PDA

Bekijk Volledige Versie : DDoS aanvallen en de hostingbranche.



Simon Besteman
01/05/13, 13:30
In de maand April stond de Nederlandse cyberspace onder druk van DDOS aanvallen. We zagen aanvallen op banken (die dat in eerste instantie ontkenden). Maar ook diverse hostingbedrijven kregen hier last van.

Wat is jullie mening? Was dit een toevalstreffer en zat de maand April ons gewoon niet mee, of is dit iets waar we in de toekomst nog veel meer mee te maken krijgen? En hoe ga je je hier verder tegen wapenen?

Wido
01/05/13, 14:12
Wij zien al jaren DDoS aanvallen binnen komen. Vaak geen idee waarom ze binnen komen, ze zijn er ineens en zijn ook vaak ineens weg.

Hoe wapen je je er tegen? Met techniek! Zelf geloof ik niet in black boxes die je in je netwerk hangt en magisch de DDoS weg filteren. Wij denken er bij cruciale systemen goed over na hoe we het zo goed mogelijk kunnen beveiligen.

Verder blijft het een kosten baten afweging, je kan moeilijk enkele tonnen investeren voor een omgeving die dat bij lange na niet om zet of waar die dag downtime dat bedrag niet kost.

Uiteindelijk is het ook aan de klant of hij hier voor wil betalen (of kan), want het moet ergens van betaald worden.

systemdeveloper
01/05/13, 14:56
Het is inderdaad een kosten/baten afweging.

Je doet enerzijds technisch een aantal dingen waarmee je botweg een redelijk deel van de ddossen overleeft en 'kunt hebben', anderzijds let je een beetje op welk soort klanten je onder je hoede neemt.
En soms... soms heb je gewoon pech en krijgt je goede aframmeling waarbij je techneuten urenlang bezig zijn om de boel (zonder succes) in goede banen te leiden, waarna de ddos gewoon stopt... en je techneuten net zo goed die tijd op het terras hadden kunnen blijven zitten.

ju5t
01/05/13, 15:02
Ik denk dat het nog wel toe gaat nemen. We zijn al op het punt waarbij internet gemeengoed is voor meerdere generaties en de jeugd al vroeger in aanraking komt met techniek. Het is een te simpele manier om te laten zie wie de grootste heeft en het kan allemaal anoniem ook.

Hopelijk worden netwerken in de toekomst minder anoniem en is het met meer samenwerking vanuit de ISP's mogelijk om sneller actie te ondernemen om aanvallen beter te segmenteren en te controleren. Dan nog zit je met landen als China die daar niet altijd even veel mee willen doen.

Ik heb nog nooit gewerkt met anti-ddos appliances dus kan er weinig over zeggen, maar het blijft volgens mij alsnog een kwestie van capaciteit.

Wido
01/05/13, 15:40
Het is inderdaad een kosten/baten afweging.

Je doet enerzijds technisch een aantal dingen waarmee je botweg een redelijk deel van de ddossen overleeft en 'kunt hebben', anderzijds let je een beetje op welk soort klanten je onder je hoede neemt.
En soms... soms heb je gewoon pech en krijgt je goede aframmeling waarbij je techneuten urenlang bezig zijn om de boel (zonder succes) in goede banen te leiden, waarna de ddos gewoon stopt... en je techneuten net zo goed die tijd op het terras hadden kunnen blijven zitten.Ack


Hopelijk worden netwerken in de toekomst minder anoniem en is het met meer samenwerking vanuit de ISP's mogelijk om sneller actie te ondernemen om aanvallen beter te segmenteren en te controleren. Dan nog zit je met landen als China die daar niet altijd even veel mee willen doen.Belangrijk is ook (wat in andere threads al genoemd werd) is dat IP-adres spoofing niet meer kan.

Dat begint bij de ISPs zelf door hun source adressen te controleren en dat gebeurd nu vaak nog niet.

Een beter internet begint in dit geval bij jezelf.

NederHost
01/05/13, 15:58
Belangrijk is ook (wat in andere threads al genoemd werd) is dat IP-adres spoofing niet meer kan.

Ik zou hier nog aan willen toevoegen de toepassing van ratelimiting op UDP-services (met name nameservers met DNSSEC-ondersteuning). Met als kanttekening dat dat geen aan/uit-oplossing is en daardoor lastig te configureren (waar ligt de grens tussen misbruik en 'gewoon' zwaar DNS-gebruik?).

IP spoofing uitbannen klinkt goed maar is, vrees ik, bijna net zo lastig als het uitbannen van spam.

Stewie
01/05/13, 16:34
Belangrijk is ook (wat in andere threads al genoemd werd) is dat IP-adres spoofing niet meer kan.
Dat begint bij de ISPs zelf door hun source adressen te controleren en dat gebeurd nu vaak nog niet.

Sommige providers hebben dat als USP ;)

visser
01/05/13, 18:05
Ik zou hier nog aan willen toevoegen de toepassing van ratelimiting op UDP-services (met name nameservers met DNSSEC-ondersteuning). Met als kanttekening dat dat geen aan/uit-oplossing is en daardoor lastig te configureren (waar ligt de grens tussen misbruik en 'gewoon' zwaar DNS-gebruik?).

IP spoofing uitbannen klinkt goed maar is, vrees ik, bijna net zo lastig als het uitbannen van spam.

Elk netwerk is er één, en zorgen dat je eigen netwerk geen bron kan zijn van gespoofed IP verkeer is erg simpel.

Rate limiting van DNSSec queries/replies kun je het beste op je authoritieve DNS doen, want dan heb je een limiet per source (of per hash bucket van sources).
Ik zie zo even niet of dat ook een combinatie per source en per zone is, maar dat zou ook een goed idee zijn.
Verder lijken er wat opties te zijn om TCP transfer te forceren bij een bepaalde query rate. Dat filtert ook mooi op echte requests en haalt de enorme versterkingsfactor van gespoofde DNSSec queries weg.

Van een normale resolver (die antwoorden cached ) verwacht je namelijk geen enorme aantallen queries, terwijl een DoS aanval een redelijk aantal queries van dezelfde 'source' (namelijk het gespoofde adres van het slachtoffer) zal sturen .

Ergens op een access device alleen maar ratelimiten op een bepaalde totaal max DNS pps/sec is vrij zinloos en maakt geen verschil tussen 'gewoon druk' en 'DoS bron'.

Ik hoop dat degenen die DNSSec uitrollen dit soort dingen *NU* aanzetten, en niet pas na klacht mails van slachtoffers van hun DoS versterkers.