PDA

Bekijk Volledige Versie : Bijna iedere dag DDos aanvallen is dit normaal



Lex den Oudsten
31/01/09, 13:33
Heren,

Ik heb geen verstand van internet, en vraag jullie om advies. Mijn webbouwers zitten in India; en zij zeggen dat het niet normaal is dat er bijna dagelijks Ddos aanvallen zijn.

SInds 4 weken laat ik mijn website monitoren door Uptrends; maar er is bijna geen dag met 100% uptime. 2 van de 3 dagen is er downtime, over jan. nu uptime 99,2%. Mijn Hoster heeft half jan. hier mededelingen over gedaan en heeft afgelopen maand meerdere keren onderhoud en aanpassingen om het systeem veiliger te maken.

Er waren problemen met CPU router, storingen die zelfs het hele netwerk platgelegd hebben, 1 Ddos aanval op een specifieke klant, en Ddos aanvallen op het hele netwerk.

Als ik naar mijn Uptrends rapport kijk, dan zie ik daar DNS storingen en TCP storingen.

mijn vraag is nu: is dit normaal? Of moet ik overstappen? Ik heb Plesk/dedicated Windows IIS server/ Is het makkelijk om over te stappen?

Ik wil ook dat mijn server wordt gemonitord op aanvallen/phising/botnets , zijn hier bedrijven voor? Of doet een hostingbedrijf dit ook?

Graag jullie advies,
Alvast bedankt

jeffrey
31/01/09, 13:43
Beste,

Dit is niet normaal.
Is dit altijd al? of een bepaalde periode?

De vraag of overstappen direct nodig is kunnen wij niet beantwoorden.
Wellicht dat u uw hoster kunt vragen wat de reden is van deze ddos aanvallen.

Het is wel mogelijk dat een server gemonitored wordt hierop, echter zal dit bij de meeste hosters zijn i.c.m. een managed service level.

Ramon Fincken
31/01/09, 13:52
Ik wil ook dat mijn server wordt gemonitord op aanvallen/phising/botnets , zijn hier bedrijven voor? Of doet een hostingbedrijf dit ook?

Wil je dat echt of wil je gewoon dat je server dichtgetimmerd wordt en systeembeheer een melding krijgt als je server non responsive is?

mikeh
31/01/09, 19:23
Waar staat ie ?

t.bloo
31/01/09, 19:33
Er waren problemen met CPU router, storingen die zelfs het hele netwerk platgelegd hebben, 1 Ddos aanval op een specifieke klant, en Ddos aanvallen op het hele netwerk.

De afgelopen week ongeveer zijn er bij een stuk of drie/vier netwerken die ik ken dergelijke storingen. Er zijn nogal veel Ddos aanvallen de laatste tijd, het is een ware plaag. Het vervelende in deze gevallen is dat de aanval tegenwoordig op de routers gericht is en niet meer op een individuele machine in het netwerk.

Je netwerkleverancier is vast bezig met een plan om dergelijke aanvallen in de toekomst beter af te handelen. Bijvoorbeeld door zwaardere routers aan te schaffen of meerdere kleintjes of speciale filters of iets in die richting. Ik heb altijd het idee, dat je minder kans op problemen bij een volgende storing zult hebben als de netwerk leverancier al eens door zo'n storing is heen geweest (omdat hij dan ervoor gewapend is).

Lex den Oudsten
01/02/09, 01:56
@ t.Bloo

Ik heb de laatste 3 weken een aantal berichten ontvangen van de hoster, ik denk wel zo'n 7 dat ze extra routers geplaatst hebben, een expert van Cisco erbij, 2e caching nameserver erbij, Ip transit etc lees ik... Dus ze doen echt wel hun best om t te verbeteren, ik noem daarom aan geen naam.

Maar de eerste aanval was echt gericht tegeneen specifieke klant werd vermeld; daarna waren het aanvallen op het hele netwerk.


@Ramon:
Deze maand ga ik live, en ik maak me erg zorgen over de veiligheid. Mijn webbouwers in India vonden het in elk geval niet normaal dat er zoveel aanvallen waren, en adviseerden te verhuizen. Mijn website gaat nl. persoonsgegevens verzamelen. De website van Monsterboard is afgelopen week voor de derde keer bestolen. De vorige keren was het phishing, maar nu was het volgens mij echt een aanval op de database (is ook niet SSL beveiligd; vraag me af wat daar de reden van is).

Het verzenden van persoonsgegevens, wijzigen van wachtwoorden, en betaalpagina is in elk geval beveiligd met EV-SSL; maar ik dacht: misschien zijn er bedrijven die in de gaten houden of indringers proberen binnen te komen en die meer zien dan bijv. mijn hoster?

Ramon Fincken
01/02/09, 02:36
hmm eens kijken:

* ok mooi SSL ( certificaat ook ? )
* eh monsterboard? ik mis even iets, heb je een linkje met meer info?
* "De vorige keren was het phishing" > wie wat waar? bij MB of bij jou?
* "aanval op de database" > valt ook te monitoren of dicht te timmeren, geef bv enkel je localhost toegang en geen externe hosts. geef nooit permissies voor een truncate of drop tables ....
zorg dat je coding gebruik maakt van zaken als mysql_real_escape_string() om SQL injection te voorkomen.
maar voor meer info > systeembeheerder

op wht adverteert er iemand met iets als eh ... (weet de naam niet) fanatical hosting en dan 2 varianten, eentje waarvan ook echt processen in de gaten worden gehouden van de dedi/colo server

even zoeken, tis rackspace.nl

ik denk bottom line, zorg dat je scripting klopt, timmer je server dicht en zorg voor goed systeem beheer. Af en toe zelf wat proberen/testen kan nooit kwaad. Zorg ook voor degelijke offserver/offsite backups.



update 2:
"Mijn webbouwers in India vonden het in elk geval niet normaal dat er zoveel aanvallen waren"

tja eh je wil ook niet weten wat ik in de access en error logs van mijn eigen websites tegenkom... ik denk dat de (pogingen tot) aanvallen er zowat altijd zijn

Lex den Oudsten
01/02/09, 12:15
@ Ramon,

De aanval was gelukkig niet bij mij/ben nog niet live, maar bij een groot bedrijf als Monsterboard. Monsterboard is nu 3x slachoffer geworden; de eerste keer hadden ze zelf niet eens opgemerkt.

http://recruitmentmatters.nl/2009/01/25/monster-database-nog-steeds-lek/#more-8848
http://tech.be.msn.com/news/article.aspx?cp-documentid=5940758

In aug. 2007 is de eerste publicatie geweest van een aanval, maar toen ontdekten ze ook dat er al eerder, in juni 2007 gegevens gestolen waren.

> en Ja EV-SSL certificaat van Verisign

bedankt voor je reaktie,

Ramon Fincken
01/02/09, 12:53
Graag gedaan :)

Lite-On
01/02/09, 17:56
Wellicht een idee om een hardware firewall ervoor te zetten?

Dagelijks DDoS aanvallen kunnen inderdaad voorkomen. Al eens vaker gezien. Meestal gaat hier dan wel om zeer kleine DDoS aanvallen welke weinig tot geen schade aanrichten.
Maar in jouw situatie lijkt er toch iets heel anders aan de hand.

mikeh
02/02/09, 01:38
"plaats je doos in een DDOS `proof' datacenter ! "

Je zou aan gigE / NAC (dot net) moeten gaan denken.

harvey
02/02/09, 05:42
@MikeH wat heeft een datacenter nou met dDos te maken ?

t.bloo
02/02/09, 11:11
Leuk al die goedbedoelde adviezen "hardware firewall", "ander datacenter", "gigabit aansluiting". Allemaal heel waar op zich, maar TS heeft last van storingen ergens in het netwerk waar hij op aangesloten is. Niet op zijn eigen machine dus.

bvankuik
02/02/09, 14:37
mijn vraag is nu: is dit normaal? Of moet ik overstappen? Ik heb Plesk/dedicated Windows IIS server/ Is het makkelijk om over te stappen?

Ik wil ook dat mijn server wordt gemonitord op aanvallen/phising/botnets , zijn hier bedrijven voor? Of doet een hostingbedrijf dit ook?


Mijn advies zou zijn:
- Laat de code en database nakijken op veiligheidslekken door een externe partij
- Als er zoveel downtime is, vraag dan ergens een prijsquote om over te stappen want deze problemen wil je niet als je live bent
- Overstappen na live gaan is altijd meer werk
- Betrek een professionele systeembeheerder die kaas heeft gegeten van security (wellicht dezelfde partij die je code/database nakijkt)

Voor het nakijken van code en database is het moeilijk om een richtprijs te geven. Mijn vermoeden is dat de prijs begint bij 1500 euro. Beheer per maand begint bij 200 euro.

Voor het overstappen is normaliter slechts een nieuwe hoster nodig en een aantal uren (voor installatie) van jouw Indiase webbouwer.

chielsen
02/02/09, 16:10
Aangezien je nog niet van start bent en je nogal veel last ondervind door 'de omgeving' waarin je zit, zou het niet onverstandig zijn om inderdaad van host te verhuizen zodat je niet in een netwerk zit die met zoveel problemen heeft te maken.

Wat je dan wel hebt is dat je volgens mij een nieuw ssl certifcaat moet aanschaffen, omdat deze gekoppeld aan het ip van de server is.

Verder, het belangrijkste is dat de site zelf goed is geprogrammeerd en dat er geen externe users op de server zitten. Als de server dan goed dicht is getimmerd met firewall ed is de kans niet groot op inbraak.
Bijna alle berichten over grote inbraken op bekende sites komen omdat de website niet goed is gebouwd. Je zou dus nog door een ander bedrijf naar de code kunnen laten kijken (ik zie vaak erg slecht geschreven scripts).

Unixadmin
04/02/09, 11:30
Aanvallen/phising/botnets is de dagelijkse praktijk tegenwoordig. Ze zoeken zwakke plekken in het hele system en beginnen hun werk te doen. Schakel deskundigen in, ook voor een second opinion om je scripts en je system grondig na te kijken zoals hierboven al gesuggereerd zijn door anderen. Je zit nu nog in de test fase dus een additionele test bij een nieuwe host is ook niet verkeerd. Beter nu extra geld uitgeven om er zeker van te zijn dat alles wel goed zit dan een hoop ellende achteraf wanneer de boel echt live is.

mikeh
04/02/09, 12:17
*kuch* professionals *kuch*

http://www.storefrontbacktalk.com/securityfraud/heartland-sniffer-hid-in-unallocated-portion-of-disk/

[/spam]

Focuz
05/02/09, 01:14
Wat je dan wel hebt is dat je volgens mij een nieuw ssl certifcaat moet aanschaffen, omdat deze gekoppeld aan het ip van de server is.


Dat is niet correct.
Het ssl certificaat is gekopeeld aan een domeinnaam.
Een ssl certificaat vereist echter dat het op een dedicated ip-adres moet draaien waar geen andere domeinen op staan.
Maar welk ip-adres dat is maakt niet uit.

mikeh
05/02/09, 01:20
Ligt voornamelijk aan het soort certificaat ;)

EV / CA / zelf gemaakte pruts...?

Apoc
05/02/09, 01:58
"plaats je doos in een DDOS `proof' datacenter ! "

Je zou aan gigE / NAC (dot net) moeten gaan denken.


*kuch* professionals *kuch*

Dat moet jij nodig zeggen.

A. DDoS *proof* bestaat niet, als een aanval groot genoeg is krijg je uiteindelijk alles plat.
B. Het was een aanval op een andere klant en een aanval op de routers - geen DDoS tegen TS zelf. Het verhuizen naar een ander (normaal) netwerk zou dus al oplossing moeten kunnen bieden.
C. Hoe kom je erbij dat NAC zo bestendig is tegen DDoS? Ten eerste is NAC nu niet heel erg hoogwaardig, en ten tweede bieden ze geen hoge graad van DDoS protectie. Je moet dan eerder denken aan een partij als BlackLotus.


Wellicht een idee om een hardware firewall ervoor te zetten?

Dagelijks DDoS aanvallen kunnen inderdaad voorkomen. Al eens vaker gezien. Meestal gaat hier dan wel om zeer kleine DDoS aanvallen welke weinig tot geen schade aanrichten.
Maar in jouw situatie lijkt er toch iets heel anders aan de hand.

Zo te zien heb jij het verhaal van de TS ook niet goed gelezen. Het ging om een aanval op een andere klant en aanvallen op het netwerk zelf. Dan kun je wel een hardware firewall ophangen voor je server, maar dat maakt absoluut geen verschil.

Goendi
06/02/09, 03:53
Ik heb de laatste 3 weken een aantal berichten ontvangen van de hoster, ik denk wel zo'n 7 dat ze extra routers geplaatst hebben, een expert van Cisco erbij, 2e caching nameserver erbij, Ip transit etc lees ik... Dus ze doen echt wel hun best om t te verbeteren, ik noem daarom aan geen naam.


Als ik dit lees heb ik niet veel vertrouwen dat ze weten wat ze doen. Moeite ok, maar 7 extra routers bij plaatsen om een DDoS te verwerken? Twee m10's bvb kunnen al heel goed hun ding doen in combinatie met netflow & firewalling bvb. Voorts kan een IP transit wel iets doen, maar tenzij die IP transit bvb filtert via GRE tunneling upstream, is dat enkel extra bandbreedte die een ddos aanval kan benutten om het netwerk te belasten. En die 2de caching nameserver vind ik helemaal raar... Een cache is bij mijn weten vnl bedoelt voor intern verkeer? Als die last heeft van die ddos aanvallen, dan is het teken dat hun primaire externe dns'en ook als cache fungeren, maar aan ddos aanvallen op zich zal een nieuwe cache niet veel doen... Buiten dat dat hun DNs cluster uitgebreider is, en ze dus meer capaciteit hebben om alle inkomende paketten te verwerken. Als je dan nog eens leest dat ze iemand van Cisco er bij halen... Op zich is dat een teken dat ze er een definitieve oplossing voor willen krijgen, en dat ze daar iets voor over hebben, maar het geeft evengoed aan dat ze het zelf niet kunnen... Ook dat vind ik geen goed teken.

Wat betreft NAC.net en consoorten... Ook grotere hosts kunnen last ondervinden hiervan. het hangt samen met de expertise die ze in house hebben om hun netwerk configuratie op punt te zetten. Ook betwijfel ik dat cisco apparatuur wirespeed kan filteren én forwarden, zonder aangepaste blades om maar iets te noemen, iets wat ik Juniper apparatuur dan weer wel zie doen.

Wat betreft je server en site... Er bestaan manieren om je server zelf te optimaliseren zodat die kwa performantie een ddos aanval in een zekere mate kan weerstaan. Een goed ingestelde firewall doet bvb al veel, al dan niet in combinatie met paar scripts, maar ook enkele kernel tweaks en aangepaste nic's kunnen een verschil maken. Je db kun je het vlotst beveiligen door enkel connecties te aanvaarden van localhost en je apache te chrooten. En als je echt een budget hebt, kun je mss inderdaad wel een hardware firewall à la TopLayer voor je server plaatsen, maar dat gaat je ook behoorlijk wat cash kosten...

Randy
06/02/09, 04:01
Een ssl certificaat vereist echter dat het op een dedicated ip-adres moet draaien waar geen andere domeinen op staan.

Enb dat is ook niet correct. Er zijn ook webservers die niet voor iedere SSL site een IP verspillen. IIS bijvoorbeeld.

harvey
06/02/09, 04:03
Moet je ook bij een goeie hoster staan als je High availability wilt dan ga je snel richting Proserve True BIT en alle anderen natuurlijk !.

Waarom hoor ik bij hun nooit dDos aanvallen ?
Je betaald iets meer maar ze zorgen er ook voor dat je online blijft.

Ok wij betalen voor onze testmachine ook niet veel voor deze server klagen we ook niet
beetje packet loss op een development machine of high latency maakt niet veel uit.

Randy
06/02/09, 04:06
Laat ik het zo zeggen Harvey, het zijn 'bepaalde' netwerkaanbieders die last hebben van ddosaanvallen (of zich hierachter verschuilen omdat de infra brak is). Deze 'bepaalde' aanbieders hebben allen één ding gemeen: het zijn budgetaanbieders. En deze trekken ook weer een 'bepaalde' doelgroep aan. En die 'bepaalde' doelgroep, trekt weer rotzooi aan. Het zijn altijd dezelfde, 'bepaalde', netwerken die last hebben.

Swiftway-UK
06/02/09, 08:11
dan ga je snel richting Proserve True BIT en alle anderen natuurlijk !.

Waarom hoor ik bij hun nooit dDos aanvallen ?


Je moet de juiste vraag stellen. Waarom hoor ik nooit over DDOS aanvallen op deze netwerken op webhostingtalk? google er maar eens op, dan zie je dat twee van de drie ook wel eens last hebben van DDOS aanvallen.

Alle netwerken zijn mogelijk een doelwit van een DDOS aanval, maar zij hebben geen klanten op webhostingtalk of klanten die liever niet posten dan het netwerk van hun aanbieder down is.

Daarnaast geef ik Randy deels gelijk. De aanbieders die last hebben van DDOS hebben tevens allen gemeen dat zijn dataverkeer tegen een lage prijs leveren. Hierdoor hebben zij veel meer klanten die relatief een klein bedrag betalen, terwijl bovengenoemde partijen minder klanten hebben die relatief een hoog bedrag betalen.

Meer klanten = meer mogelijke doelwitten = mogelijk meer last van DDOS.

Goendi
06/02/09, 09:56
Meer klanten = meer mogelijke doelwitten = mogelijk meer last van DDOS.

Dat vind ik een heel gewaagde stelling... Per definitie is het dezer dagen enorm simpel om een paar attacks te lanceren die bandwith wise serieuze impact hebben (en al vlot tegen de gigE aan komen te zitten). Overigens denk ik niet dat jij meer klanten hebt als BIT bvb? En geheel terzijde, ik weet heel zeker dat BIT best ddos attacks krijgt, maar dat die weinig tot geen impact hebben (Juniper++ ! :p).

Neen, ik denk dat een DDoS iedere host kan overkomen, en dat er sommige zaken zijn die dat kunnen bespoedigen. IRC is een mogelijkheid, maar evengoed de alledaagse motieven zoals jaloezie kunnen meespelen. DDoS is misdadig in mijn ogen, en niemand doet er in sé iets aan, omdat het toch zo moeilijk tracebaar is. En zelfs dan nog, hoe zou je bvb iemand vervolgen die aan de andere kant vd wereld zit?

Mijn inziens moeten carriers/hosts hun duit in het laatje doen. Ooit heb ik moeten dreigen een bepaald Braziliaans bedrijf een factuur te sturen als ze de servers die gebruikt werden voor een DDoS aanval, en samen ongeveer 800 mbit genereerden niet af zouden zetten. Dat, na drie dagen verwoed mailen, deed blijkbaar wonderen. Ze lieten hun argumenten vallen als zou het mogelijk legitieme (!) traffiek zijn van hun klant uit. Desondanks kan ik maar niet vatten hoe het in godsnaam mogelijk is dat er plots 800 mbit gegenereerd wordt door 8 servers, en er op het desbetreffende NOC geen alarm afgaat. En dan zwijg ik nog over transits die upstream blackhauling onmogelijk maken omdat ze meer centen verdienen aan de traffiek tgv DDoS.

Mijn inziens liggen de oplossingen bij carriers die de nodige initiatieven nemen om (mits een hogere prijs) de nodige filtering te doen (vb: http://www.ypigsfly.com/ - Peer1). Daarnaast moeten dergelijke zaken globaal zwaar bestraft worden (bilaterale contacten ed) én moeten carriers gaan beseffen dat op een bepaald punt die ddos aanvallen zodanig belasten worden dat hun netwerk het niet meer kan trekken waardoor ze plots met een enorme investeringskost zitten om het integraal up te graden.

Lex den Oudsten
18/02/09, 00:40
Heren,
ik lees vandaag pas de nieuwe reakties; ik krijg blijkbaar niet iedere keer een melding?

Bedankt voor jullie adviezen. Ik denk erover om toch maar over te stappen..we zijn nu weer een paar weken verder, en nog steeds wordt ik iedere 2-3 dagen geconfronteerd met downtime. Vorige week zelfs nog een keer 's nachts: bijna 4 uur (en dat terwijl er een ping opzit en SLA; men had blijkbaar geen zin om zijn bed uit te komen)..

Nu lees ik dat er datacenters zijn met iso 27001: de hoogst mogelijke beveiliging van gegevens.

Nu is mijn vraag:

Ik kan op google maar een paar van deze datacenters vinden, maar er moeten er ca. 50 zijn in Nederland. Wie kan mij een tip geven voor een dergelijk datacenter/hoster?

Ik heb nu (dedicated) supermicro 5014C-MR/windows 2003/apache/Plesk.
Kent iemand een iso 27001 hoster die een soortgelijke server aanbiedt?

m.vr.gr.

Randy
18/02/09, 01:04
Leaseweb, Denit, It's Us Group en zo zijn er nog wel meer. Houdt er wel rekening mee dat ISO enkel een papieren schil is, op papier staat hoe alles zou moeten werken en wat je gaat doen als dat niet zo is. Of het vervolgens in de praktijk gebracht wordt... Als je naar de eerstgenoemde partij kijkt, zie je dat ze ook regelmatig doelwit zijn van een DOS. Aan de andere kant: Leaseweb heeft meer dan voldoende netwerkcapaciteit (~200 Gbit) om deze opte vangen. Je moet dus van erg goede huize komen wil je deze provider urenlang geheel plat leggen.

Als je het helemaal goed wil doen, stap je van een dedicated af en ga je naar een _goede_ enterprise virtuele omgeving. (niet te verwarren met de 10-euro VPS-aanbieder). Zo sluit je ook nog eens problemen op je hardware uit. Een lijst van zakelijke aanbieders is bijvoorbeeld hier (http://www.bizp.nl) te vinden. Daarbij is er onderscheid aan hen die wel een netwerk exploiteren en de aanbieders die dit aan een professionele partij overlaten.

digitalvibes
21/03/09, 15:06
als ik jouw was zou ik gaan hosten bij een bedrijf gespecialiseerd in anti-ddos maatregelen.

lorddemos
03/04/09, 12:09
Inderdaad, er zijn hosters die Honeypots voorzien, en dergelijke. Natuurlijk kun je nooit 100% DDOS proof zijn. Hoe lang zijn de aanvallen al bezig? Misschien is het een... tijdelijk probleem. Ik veroordeel niet graag mensen/bedrijven.

Als het natuurlijk al heel lang bezig is, is het misschien aangewezen te verhuizen. Maar kijk eerst maar eens goed rond, en kies zorgvuldig je volgende hoster uit. Kans bestaprat dat het probleem zichzelf oplost in die tijd (wat niet wilt zeggen dat je niet moet rondkijken).

mikeh
03/04/09, 12:24
Wat is de link tussen een honeynet en DDOS ?