
Dit zijn aanvallen op basis van UDP.
Maar een TCP established session kun je de "dader" achterhalen, maar specifiek sturen van TCP flags kun je nog steeds spoofen.

Buiten dat is er ook wet en regelgeving nodig. Er zijn genoeg individuen die 5x per dag het hele internet afscannen naar open ports, omdat het kan.
Het is de schuld van de internet architectuur, je kan BCP84 niet verplicht stellen want er is niemand met die macht.

Ik ben voor internet 2 met verplicht ingress filtering (en egress filtering voor de multihomed bedrijven die falselijk beweren dat ze toch echt volledig willekeurig IP verkeer het internet op moeten kunnen douwen, met hoge boetes als er misbruik van gemaakt word). Ook zouden ISPs verplicht mee moeten werken om upstream te filteren bij DDOS. Als ze voor een IOT apparaat van een klant 100 filter regels in hun router hebben staan gaan ze misschien eens wat eraan doen ...
Ik kan mn eigen reacties niet modden, maar \o/.
Dit is wat er moet gebeuren, dit is het main issue; je tikt de spijker volledig op de kop.
ingress filtering lost ampflication niet op. hacker->fakesource stuurt source:target dest: fakesource , reply van fakesource naar target vanuit isp edge is valide. je omschrijving lijkt meer op die van een stateful firewall en een sessie proberen te initieren vanuit de verkeerde kant.
jawel dat lost het wel op, er kan dan geen fakesource meer gegeven worden aangezien dat verkeer op de bgp edges, zowel aan de binnenkant, als aan de buitenkant niet geaccepteerd en dus weggegooid wordt . En er wordt geen verkeer meer naar de default route gestuurd, omdat het op de edge waar het wordt geïnitieerd al wordt gedropped. Maar @Pinkys Brain heeft gelijk. het is zowel bcp38 als 84; ingress en egressfiltering.
Daarom heet het antispoofing; unicast reverse path forwarding in strict mode. En daar heb je gelijk in het werkt inderdaad op het principe van statefull firewalling alleen is het een laag lager op L3. Daarom moet het niet alleen aan de buitenkant maar ook op de binnenkant.
De ISP's moeten zorgen voor:
-Het niet accepteren van ip verkeer wat niet in hun IP blocks voorkomt aan de binnenkant
-Het niet accepteren van ip verkeer vanaf de buitenkant wat schijnbaar van ip blocks komt wat dat AS zelf aankondig aan de binnenkant.
(Nu snap je ook gelijk waarom dit duur is; elk pakketje moet vergeleken worden met de route tabel. Daar heb je dikke routers voor nodig.)

Maar @analog_ Wat zou dan wel de juiste manier zijn?

[Reactie gewijzigd door Kabouterplop01 op 6 oktober 2020 22:02]

Nee, klopt, ik interpreteerde het verkeerd. Je tweede stelling kan je enkel realiseren met stateful firewalls en ik denk niet dat providers die draaien (classic sub <1024 poort blok inbound hint op stateless), cgnat op mobile sja. Kost van URPF is een tweede keer de route tabel raadplegen ipv. een keer voor destination. Goedkoper dan stateful. null-routes en urpf zijn ook wel grappig als je geen firewall bent en het teveel wordt.

en mij kan het tbh niet zoveel schelen; excuus voor dikkere pijpen. alles gaat naar UDP dus miserie alom

[Reactie gewijzigd door analog_ op 7 oktober 2020 22:47]

Als alle ISPs ingress filteren kan de hacker alleen maar een source faken als hij op ISP of backbone niveau wat gehacked heeft.

Internet 2 moet hoog genoege boetes hebben voor alles wat kan spoofen dat als ze hun veiligheid niet op orde hebben ze binnen niet al te lange tijd failliet zijn.
Dat staat haaks op de algemene opinie op dit forum is. Het liefst zou iedereen zijn eigen modem/router hebben en volledige controle daarover hebben.
Lijkt mij niets mis mee, iedereen moet die mogelijkheid hebben. Helemaal mee eens.

Maar het probleem is niet de Tweaker die daar behoefte aan heeft. Het gros van de gebruikers zijn mensen met andere interesses dan computers en het tweaken daarvan. Die moeten beschermd zijn zonder dat ze dan zelf allemaal technische kennis voor moeten opdoen.
want hoewel ddos'en moeilijk te detecteren
ik vraag mij waarom men het moeilijk vind om een ddos te detecteren.

Een ddos is helemaal niet moeilijk te detecteren. Een grootschalig ddos al helemaal niet.

Oh, en later in het artikel:
hoe weet je wanneer je te maken hebt met een ddos-aanval? Dat is in principe niet zo ingewikkeld. Met tools als Netflow kunnen bedrijven zelf detecteren of er een ongewone hoeveelheid verkeer binnenkomt.
Wat is het nou?

[Reactie gewijzigd door c-nan op 3 oktober 2020 09:12]

het detecteren is ook niet moeilijk,.. maar ze hebben de hardware er niet voor en dat kost mega veel geld
Ik quote enkel het stukje uit het nieuwsbericht en stel de vraag waarom het moeilijk is:
'Complex' is bij een denial-of-serviceaanval een lastig begrip, want hoewel ddos'en moeilijk te detecteren en te stoppen zijn, is het principe van een aanval eenvoudig.
Echter, later in het bericht staat:
hoe weet je wanneer je te maken hebt met een ddos-aanval? Dat is in principe niet zo ingewikkeld. Met tools als Netflow kunnen bedrijven zelf detecteren of er een ongewone hoeveelheid verkeer binnenkomt.
is het nou wel of niet moeilijk te detecteren?
het detecteren is ook niet moeilijk,.. maar ze hebben de hardware er niet voor en dat kost mega veel geld
Detectie kost letterlijk niks.

Iedere router kan NetFlow/sFlow doen. Veel meer heb je voor detectie niet nodig.

Wanguard is bijvoorbeeld een tool waarmee je heel makkelijk anomolies kunt detecteren. Check eens wat het kost, peanuts.
je moet de capaciteit nog hebben om het op te vangen... cloudflare heeft een reusachtig netwerk,... en ovh heeft hele scrubbing centers
Lees jij mijn reactie wel? Ik heb het enkel en alleen over detectie. Niet preventie of het stoppen van een aanval.

Wat voor capaciteit heb je nodig voor detectie?
gevonden, koop dit maar in https://us.ovhcloud.com/products/security/anti-ddos onderaan zie je de hardware die nodig is
Je hebt werkelijk geen idee waar je het over hebt. Nogmaals, ik heb het enkel voor detectie. Ik geef zelfs een voorbeeld waarmee dat kan. Jij hebt het over een totaal oplossing, inclusief mitigatie.

Lees gewoon eens wat ik zeg voordat je reageert.
als je nou eens kijkt daar zie je de oplossing die ook geld voor detectie
Quote eens waarin zij vertellen waarmee zij de detectie doen.
We use the netflow sent by the routers and analyzed by our detection solutions to identify attacks. Each router sends a summary of 1/2000 of traffic in real time. Our solution analyzes this summary and compares it to the attack signatures. If the comparison is positive, the mitigation is set up in a matter of seconds.
Hey, hebben ze het nou over Netflow? Ja inderdaad.
Vertellen ze waarmee ze de analyse doen? Nee, tuurlijk niet, het kost geen drol. Iedere simpele server kan namelijk Netflow/sFlow analyzeren.

Lees pagina 14 en 15 maar: https://www.andrisoft.com/files/WANGUARD_7_0.pdf
Een server met 2 - 4 cores is al voldoende.

[Reactie gewijzigd door c-nan op 4 oktober 2020 14:22]

koop jij de hardware maar in voor het beschermen van ddos
https://www.ovh.nl/anti-ddos/technologie.xml, ik kan nu even een andere pagina niet vinden, maar je hebt rekenkracht nodig die continu de pakketen analyseert van de aanval... des de groter de aanval des te meer rekenkracht heb jij nodig om die aanval te detecteren. Ik zoek nog eventjes door voor die andere link
Het detecteren is inderdaad niet zo moeilijk. Je ziet het vanzelf als de boel omvalt. Het probleem is alleen om het te kunnen mitigeren. :-)
Ik lees in het artikel meerdere keren dat de techniek van het internet er niet op is gebouwd om dit soort aanvallen makkelijk tegen te houden.
Wat ik mis is een analyse van wat er nou eigenlijk nodig zou zijn om internet te bouwen dat wel bestand is tegen ontwrichtende acties. Ik zou verwachten dat hier hard aan gewerkt word door de verschillende internet governance organisaties zoals IGF of IETF. Is er iemand die daar iets zinnigs over kan vertellen?
Het grote probleem is de hoeveelheid partijen die erbij betrokken zijn. Je zou een systeem kunnen maken dat tegen de 1st hop van de aanvaller zegt: drop alle verkeer van die aanvaller naar mijn IP. Maar dat werkt alleen als iedereen mee werkt en dan moet je het ook weer veilig genoeg krijgen om misbruik te voorkomen.
Ik denk niet dat providers staan te wachten om honderdduizenden entries op te nemen in hun infra, wat ook nog eens zeer dynamisch is.

Als alle providers nou eens beginnen met Source Address Spoofing tegen te gaan kom je al een eind.
Simpel zal het inderdaad niet zijn om inherent stabiele systemen te ontwerpen.

Desalniettemin vermoed ik dat het uiteindelijk efficienter en stabieler/veiliger is dan ieder klein brandje apart te blussen.
Bekijk het even zo. We weten allemaal dat we IPv6 nodig hebben. In sommige delen van de wereld heeft men nu al onvoldoende v4 adressen en moet men cgnat toepassen. Toch slagen providers er maar niet in om IPv6 vlot uit te rollen.

Hoe wil je ze dan zo ver krijgen om een nieuwe techniek te implementeren die hen geld zal kosten terwijl daar mogelijks lagere inkomsten tegenover staan (minder trafiek aan de klanten aanrekenen)?
Door een (helaas waarschijnlijk naief/tevergeefs) beroep te doen op hun verantwoordelijkheidgevoel.

Al dat overbodige verkeer kost veel energie, die weer opgewekt moet worden en hoe harder de energievraag groeit, hoe langer de transitie naar een emissie-vrije economie zal duren (met alle gevolgen vandien).

De ICT sector gebruikt enorm veel electriciteit en dat zal in de komende decennia flink groeien. Het is een beetje afhankelijk van wie je precies gelooft maar momenteel is het aandeel van de ICT in het wereldwijde electriciteitsverbruik enkele procenten en word er verwacht dat dit binnen 10 a 20 jaar zal oplopen tot enkele tientallen procenten. Het terugdringen van overbodig dataverkeer (en andere efficiency verbeteringen) kan dan ook significante effecten hebben.

De andere pijler van dit soort fundamentele verbeteringen is economisch. Al dat overbodige verkeer kost enorm veel geld, niet alleen voor hun klanten maar ook voor henzelf (meer investeringen nodig in infrastructuur). Dat geld kunnen ze dan besparen en investeren in andere zaken waar ze meer profijt van hebben. Dat vergt echter een lange-termijn visie en die is helaas bij veel bedrijven ver te zoeken.
Inderdaad UPnP met IPv4 is gewoon nodig, is praktisch niet te doen voor de gewone gebruiker of enigszins ervaren pc gebruiker welke geen ICT beroep heeft.

NAT: OPEN krijgen vroeger was alles behalve leuk!

[Reactie gewijzigd door DutchWing op 3 oktober 2020 12:51]

Ik vind dit artikel goed bedoeld maar een gemiste kans. Als je dan iets over DDOS schrijft, beschrijf dan ook de technieken in iets meer detail met wat tekeningetjes, dan is het ook beter te begrijpen voor mensen.

Iemand noemde hier de smurf-attack, een mooi voorbeeld van wat (vroeger?) mogelijk was, een van de oudste aanvallen. Lees ik volgens mij niets over.

Tweakers heeft het roer om gegooid en wil meer artikelen voor Tweakers schrijven en niet meer voor het generieke publiek. Ik vind dat dit artikel toch meer voor de laatste doelgroep is geschreven.

Ik heb er eigenlijk geen nieuwe informatie uitgehaald.

[Reactie gewijzigd door Q op 3 oktober 2020 10:22]

Het is gratis informatie. Als je meer detail wilt kan je beter een boek kopen. Je kunt niet verwachten dat via een beetje reclameinkomsten artikelen kunnen worden geschreven die de diepgang van boeken van 50, 60, of meer euro's hebben.
Ik vraag niet om de diepgang van een boek. Ik vraag om überhaupt enige diepgang, die kan ik nu niet echt vinden.

Tweakers heeft een groot team, er komt fenoeg geld binnen om iemand misschien ee dagje of wat extra te laten werken om mensen echt iets mee te geven.
Heb er niet gek veel verstand van maar ik blijf het een laffe manier van wraak of vermaak vinden. Het is jammer inderdaad dat het zo gemakkelijk te doen is. Weet nog goed dat er bij Sony een paar jaar geleden een hoop last van was voor zowel het Sony zelf als de gebruikers van PSN.
Inderdaad PSN was toen een lange tijd offline etc... Zulke lui mogen van mij gewoon; het aantal gebruiker x de tijd dat het duurde = gevangenistijd zitten.
Ik zit me af te vragen of er een 'simpele' manier is om die IOT rotzooi te blokken op routerniveau. M.a.w. 1 IP range toestaan als de router het ding als IOT herkent.
Zover ik begrijp is tegenwoordig het IOT spul de grootste boosdoener
Dat hangt af van jouw begrip van het woord 'simpel'.

Ik heb het zelf nog niet gedaan, maar geloof dat het niet zo moeilijk is om je netwerk op te splitsen in verschillende VLANs, op z'n minst twee: een VLAN voor toestellen die verbinding mogen maken met internet, en een ander. Periodiek kan je ervoor kiezen om dat tweede VLAN ook even verbinding te laten maken met internet (bvb voor een update), waarna je dat ganse VLAN perfect opnieuw kan afschermen van het internet.
Aan het eind van de jaren ‘90 waren Smurf attacks nogal populair. Menige nodes in een inbelnetwerk of kabelnetwerk ging daardoor plat. Iedereen met basic Linux kennis kon een scriptje aftrappen om een Smurf attack te starten.
we zijn bij een nederlandse provider op bezoek geweest, deze zei inderdaad dat de NaWas zeer goed was voor hun, en de klanten.
zo kon de service altijd in de lucht blijven.
dagelijks kregen ze wel een stuk of 100 ddos bots, deze worden dan naar die NaWas gestuurd, en hetgeen wat belangrijk is, zoals het verkeer van klanten, gaat door, en de ddos blijft achter.
\
super artikel!

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True