Het kost ongeveer tien minuten om een ddos-aanval voor te bereiden. Tien minuten, twee zoektermen, je creditcardgegevens invullen, een paar vinkjes selecteren en je bent een druk op een knop verwijderd van je eigen distributed denial of service-aanval op een website, server of webdienst. Of je ddos succes heeft, is niet zeker, maar het is in elk geval kinderlijk eenvoudig om storende aanvallen in te zetten. Letterlijk, want een groot deel van de ddos-aanvallen wordt uitgevoerd door script kiddies en jongeren die slecht tegen hun verlies kunnen. Ook de ddos-aanvallen op banken, de Belastingdienst én Tweakers in 2018 werden uitgevoerd door een jongen van achttien. Desondanks speculeerden veel mensen dat het de Russen waren.
Ddos-aanvallen worden groter en omvangrijker, blijkt uit rapport op rapport. In 2019 detecteerde de Nationale Beheersorganisatie Internet Providers of NBIP 919 ddos-aanvallen op Nederlandse bedrijven en overheidsinstellingen. Dat waren er weliswaar iets minder dan een jaar ervoor, maar de aanvallen waren wel grootschaliger én complexer.
'Complex' is bij een denial-of-serviceaanval een lastig begrip, want hoewel ddos'en moeilijk te detecteren en te stoppen zijn, is het principe van een aanval eenvoudig. Een server of website wordt bestookt met verkeer tot er een overload is, waardoor de dienst niet meer te gebruiken is. Als de NBIP ddos-aanvallen 'complexer' noemt, bedoelt ze vooral dat er gebruik wordt gemaakt van verschillende aanvalsmethodes, maar in essentie blijven het effect en de oplossing hetzelfde. Er is veel verkeer en dat moet omgeleid worden naar een plek waar je er weinig last van hebt. Uiteraard is dat veel simpeler gezegd dan gedaan.
Groei
De omvang van het probleem rondom ddos-aanvallen is, zoals wel vaker in de beveiligingssector, moeilijk te schatten. Verschillende onderzoeksinstituten en bedrijven houden er verschillende meetmethodes op na en de onderzoeken van bedrijven als Cloudflare hebben een behoorlijk ‘wij-van-WC-Eend-gehalte’. Maar dat er groei is, is zeker.
Het is onbegonnen werk om alle typen ddos-aanvallen individueel te behandelen. Het begrip is breed en een aanval kan op veel manieren worden ingezet. Als één onderdeel van een infrastructuur wordt overbelast, is het doel van een ddos al bereikt. Dus is het prima mogelijk om een ddos-aanval uit te voeren met alleen http-verkeer naar een server die gewoonweg niet veel verkeer aankan. Veel persoonlijke blogs of websites hebben bijvoorbeeld maar een klein hostingpakket en zijn daarom niet moeilijk te stoppen.
Praktisch ieder internetprotocol is dus wel op een of andere manier te misbruiken voor een aanval. Die verschillende aanvallen hebben voor- en nadelen. Http-floods lijken op legitieme GET- of POST-requests en zijn lastiger te onderscheiden van echt verkeer, maar het gaat vaak om kleine pakketjes. Ping-floods zijn heel gemakkelijk uit te voeren vanaf een commandline, maar zijn vooral effectief als een aanvaller meer bandbreedte heeft dan een slachtoffer, wat inmiddels zeldzaam is. Er zijn ook aanvallen met weinig nadelen, zoals udp-floods of de populairste van allemaal: dns-floods.
In de praktijk kun je de meeste aanvallen ruwweg verdelen in drie categorieën: op volume gebaseerde aanvallen, die de bandbreedte van servers opslokken, protocolaanvallen, die zich vooral richten op hard- en software die op servers draait, zoals firewalls of loadbalancers, en aanvallen op de application layer. Die laatste zijn over het algemeen wat ingewikkelder uit te voeren.
Volume-based aanvallen Dit type aanval eet de bandbreedte van een website of dienst op door die te bestoken met packets. Het gaat dan meestal om internetpackets, zoals udp- of icmp-pakketjes, of andere internetprotocollen.
Protocolaanvallen Onder dit soort aanvallen vallen SYN-floods en pingfloods. Ze zijn bedoeld om niet de bandbreedte, maar serverresources op te maken.
Application-layeraanvallen Deze aanvallen richten zich, zoals de naam al zegt, op de application layer of de Layer-7 in een netwerk. Bij een dergelijke aanval wordt een specifieke applicatie of een kwetsbaarheid daarin aangevallen, zoals Apache. Dit soort aanvallen zijn over het algemeen bedoeld om bijvoorbeeld webservers te laten crashen.
Amplificationaanvallen
Een speciaal type is de amplificationaanval. Met zo'n reflection-based aanval kan een aanvaller één protocol uitbuiten om zichzelf te versterken. Daar zijn verschillende methodes voor. De populairste is om dns te gebruiken, maar ook het network time protocol of ntp kan ervoor worden ingezet. Het voordeel van een amplificationaanval is dat die kan worden opgezet met een relatief klein aantal computers, omdat één computer een verzoek doet aan een server en tientallen responses kan terugkrijgen.
De populairste amplificationaanval gaat via dns. Een aanvaller spooft daarbij een ip-adres van een dns-resolver met het ip-adres van een slachtoffer. Alle dns-verzoeken die via die resolver lopen, gaan dan vervolgens via de server van het slachtoffer. Die server krijgt daardoor veel meer verzoeken dan hij aankan. Bovendien versterken de dns-verzoeken het effect; voor iedere dns-query antwoorden de dns-servers met een volledige lijst van alle dns-records in een domein. Als zo'n aanval via een botnet wordt ingezet, kan iedere bot daarin zijn eigen dns-queries doen en zo heel veel verkeer in één keer opvragen. Op dezelfde manier kan bijvoorbeeld ook het ntp worden ingezet. Daarbij vraagt de aanvaller via het monlist-commando een lijst op met de recentste verzoeken die aan een ntp-server zijn gedaan. Opnieuw wordt daarbij één commando ingezet om een grote hoeveelheid data terug te vragen.
Die typen aanvallen zijn lang niet allemaal even zwart-wit. Bij veel verschillende aanvallen worden typen gecombineerd, zodat aanvallers niet alleen SYN-floods uitvoeren, maar tegelijk udp uitbuiten. "Eigenlijk zijn dat ook maar allemaal details", zegt Giovane Moura van SIDN. Moura onderzoekt ddos-aanvallen op Nederlandse websites en probeert daaruit patronen op te maken die vervolgens kunnen worden ingezet om ddos-aanvallen te voorkomen. "Het grotere probleem is de enorme asymmetrie bij aanvallen. Het is heel goedkoop voor iemand om een aanval te kopen, maar het kost hoe dan ook veel meer geld om ze af te slaan." Het type aanval is belangrijk op het moment dat je ddos-aanvallen gaat afweren, zegt hij. "Dan is het voor een mitigerende dienst belangrijk om snel te spotten welke protocollen misbruikt worden. Dat leidt tot een kat-en-muisspel tussen aanvallers en bedrijven.”
"Met webstressers en booters kan een aanvaller gemakkelijk switchen tussen verschillende typen aanvallen”Moura zegt dat ddos-aanvallen zo eenvoudig zijn door de structuur van het internet. "Toen het internet werd ontworpen, was veiligheid amper een prioriteit." Protocollen zoals dns, dat nu de ruggengraat van het internet is, zijn niet ontworpen met het idee dat ze zo gemakkelijk misbruikt kunnen worden. Toch gebeurde juist dat. Moura noemt de tools waarmee het irrelevant wordt welke internet- en serverprotocollen bij een aanval worden ingezet. "Met webstressers en booters kan een aanvaller gemakkelijk switchen tussen verschillende typen aanvallen, vaak met één druk op de knop.”
Geschiedenis van ddos-aanvallen
De groei van het aantal ddos-aanvallen vertoont parallellen met die van andere cybercrime. Ze werden voor het eerst gespot in de jaren zeventig, waren daarna lange tijd slechts een sporadisch probleem en zijn inmiddels een volwaardige vorm van criminaliteit, die bedrijven veel geld kost. De eerste bekende denial-of-serviceaanval zou in 1974 hebben plaatsgevonden op een lokaal netwerk op de Universiteit van Illinois. Een student zou daar verschillende computers die het educatieve systeem Plato draaiden, hebben aangevallen. Plato was met het commando ext af te sluiten en dat was genoeg voor David Dennis, die in één keer dertig computers wist plat te leggen.
Het is een leuke anekdote over de vroege computergeschiedenis, maar de echte opkomst van ddos-aanvallen die niet alleen voor de lol werden uitgevoerd, begon pas veel later. Rond de eeuwwisseling kwamen er steeds meer tools beschikbaar die de aanvallen gedistribueerd maakten, waarbij met verschillende computers één aanval wordt uitgevoerd.
In het boek The coming swarm: DDOS actions, hacktivism, and civil disobedience on the internet beschrijft Molly Sauter aanvallen in de jaren negentig, zoals die van het Italiaanse Strano Network, dat tegen het Franse nucleaire programma gericht was, en de FloodNet-aanval van hackerscollectief Electronic Civil Disobedience tegen Mexicaanse politici. FloodNet werd later vaker ingezet, bijvoorbeeld tegen het Pentagon en de beurs van Frankfurt. Als ddos-aanvallen anno 2020 gemakkelijk zijn, waren ze dat in de jaren negentig al helemaal. Websites gingen al offline als het aantal bezoeken iets hoger werd dan verwacht en er waren nog vrijwel geen mitigatiemechanismen. In dat decennium werden denial-of-serviceaanvallen geavanceerder en werd vooral het woord distributed belangrijker. Eind jaren negentig kwamen de eerste tools op waarmee denial-of-serviceaanvallen meer geautomatiseerd konden worden uitgevoerd, doordat andere apparaten eraan konden worden toegevoegd. Dat waren, in tegenstelling tot vandaag de dag, voornamelijk computers van andere gebruikers. Dat was het moment dat de tools die Moura noemde, populairder werden.
Hacktivisme
Ddos-aanvallen hebben de naam vaak afkomstig te zijn van script kiddies, professionele criminele organisaties of nation states, die ze gebruiken om geld te verdienen of te saboteren. Daartussenin ligt echter een groot grijs gebied waarin ddos-aanvallen worden ingezet voor activistische doelen. De methode werd halverwege dit decennium bijvoorbeeld veel ingezet door collectief Anonymous. Anonymous was visueel aantrekkelijk en nieuw voor veel media. Het mysterieuze aura rondom de 'hackers' had een aantrekkend effect rondom de groep, die daardoor alleen maar groeide.
De geschiedenis heeft inmiddels geleerd dat Anonymous lang niet alles uit idealistische overwegingen deed. Soms werden ddos-aanvallen gewoon uit eigenbelang uitgevoerd, zoals de aanval op het PlayStation Network, omdat de leden boos waren over Sony's plan om jailbreakers aan te pakken. Feit blijft dat ddos-aanvallen aan populariteit wonnen door het collectief. Zo was Anonymous groot fan van het Low Orbit Ion Cannon of LOIC, een van de eerste grootschalig gebruikte ddos-tools die tcp-, udp- en http-packets stuurde naar een host en waarvoor gebruikers zich vrijwillig konden aanmelden. De tool is inmiddels open source op internet te krijgen.
Afpersing
In de laatste jaren worden ddos-aanvallen voor nog een ander doel gebruikt: afpersing. Die trend ontstond een jaar of vijf geleden. Met de opkomst van ransomware en het enorme 'succes' dat criminelen ermee boekten, werd cybercrime steeds professioneler. Verschillende groeperingen ontdekten een nieuwe manier om geld te verdienen met relatief eenvoudige malware.
Bij een ddos-afpersing stuurt een crimineel een waarschuwing naar een bedrijf. De boodschap is simpel: "Betaal ons bitcoins of we leggen je bedrijf plat." Vaak wordt precies op dat moment ook een korte, maar krachtige ddos gestart om de eis kracht bij te zetten. Ddos-afpersing lijkt wat dat betreft veel op ransomware. Bedrijven worden namelijk hard getroffen door downtime en hebben er dan ook geld voor over om hun zaken weer aan de gang te krijgen. Waarschuwingen voor ddos-afpersing kwamen niet alleen van beveiligingsbedrijven, die vaak baat hebben bij het identificeren van nieuwe gevaren, maar ook van bijvoorbeeld de Zwitserse overheid.
Hoe effectief ddos-afpersing in de praktijk is, is een punt van discussie onder beveiligingsexperts. Zo is nooit goed in beeld gebracht hoe vaak zo'n afpersing voorkomt en wat de al dan niet financiële gevolgen zijn als een bedrijf niet betaalt.
Mirai en andere botnets
In 2016 lag een groot deel van het internet eruit. Dat is geen hyperbool; een flink aantal prominente websites, zoals Reddit en de site van The New York Times, waren niet te bezoeken. Het probleem lag, zoals vaker, bij dns. Specifieker: de grote dns-resolver Dyn had last van een cyberaanval. Een grote ddos-aanval trof Dyn op 21 oktober 2016, wat tot gevolg had dat wereldwijd mensen niet meer naar hun favoriete websites konden. Een paar dagen eerder was er al een soortgelijke aanval geweest, op het blog van beveiligingsjournalist Brian Krebs. Later bleek de malware ook ingezet te zijn tussen 2014 en 2016 op onder andere een universiteit.
Botnets bestaan net als ddos-aanvallen al langer, maar Mirai veranderde de relatie tussen de twee definitief. Mirai is zelf een botnet, gebouwd door een onbekende ontwikkelaar. Uniek eraan is dat het vooral werkt met internet-of-thingsapparatuur. Het botnet speurt constant het internet af naar de miljoenen beveiligingscamera's en iot-koelkasten die geen wachtwoord hebben of nog zijn ingesteld op het fabriekswachtwoord 1234, en neemt die op in het botnet. Misschien wel de heftigste eigenschap van Mirai is dat het open source is. De broncode staat op GitHub. Mirai is een van de vele ddos-tools die gewoon gratis beschikbaar zijn, net als het eerdergenoemde LOIC, dat een public-domainlicentie heeft en op SourceForge staat.
Online gekocht
Precies om die reden is het zo eenvoudig om een ddos-aanval zelf uit te voeren. De ddos'er die in 2018 naast Tweakers ook verschillende banken en de Belastingdienst bestookte met een ddos, deed dat met een tooltje dat hij voor vijf tientjes op internet had gekocht. De Volkskrant sprak met de jongen, die vertelde dat hij op internet een booter had aangeschaft die vijftig tot honderd gigabit aan dataverkeer per seconde beloofde. Booters heten soms ook webstressers, maar feitelijk zit er geen verschil tussen; het is ddos-as-a-service.
Een koper kan ze voor weinig geld aanschaffen. Dat hoeft niet eens op het dark web. Op Google zijn ze inmiddels lastiger te vinden, maar dat is volgens een woordvoerder eerder onderdeel van hoe het algoritme organisch is gegroeid dan bewust beleid. Op andere zoekmachines leveren zoektermen rondom webstressers al snel pagina's aan resultaten op. Bitcoins zijn ook niet nodig voor de aanschaf; dat kan gewoon met een creditcard of PayPal.
“Als klant van een booter hoef je alleen maar te weten of een doelwit online is en hoe je dat moet bereiken”Booters zijn populair, zegt Jair Santanna, securityonderzoeker bij Northwave en gastdocent aan de Universiteit van Twente, juist omdat ze een toch al zo eenvoudige ddos nog eenvoudiger maken. Santanna doet sinds een paar jaar onderzoek naar ddos-aanvallen voor de Universiteit van Twente en dan specifiek naar de verkoop van booters op internet. Voor de Universiteit ontwierp hij zelfs een algoritme dat automatisch listings voor booters in zoekmachines kan detecteren. Wie een booter inzet, krijgt weliswaar vaak verschillende opties, zoals het switchen tussen SYN- of tcp-floods, maar die hoeft de gebruiker niet te snappen. "Als klant van een booter hoef je niet te weten hoe het werkt. Je hoeft alleen maar te weten of een doelwit online is en hoe je dat moet bereiken."
Een probleem met booters is dat ze vaak pretenderen legaal te zijn, zegt Santanna. "Ze claimen dat ze ingezet kunnen worden voor het testen van je eigen netwerk, maar dat is niet waar ze in de praktijk voor gebruikt worden."
Santanna concludeert in zijn onderzoeken dat booters een significant onderdeel vormen van ddos-aanvallen, in ieder geval in de afgelopen jaren. "Tot aan 2013 waren ddos-aanvallen voornamelijk iets wat hackers met specialistische kennis moesten uitvoeren, maar vanaf toen ging de hackersgemeenschap tools via gewone zoekmachines aanbieden." Volgens Santanna noemden beveiligingsbedrijven dergelijke booters de grootste factor in de toename van ddos-aanvallen, in ieder geval wat hun grootte betrof en hoe vaak ze voorkwamen.
Perfect storm
Dat maakt ddos-aanvallen anno 2020 tot een 'perfect storm'. Ze zijn kinderlijk eenvoudig uit te voeren, letterlijk: ze zijn goedkoop en de techniek van het internet is er niet op gemaakt ze gemakkelijk tegen te kunnen houden.
De eenvoud van ddos-aanvallen maakt het theoretisch ook gemakkelijk om ze te mitigeren. Een dienst krijgt te maken met veel ongewenst verkeer en dat hoeft alleen maar naar een andere plek te worden gestuurd. Bedrijven als Cloudflare en Akamai investeren miljoenen euro's in servers waar ze dan ongewenst verkeer naartoe kunnen leiden, als een prijzige dienst. Ook in Nederland gebeurt zoiets met de Nationale Wasstraat of NaWas, die is opgezet als samenwerking tussen het bedrijfsleven, banken en Nederlandse providers. Het idee erachter is dat leden die zich bij de NaWas hebben aangesloten, hun overdaad aan verkeer kunnen omleiden en 'schoonspoelen'.
Het data verkeer tijdens de ddos-aanval op Tweakers.
Geheim van de chef
Uiteraard is de praktijk lastiger, want het eerste obstakel is: hoe weet je wanneer je te maken hebt met een ddos-aanval? Dat is in principe niet zo ingewikkeld. Met tools als Netflow kunnen bedrijven zelf detecteren of er een ongewone hoeveelheid verkeer binnenkomt. Vervolgens kan de wasstraat worden ingeschakeld. Via het border gateway protocol kan verkeer naar de wasstraat worden gerout. Met een more specific-route kan verkeer worden onderscheiden en 'schoongewassen', waarna het legitieme verkeer verdergaat naar de originele bron.
Hoe dat schoonwassen precies gebeurt, is niet zomaar te achterhalen, zegt Giovane Mora. "Fingerprinten is een belangrijke methode, maar hoe die precies wordt opgesteld, is het geheim van de chef", zegt hij. "Bedrijven als Cloudflare verdienen veel geld met dat geheim." Voorlopig blijft een groot serverpark met filtersoftware ook de enige aanpak die echt werkt tegen ddos-aanvallers, hoe simpel dat ook klinkt. De aanvallen blijven oersimpel, dus is de bestrijding dat ook. Dat is juist wat ddos'en zo hardnekkig maakt.
Leuk achtergrond artikel. Ik de k voor veel mensen die als serveradministrator hebben gewerkt of wel eens een site met een community hebben geleid hier wel vaker mee te maken hebben gehad.
Ooit, jaren terug, was ik een admin op een community forum voor tieners (was er zelf ook 1). Zodra iemand uit deze community werd gezet kon je er de klok op gelijk zetten. Dit was in de tijd dat data schaars en duur was. De aanvaller kon soms vanaf een thuisnetwerk de aanvallen uitvoeren. Zodra de ontvangende kant over het bandbreedte limiet zat kwam er een dikke rekening. Hoewel de hoster destijds daar erg netjes mee omging en de resolve naar de site killde. Dit had ermee te maken dat achteraf een php image resizer actief werd misbruikt. Laat bijvoorbeeld 10 afbeeldingen tegelijkertijd per seconde renderen (image.php?id=123&height=9999&width=9999) zo werd een kleine avatar van 80x80 pixels door gdlib opgeblazen. Doe je dat vaak genoeg dan wordt alle bandbreedte verzamelt om uit te leveren. Layer 7 ook aangepakt en dit alles doordat er geen limiet zat op de grootte van de afbeelding (was in die tijd simpelweg geen trigger gemaakt).
Toen er eenmaal een max was werd het minder.
Maar alsnog werden er nieuwe manieren gezocht. Later in mijn carriere en al lang geen tiener meer was mij de DDOS bij gebleven. Als ontwikkelaar van grote websites kwam het nog wel regelmatig voorbij. Een prettige hoster die je kan bellen is dan prettig. Toen die ook niet meer alles alleen naar dev/null konden sturen werden al snel diensten als Cloudflare gebruikt. Want gratis, effectief en slechts voor de reguliere bezoeker een verificatie van 5 seconden ipv een 30 seconden time-out. De sites waren Drupal based en er werd vaak gebruik gemaakt van zero-days in de applicatielaag om zaken te misbruiken.
Erg vervelend en juvenile om het zo maar te zeggen. De grote DNS aanval uit 2016 was ook bijzonder, the day that broke the internet. Mooi dat jullie deze ook noemen. Dit gaf veel professionelere bedrijven de kans om beveiliging voor zaken dat aan het internet hangt te verbeteren. Zo kon, mits je goed kon praten, meer funding beschikbaar gesteld bij gerenomeerde bedrijven zodat de robotstofzuiger niet meer meedeed aan de aanval.
Feit blijft wel dat je oom met een AliExpress camera, open naar internet via UNPNP vaak een complete Linux distro draait, die doet dus weer lekker mee. Maar dat mag je ook verwachten voor 15(!) euro voor een buitencamera met prima beeld. Hij doet het toch? Hoezo onveilig? Ik heb toch niets te verbergen?
IoT zie je dus nog steeds meer. Bij het beveiligen van 1 IoT product lijkt het alsof er twee weer terug op de markt komen met elke keer dezelfde ingebouwde “fouten”. Zo’n apparaat hoort geblockt te worden in de lokale firewall en slechts 1 poort met timeout hoeft open te staan (namelijk die van een VPN!)
Dan nog ben je niet verzekerd dat je netwerk niet meedoet aan een botnetwerk. De laatste jaren krijg ik om me heen steeds vaker mailtjes van ex-klanten met een kleine website. Die hebben Patchman achtige software draaien en houden exploits bij, vooral die misbruikt worden en grijpen daar actief op in. Het fixen van het lek dat misbruikt wordt op de server om zodoende anderen aan te vallen kan dan makkelijker worden opgelost (dan gaat het dus eerder om kleinschalige managed reseller hosting). Ook internetproviders voor consumenten doen vaker een mailtje of brief de deur uit bij problemen vanaf je verbinding.
Daar zitten dus al veel verbeteringen, maar de lage appels zijn toch de software van de reguliere internetter, en een van de redenen dat poort 25 op een consumentenverbinding vaak niet werkt.
Ik wist overigens niet dat ntp (nog steeds) zo’n ding was. We kunnen wel zeggen dat het internet langzamerhand uit zijn broek groeit en wij de riem steeds strakker proberen aan te trekken. Er komen steeds meer vernieuwingen op het http protocol zoals https/3 en de daarbij geleverde handshakes.
De geheime saus van Cloudflare? Dat heeft grotendeels te maken met het gebruiken van hun DNS services die je ip adres van je server proxien om zodoende je host niet bekend te maken naar buiten toe (mits goede config). Door de aantal klanten (veel) die CloudFlare heeft kunnen ze makkelijker aanvallen pinpointen en brengen daar ook wel eens white-papers over uit. Een jaar of 2 a 3 geleden lieten ze zelfs een exploit voor Wordpress blokkeren totdat developers tijd hadden om het te fixen. De exploit was uit maar Cloudflare kon simpelweg de request weigeren doordat het over de DNS werd aangevraagd en code geïnjecteerd word op de site van een Cloudflare hosted website. Hoe meer klanten Cloudflare dus heeft, hoe makkelijker het is te spotten wanneer een exploit ineens massaal actief wordt misbruikt. Dit werkt gewoon al bij de gratis tier. Wil je nog een fatsoenlijke cached site laten zien tijdens een aanval, of zelfs nog bepaalde functies van een applicatie laten werken dan kan dat vaak met maatprijzen. Geen volledige garanties maar alwel een stuk veiliger.
Een van de nadelen van CF is; je site wordt eerder gescanned door botnets, Cloudflare heeft inzicht in je bezoekers, en je weet nooit 100% wie er waar achter de knoppen zit.
@TijsZonderH , Van mij mogen er vaker security artikelen op Tweakers. Erg leuk en zal ook de comments in de gaten houden met daarin misschien tips maar vast en zeker ervaringen van dichtbij.
[Reactie gewijzigd door Kecin op 22 juli 2024 23:12]
Mooi stukje. Heb je tips voor het afschermen van zo een Ali camera? Ik kan uitgaand verkeer blokkeren maar ik wil er wel nog met (chinese)app bij kunnen. Is er een tussen weg? Ik sta open voor creatieve oplossingen met rerouting, andere porten, en een andere apps e.d.
1. hang al je IP-cam meuk aan een apparte switch : dat is toch wel handig voor PoE. verbind die switch vervolgens met een poort aan je router, trek die port vervolgens uit je local-network vlan en hang hem aan je VPN's vlan. zo dat is één geen verkeer meer tussen je lokale netwerk en de spycam.
vervolgens kun je nog kiezen om internet access voor het ding helemaal uit te schakelen en dus alleen lokale communicatie toe te staan.
de laatste stap is zoeken naar apps die kunnen verbinden met dit soort cams via api's of mpeg streams. zodat er geen remote server nodig is.
Tsja, en dat dan verwachten van de consument met gemiddelde of veelal onder gemiddelde competenties van netwerken. De meeste (waaronder ook ik, geef ik grif toe) vinden het al een hele prestatie als je het ding werkend krijgt .
Als e.e.a. nou eens simpel wordt uitgelegd, welke switch (geen idee wat dat is in een ICT netwerk), hoe je een port uit je local-network vlan (??????) moet trekken en welke app je moet gebruiken om camera's te verbinden via api of mpeg streams en hoe je dat dan moet doen. Gewoon stap voor stap de onwetende meenemen in de wondere wereld van netwerken.
De competenten onder ons vergeten vaak dat de taal waarin wordt gesproken echt heel bijzonder is. Veel mensen kennen die taal gewoon niet en weten echt niet wat er wordt bedoeld .
Ik kan het je hier wel gaan uitleggen, maar dat is niet het punt. Probleem is veelal dat het gewoon veel geld kost om dergelijke dingen te regelen. Een managed switch met POE kost je al gauw een €100, dan moet je nog geschikte bekabeling regelen (standaard cat5e stranded CCA 26AWG patchkabeltje is niet oke en mogelijk gevaarlijk) en dat kost je ook weer een paar tientjes. Het inregelen van VLANs vereist wel wat kennis en je zult daar in moeten investeren en leren hoe dat met jouw management interface werkt (kost behoorlijk tijd) dan moet je nog een VPN op gaan zetten wat weer via je router moet en je vaak handmatig in moet regelen, plus apparaat wat 24/7 aan staat om dat te fiksen (of een duurdere router), dan nog inter VLAN firewall regels.
En als je dat allemaal gedaan hebt kom je er weer achter dat de hele boel op wifi zit en je nu dus geen internet op je Accespoints hebt, moet je dat weer uit gaan zoeken en regelen.
Ik snap je punt. Het klinkt makkelijk, maar dat is het echt niet en het kost nog behoorlijk geld ook. Mogen we er wel vanuit gaan dat een Henk of Ingrid dat gaat kunnen doen? Antwoord is nee.
Dank voor je reactie. Voor mij zouden die paar honderd Euro niet zo'n probleem zijn, maar ja, dan heb je het spul en dan begint de uitdaging pas. De hele zooi laten installeren is ook weer zo wat. Vertrouw je die mensen dan wel? Bovendien gaat het dan een veelvoud kosten.
Vaak is de handleiding dusdanig slecht opgeschreven, dat je zonder gedegen netwerkkennis er geen bal van snapt. Dat je er dan niet aan moet beginnen, zoals batjes voorstelt, is ook weer het andere uiterste naar mijn mening.
Kijk het probleem is dat je voor die goedkope meuk een fatsoenlijk netwerk moet hebben om het veilig te krijgen.
Dan koop je duurder spul, maar dan heb je het geld weer niet om een fatsoenlijk netwerk te bakken.
Ff serieus. Een fatsoenlijk normaal + los IoT netwerk kost rustig 1000+.
Staat dat in verhouding met een camera van €15?
Hoe beter je weet wat je doet hoe duurder het allemaal wordt. Ik ga m’n huis verglazen bijvoorbeeld. T glas zelf kost geen drol in verhouding met goede cat6 bekabeling, maar de rest, poh. Ik denk dat ik het de eerste maanden met half internet moet gaan doen.
Cca duidt toch op de brandklasse van een kabel (CPR richtlijn)? Zo heb je Eca, Dca Cca en B2ca, dit zegt verder niets over de geleidersamenstelling van een kabel.
Wat niet wegneemt dat @sanscorp een valide opmerking maakt, hier had ik niet bij stil gestaan.
Zeker als je dunne kabels heb over lange afstand potentieel brand gevaar.
Nee.
Lange afstanden geven geen brandgevaar. Al het beschikbare vermogen zal zeer plaatselijk moeten worden gedissipeerd om hoge temperaturen te krijgen. Dat zal met een lange slechte kabel niet lukken dus juist absoluut geen brandgevaar.
Je haalt nu oorzaak en gevolg door elkaar. Het probleem met dit soort kabels is dat de lengte icm dunheid van de kabel zorgt voor een groter spanningsval, waardoor je een hogere stroomsterkte moet gebruiken om hetzelfde vermogen te kunnen leveren. veel POE apparatuur werkt met een marge van een paar volt en dus is de kans aanwezig dat het met 22V ook nog werkt, maar moet je wel meer stroom trekken. Zeker met CCA heb je dan met langere lengtes een probleem. Je moet namelijk een 2 kwadraturen dikkere kabel hebben dan koper voor dezelfde geleiding. Op een gegeven moment zal het koper wat er omheen zit als gloeidraad gaan fungeren want dat is veel te dun. 26awg CCA is niet geschikt voor POE. Kun je hoog of laag springen, dat is gewoon echt gevaarlijk.
Hoe haal ik oorzaak en gevolg door elkaar?
Je haalt zelf dingen door elkaar. Je verzint dat het gevaarlijk is en wat je verder zegt klopt wel maar is niet relevant in deze. Je legt niet uit waarom een langere kabel meer brandgevaar zou geven en laat (expres?) het maximum vermogensverlies en het oppervlakte waarover de warmte afgevoerd kan worden weg.
Reken anders zelf uit Met gebruikt van 2 van de 4 aderparen kan je ook met 50 meter 28 AWG CCA (dus dunner) makkelijk 20W afleveren. Met 4,22W verlies in de kabel, optimaal is anders maar 85mW/m zal niet zo erg opwarmen. 100 van die kabels samen door 1 nauwe buis die 2kW afleveren zullen warmer worden maar nog steeds geen brandgevaar.
En als je alle 4 aderparen gebruikt i.p.v. de helft zal het verlies in de kabel stukken minder zijn.
Je had kunnen bedenken dat er iets niet klopt in je redenatie. PoE zou niet mogen bestaan als het brand gevaar zou kunnen geven bij verkeerd gebruik. En Willem van Ockham zei dat bij tegenstrijdigheden de simpelste verklaring normaal de juiste is. Dat verschillende organisaties en regeringen PoE toestaan als dat brandgevaarlijk kan zijn is niet de simpelste verklaring.
Misschien zouden mensen daar zelf ook wel stil bij kunnen staan en niet massaal spul kopen waar ze de ballen verstand van hebben. Want vertrouwen op een fabrikant in een ver land die het idiotproof maakt is ook niet alles.
Dat is makkelijk gezegd, en ik denk dat ook bij elektronica of netwerk producten. Maar ik heb ook geen verstand van motoren. Als ik een auto koop ga ik er van uit dat die werkt en veilig is.
Thnx, dit gaat helemaal lukken, ik heb al een managed switch met vlan en dmz support, de cam gebruikt onvif, dus daar moet vast wel een app voor zijn. Power over ethernet heb ik niet nodig.
Ik weet wel een heel weinig creatieve oplossing: geen inbound connecties toestaan op je thuisnetwerk. Niet te veel willen dus die Chinese app alleen gebruiken als je op je eigen Wifi zit.
Bedankt, heb alle replies meegenomen in mijn plan van aanpak. Ik zit met het probleem dat ik de onvif via Shinobi op een Pi opneem die in een ander netwerk zit, dus ik denk dat ik doe wat jij zeg, en dan via Shinobi mobile over een specieke port naar buiten ga, zodat ik de cam volledig (in- en outbound) kan dichtzetten
Ik ben juist gestopt met CF omdat m'n site altijd down ging. Probleem is dat iedereen CF gebruikt en aanvallers dus constant zoeken naar bypass attacks op dat platform en die ook vinden.
Ik zit nu bij een kleinere CDN, wordt constant aangevallen maar heb nog amper downtime.
Aan de ene kant is UPnP gevaarlijk, maar het is een nachtmerrie om al deze LoT of een game console werkend te krijgen.
Geen idea of Tweaker hierover een post heeft geplaatst, anders ben ik daar enorme voorstander van hoe je nu een thuis netwerk met ISP router veilig kan krijgen.
Elke game gebruikt andere poort, moet je weer gaan zoeken etc.
Heb zelf UPnP gewoon weer aangezet, teveel gedoe met NAT: OPEN krijgen.
Als je de standaard gebruikersnaam/wachtwoord etc veranderd heb je in mijn ogen al de helft geweerd.
+ een Game console kun je gewoon op een DMZ zetten, alleen een game pc gaat dat weer niet op. Vooral als je meer apparaten draadloos wilt benaderen vanaf je pc.
[Reactie gewijzigd door DutchWing op 22 juli 2024 23:12]
Ik mis enige referentie naar de publieke cloud bedrijven in dit artikel; bedrijven als AWS en Azure spelen hier namelijk ook op in en maken het onderdeel van hun portfolio. Zo hebben deze bedrijven inmiddels zulke grote (brede?) netwerken dat je als eindgebruiker menig DDoS niet meer merkt. En als deze dan toch significant is hebben ze een DDoS Response Team (DRT) 24/7 voor je klaar zitten die pro-actief voor jou je Web Applicatie Firewall regels kan instellen om de DDoS te mitigeren. Uiteraard tegen een serieuze maandelijkse prijs.
Samen met de kinderlijk eenvoudige manier waarop je je infrastructuur binnen de cloud kan opschalen voor de duur van zo’n DDoS aanval is de kans dat je echt volledig offline gaat aanzienlijk verminderd. Ik zeg hier expliciet niet uitgesloten, want het voorkomen hangt af van vele factoren en alles heeft zijn grens waarna het omvalt. Ook je portemonnee speelt hier een rol uiteraard. Opschalen naar 100, 250 of zelfs 1000 servers is gemakkelijk in te regelen en snel uit te voeren, maar het heeft allemaal een prijs.
Gelukkig dekken bedrijven als AWS je hier ook tegen. Ze bieden een kosten protectie aan als het duidelijk is dat je onder een DDoS aanval ligt, zodat je credits kunt krijgen om kosteloos je infrastructuur op te schalen. Voor jou als eindgebruiker weer een zorg minder.
Bovenstaande, en nog veel meer uiteraard maakt waarom de publieke cloud zo immens populair is en imo het noemen waard in dit artikel..
[Reactie gewijzigd door Tristan op 22 juli 2024 23:12]
De cloud aanbieders hebben zeker een aantal troeven. Het is wel zo dat bij een DNS-aanval zoals we die gehad hebben in 2016 (als ik me goed herinner gingen toen 6 of 7 van de 13 root servers plat), het niet veel uitmaakte of je bij een cloud aanbieder zat of niet: site was pokketraag of onbereikbaar.
Overigens hadden we met 9/11 een vergelijkbaar effect: uiteraard was de capaciteit toen nog veel minder, maar puur door het surfen van mensen naar de nieuwssites kreeg je enorme vertragingen en zelfs onbereikbaarheid.
De oplossing ligt mijn inziens niet in het oplossen of beschermen tegen de aanval, maar in het bestrijden van slechte security van het thuisnetwerk. Dit moet een taak zijn van fabrikanten, software ondersteuning met auto updates voor alles wat online verbonden is in huis, en algeheel meer aandacht voor de security van de iot apparaten. Voor fabrikanten van modems en voor de ISP's die het modem leveren. Een thuis netwerk moet potdicht zitten by default. De geavanceerde gebruiker mag dan zelf iets open gaan zetten als dat nodig is, maar voor het gros van de gebruiker hoeft dat niet.
[Reactie gewijzigd door Aiii op 22 juli 2024 23:12]
Helemaal eens. Als nu de ISP's en alle AS-en nu eens de handen ineen slaan en zorgen voor goede filtering dan wordt het ineens een stuk rustiger op het internet.
Het was een jaar of 10 al bekend dat dit soort filtering behoorlijk kostbaar is en daarom wordt het niet gedaan. Vergis je niet, het is de schuld van de ISP's! Het type filtering heet Anti spoofing (BCP84) of in andere benaming Ingress filtering, dat zoiets betekent als:
Aan de binnenkant van mijn router kondig ik een netwerk aan naar buiten, dus kan ik nooit verkeer krijgen aan de buitenkant wat van origine van een ip adres afkomstig is uit mijn eigen netwerk.
Zolang dat type filtering niet wordt toegepast blijft iedereen last houden van amplification attacks.
Dit zijn aanvallen op basis van UDP.
Maar een TCP established session kun je de "dader" achterhalen, maar specifiek sturen van TCP flags kun je nog steeds spoofen.
Buiten dat is er ook wet en regelgeving nodig. Er zijn genoeg individuen die 5x per dag het hele internet afscannen naar open ports, omdat het kan.
Het is de schuld van de internet architectuur, je kan BCP84 niet verplicht stellen want er is niemand met die macht.
Ik ben voor internet 2 met verplicht ingress filtering (en egress filtering voor de multihomed bedrijven die falselijk beweren dat ze toch echt volledig willekeurig IP verkeer het internet op moeten kunnen douwen, met hoge boetes als er misbruik van gemaakt word). Ook zouden ISPs verplicht mee moeten werken om upstream te filteren bij DDOS. Als ze voor een IOT apparaat van een klant 100 filter regels in hun router hebben staan gaan ze misschien eens wat eraan doen ...
ingress filtering lost ampflication niet op. hacker->fakesource stuurt source:target dest: fakesource , reply van fakesource naar target vanuit isp edge is valide. je omschrijving lijkt meer op die van een stateful firewall en een sessie proberen te initieren vanuit de verkeerde kant.
jawel dat lost het wel op, er kan dan geen fakesource meer gegeven worden aangezien dat verkeer op de bgp edges, zowel aan de binnenkant, als aan de buitenkant niet geaccepteerd en dus weggegooid wordt . En er wordt geen verkeer meer naar de default route gestuurd, omdat het op de edge waar het wordt geïnitieerd al wordt gedropped. Maar @Pinkys Brain heeft gelijk. het is zowel bcp38 als 84; ingress en egressfiltering.
Daarom heet het antispoofing; unicast reverse path forwarding in strict mode. En daar heb je gelijk in het werkt inderdaad op het principe van statefull firewalling alleen is het een laag lager op L3. Daarom moet het niet alleen aan de buitenkant maar ook op de binnenkant.
De ISP's moeten zorgen voor:
-Het niet accepteren van ip verkeer wat niet in hun IP blocks voorkomt aan de binnenkant
-Het niet accepteren van ip verkeer vanaf de buitenkant wat schijnbaar van ip blocks komt wat dat AS zelf aankondig aan de binnenkant.
(Nu snap je ook gelijk waarom dit duur is; elk pakketje moet vergeleken worden met de route tabel. Daar heb je dikke routers voor nodig.)
Maar @analog_ Wat zou dan wel de juiste manier zijn?
[Reactie gewijzigd door Kabouterplop01 op 22 juli 2024 23:12]
Nee, klopt, ik interpreteerde het verkeerd. Je tweede stelling kan je enkel realiseren met stateful firewalls en ik denk niet dat providers die draaien (classic sub <1024 poort blok inbound hint op stateless), cgnat op mobile sja. Kost van URPF is een tweede keer de route tabel raadplegen ipv. een keer voor destination. Goedkoper dan stateful. null-routes en urpf zijn ook wel grappig als je geen firewall bent en het teveel wordt.
en mij kan het tbh niet zoveel schelen; excuus voor dikkere pijpen. alles gaat naar UDP dus miserie alom
[Reactie gewijzigd door analog_ op 22 juli 2024 23:12]
Als alle ISPs ingress filteren kan de hacker alleen maar een source faken als hij op ISP of backbone niveau wat gehacked heeft.
Internet 2 moet hoog genoege boetes hebben voor alles wat kan spoofen dat als ze hun veiligheid niet op orde hebben ze binnen niet al te lange tijd failliet zijn.
Lijkt mij niets mis mee, iedereen moet die mogelijkheid hebben. Helemaal mee eens.
Maar het probleem is niet de Tweaker die daar behoefte aan heeft. Het gros van de gebruikers zijn mensen met andere interesses dan computers en het tweaken daarvan. Die moeten beschermd zijn zonder dat ze dan zelf allemaal technische kennis voor moeten opdoen.
ik vraag mij waarom men het moeilijk vind om een ddos te detecteren.
Een ddos is helemaal niet moeilijk te detecteren. Een grootschalig ddos al helemaal niet.
Oh, en later in het artikel:
hoe weet je wanneer je te maken hebt met een ddos-aanval? Dat is in principe niet zo ingewikkeld. Met tools als Netflow kunnen bedrijven zelf detecteren of er een ongewone hoeveelheid verkeer binnenkomt.
Wat is het nou?
[Reactie gewijzigd door c-nan op 22 juli 2024 23:12]
Ik quote enkel het stukje uit het nieuwsbericht en stel de vraag waarom het moeilijk is:
'Complex' is bij een denial-of-serviceaanval een lastig begrip, want hoewel ddos'en moeilijk te detecteren en te stoppen zijn, is het principe van een aanval eenvoudig.
Echter, later in het bericht staat:
hoe weet je wanneer je te maken hebt met een ddos-aanval? Dat is in principe niet zo ingewikkeld. Met tools als Netflow kunnen bedrijven zelf detecteren of er een ongewone hoeveelheid verkeer binnenkomt.
is het nou wel of niet moeilijk te detecteren?
het detecteren is ook niet moeilijk,.. maar ze hebben de hardware er niet voor en dat kost mega veel geld
Detectie kost letterlijk niks.
Iedere router kan NetFlow/sFlow doen. Veel meer heb je voor detectie niet nodig.
Je hebt werkelijk geen idee waar je het over hebt. Nogmaals, ik heb het enkel voor detectie. Ik geef zelfs een voorbeeld waarmee dat kan. Jij hebt het over een totaal oplossing, inclusief mitigatie.
Quote eens waarin zij vertellen waarmee zij de detectie doen.
We use the netflow sent by the routers and analyzed by our detection solutions to identify attacks. Each router sends a summary of 1/2000 of traffic in real time. Our solution analyzes this summary and compares it to the attack signatures. If the comparison is positive, the mitigation is set up in a matter of seconds.
Hey, hebben ze het nou over Netflow? Ja inderdaad.
Vertellen ze waarmee ze de analyse doen? Nee, tuurlijk niet, het kost geen drol. Iedere simpele server kan namelijk Netflow/sFlow analyzeren.
koop jij de hardware maar in voor het beschermen van ddos https://www.ovh.nl/anti-ddos/technologie.xml, ik kan nu even een andere pagina niet vinden, maar je hebt rekenkracht nodig die continu de pakketen analyseert van de aanval... des de groter de aanval des te meer rekenkracht heb jij nodig om die aanval te detecteren. Ik zoek nog eventjes door voor die andere link
Ik lees in het artikel meerdere keren dat de techniek van het internet er niet op is gebouwd om dit soort aanvallen makkelijk tegen te houden.
Wat ik mis is een analyse van wat er nou eigenlijk nodig zou zijn om internet te bouwen dat wel bestand is tegen ontwrichtende acties. Ik zou verwachten dat hier hard aan gewerkt word door de verschillende internet governance organisaties zoals IGF of IETF. Is er iemand die daar iets zinnigs over kan vertellen?
Het grote probleem is de hoeveelheid partijen die erbij betrokken zijn. Je zou een systeem kunnen maken dat tegen de 1st hop van de aanvaller zegt: drop alle verkeer van die aanvaller naar mijn IP. Maar dat werkt alleen als iedereen mee werkt en dan moet je het ook weer veilig genoeg krijgen om misbruik te voorkomen.
Bekijk het even zo. We weten allemaal dat we IPv6 nodig hebben. In sommige delen van de wereld heeft men nu al onvoldoende v4 adressen en moet men cgnat toepassen. Toch slagen providers er maar niet in om IPv6 vlot uit te rollen.
Hoe wil je ze dan zo ver krijgen om een nieuwe techniek te implementeren die hen geld zal kosten terwijl daar mogelijks lagere inkomsten tegenover staan (minder trafiek aan de klanten aanrekenen)?
Door een (helaas waarschijnlijk naief/tevergeefs) beroep te doen op hun verantwoordelijkheidgevoel.
Al dat overbodige verkeer kost veel energie, die weer opgewekt moet worden en hoe harder de energievraag groeit, hoe langer de transitie naar een emissie-vrije economie zal duren (met alle gevolgen vandien).
De ICT sector gebruikt enorm veel electriciteit en dat zal in de komende decennia flink groeien. Het is een beetje afhankelijk van wie je precies gelooft maar momenteel is het aandeel van de ICT in het wereldwijde electriciteitsverbruik enkele procenten en word er verwacht dat dit binnen 10 a 20 jaar zal oplopen tot enkele tientallen procenten. Het terugdringen van overbodig dataverkeer (en andere efficiency verbeteringen) kan dan ook significante effecten hebben.
De andere pijler van dit soort fundamentele verbeteringen is economisch. Al dat overbodige verkeer kost enorm veel geld, niet alleen voor hun klanten maar ook voor henzelf (meer investeringen nodig in infrastructuur). Dat geld kunnen ze dan besparen en investeren in andere zaken waar ze meer profijt van hebben. Dat vergt echter een lange-termijn visie en die is helaas bij veel bedrijven ver te zoeken.
Inderdaad UPnP met IPv4 is gewoon nodig, is praktisch niet te doen voor de gewone gebruiker of enigszins ervaren pc gebruiker welke geen ICT beroep heeft.
NAT: OPEN krijgen vroeger was alles behalve leuk!
[Reactie gewijzigd door DutchWing op 22 juli 2024 23:12]
Ik vind dit artikel goed bedoeld maar een gemiste kans. Als je dan iets over DDOS schrijft, beschrijf dan ook de technieken in iets meer detail met wat tekeningetjes, dan is het ook beter te begrijpen voor mensen.
Iemand noemde hier de smurf-attack, een mooi voorbeeld van wat (vroeger?) mogelijk was, een van de oudste aanvallen. Lees ik volgens mij niets over.
Tweakers heeft het roer om gegooid en wil meer artikelen voor Tweakers schrijven en niet meer voor het generieke publiek. Ik vind dat dit artikel toch meer voor de laatste doelgroep is geschreven.
Ik heb er eigenlijk geen nieuwe informatie uitgehaald.
Het is gratis informatie. Als je meer detail wilt kan je beter een boek kopen. Je kunt niet verwachten dat via een beetje reclameinkomsten artikelen kunnen worden geschreven die de diepgang van boeken van 50, 60, of meer euro's hebben.
Heb er niet gek veel verstand van maar ik blijf het een laffe manier van wraak of vermaak vinden. Het is jammer inderdaad dat het zo gemakkelijk te doen is. Weet nog goed dat er bij Sony een paar jaar geleden een hoop last van was voor zowel het Sony zelf als de gebruikers van PSN.
Inderdaad PSN was toen een lange tijd offline etc... Zulke lui mogen van mij gewoon; het aantal gebruiker x de tijd dat het duurde = gevangenistijd zitten.
Ik zit me af te vragen of er een 'simpele' manier is om die IOT rotzooi te blokken op routerniveau. M.a.w. 1 IP range toestaan als de router het ding als IOT herkent.
Zover ik begrijp is tegenwoordig het IOT spul de grootste boosdoener
Dat hangt af van jouw begrip van het woord 'simpel'.
Ik heb het zelf nog niet gedaan, maar geloof dat het niet zo moeilijk is om je netwerk op te splitsen in verschillende VLANs, op z'n minst twee: een VLAN voor toestellen die verbinding mogen maken met internet, en een ander. Periodiek kan je ervoor kiezen om dat tweede VLAN ook even verbinding te laten maken met internet (bvb voor een update), waarna je dat ganse VLAN perfect opnieuw kan afschermen van het internet.
Aan het eind van de jaren ‘90 waren Smurf attacks nogal populair. Menige nodes in een inbelnetwerk of kabelnetwerk ging daardoor plat. Iedereen met basic Linux kennis kon een scriptje aftrappen om een Smurf attack te starten.
we zijn bij een nederlandse provider op bezoek geweest, deze zei inderdaad dat de NaWas zeer goed was voor hun, en de klanten.
zo kon de service altijd in de lucht blijven.
dagelijks kregen ze wel een stuk of 100 ddos bots, deze worden dan naar die NaWas gestuurd, en hetgeen wat belangrijk is, zoals het verkeer van klanten, gaat door, en de ddos blijft achter.
\
super artikel!
/i/2003894932.png?f=imagenormal)
:strip_exif()/i/2003894968.jpeg?f=imagenormal)
:strip_exif()/i/2003894974.jpeg?f=imagenormal)
/i/2003894976.png?f=imagenormal)
/i/2003894978.png?f=imagenormal)
/i/2003894984.png?f=imagenormal)
:strip_icc():strip_exif()/i/2004618410.jpeg?f=fpa_thumb)
/i/2004692394.png?f=fpa)
/i/2004838090.png?f=fpa)
:strip_exif()/i/1263478208.gif?f=fpa)
/i/1249634131.png?f=fpa)
:strip_exif()/i/2003892794.jpeg?f=fpa)
:strip_exif()/i/1235398869.jpeg?f=fpa)
/i/1248683747.png?f=fpa)
/i/2001672967.png?f=fpa)
:strip_exif()/i/1303128799.gif?f=fpa)
/i/2001758177.png?f=fpa)
:strip_exif()/u/119562/gunther.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/192670/download.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community){kind=small}
.
en weten echt niet wat er wordt bedoeld 
.
:strip_icc():strip_exif()/u/306291/crop63f3ce462c887.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/468594/crop5e1ebafed873c_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/302833/crop5d62bbcf516ed_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/328790/crop5db579bad2203_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/1197714/crop6647c29f2d3f4_cropped.jpg?f=community){kind=small}
/u/102334/avatar_mini.png?f=community){kind=avatar}
/u/51919/Screen%2520Shot%25202013-03-28%2520at%252022.41.04%2520.png?f=community){kind=small}
:strip_icc():strip_exif()/u/140143/krabsla_64x64.jpg?f=community){kind=small}
/u/95528/crop5af15e0d92966_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/1176/crop635f8931b2b68_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/149215/maillist.jpg?f=community){kind=small}
/u/1234264/crop5f65bff749fc3_cropped.png?f=community){kind=small}