DDoS Rabobank

Tsja... als alle professionals hun zaakjes allemaal op orde hadden dan zou er nooit iets misgaan. Dan zouden er geen nucleaire rampen gebeuren, geen vliegtuigen in de lucht op elkaar botsen en geen in aanbouw zijnde gebouwen spontaan instorten. Maar uit het feit dat die dingen wel gebeuren kun je dus afleiden dat niet alle professionals hun zaakjes op orde hebben.

'Aannemen' dat de Rabo dat wel heeft is dus een ongefundeerd uitgangspunt.

"Assumption is the... weten we wel?

Distributed Denial of Service (DDoS) attack is een Denial-of-Service-aanval op een computer of netwerk waarbij met een aantal computers, vanaf vele verschillende plaatsen op de wereld, -bestuurd vanaf een centraal punt-, zoveel verbindingsverzoeken naar de server van een of meer sites verstuurd worden, dat de service ervan tijdelijk niet beschikbaar is, of de server zelfs crasht.

Bron: Wikipedia: Distributed denial-of-service

Heb je er ooit bij stilgestaan dat het systeem van de rabobank er waarschijnlijk juist op is ingericht om heel veel transacties van verschillende machines te ontvangen? Anders zouden ze maar een beperkt aantal klanten tegelijkertijd af kunnen handelen en dat kun je als bank niet echt hebben

Maar opzich is het toch best normaal om een normale firewall te hebben die DDOS tegen kan houden?

@The Eagle: Dat lijkt me dikke onzin, zij zullen ook wel van een standaarddeviatie gehoord hebben.

@ ^: Normale firewalls kunnen geen DDOS tegenhouden. Dat is altijd vrij gespecialiseerde apparatuur.

[ Voor 40% gewijzigd door battler op 03-05-2011 12:20 ]

The Eagle schreef op dinsdag 03 mei 2011 @ 12:17:
[...]

Bron: Wikipedia: Distributed denial-of-service

Heb je er ooit bij stilgestaan dat het systeem van de rabobank er waarschijnlijk juist op is ingericht om heel veel transacties van verschillende machines te ontvangen? Anders zouden ze maar een beperkt aantal klanten tegelijkertijd af kunnen handelen en dat kun je als bank niet echt hebben

T.net is ook geen kleine site hoor en hier hebben ze een professionele oplossing in gebruik om DDOS aanvallen af te kunnen slaan tegenwoordig. De vraag waarom Rabobank niet soortgelijke systemen in gebruik heeft of dat er een speciaal type aanval is gebruikt om de site down te krijgen, is een vraag waar we waarschijnlijk het antwoord nooit van zullen weten.

w4rguy schreef op dinsdag 03 mei 2011 @ 12:30:
[...]


En dat is inderdaad in een notendop mijn vraag. Misschien kunnen we hier ons hoofd eens over laten kraken, wáárom zouden zij bijvoorbeeld die appliance niet plaatsen. En stel nou dat ze die wel hebben .. hoe kan hij dan alsnog over de zeik zijn gegaan ? (vind ik altijd een lekkere uitspraak als iets gewoon uitvalt).

Die van tweakers ging niet zo heel lang geleden volgens mij ook "over de zeik", waarschijnlijk hebben ze bij de Rabobank dat ding wel, maar is er net als bij tweakers gewoon een aanval gebruikt die bijna niet af te slaan is. Verder zouden er ook gewoon meer mensen/bots achter kunnen zitten wat het allemaal al moeilijker maakt

w4rguy schreef op dinsdag 03 mei 2011 @ 12:30:
[...]


En dat is inderdaad in een notendop mijn vraag. Misschien kunnen we hier ons hoofd eens over laten kraken, wáárom zouden zij bijvoorbeeld die appliance niet plaatsen. En stel nou dat ze die wel hebben .. hoe kan hij dan alsnog over de zeik zijn gegaan ? (vind ik altijd een lekkere uitspraak als iets gewoon uitvalt).

Maar we weten toch helemaal niets van hun situatie? We hebben geen énkel feit over de DDoS op de Rabobank. We weten niet eens welk deel aangevallen wordt. Ik snap dat het een leuke theoretische vraag is, maar ik begrijp niet helemaal welke kant je op wilt; wil je gewoon lekker speculeren?

Voor wat betreft je tweede situatie schets (wel geplaatst, functioneert niet), misschien is het een ander type DDoS of is het gewoon veel te veel traffic voor hun appliance om aan te kunnen. Maar ook daar valt geen enkel zinnig woord over te zeggen, omdat we het gewoon niet weten. Ik denk daarnaast ook niet dat de Rabo zoiets bekend zal gaan maken.

Zonder te weten óf ze iets fatsoenlijks hebben, net als TN, om DDoSsen op te vangen en zo ja wat en hoe dat nu in reactie op wat voor onbekende vorm van DDoS dan ook gefunctioneerd heeft is een zinloze speculatie zonder relevante feiten te weten. Je kunt er wel over gaan discussiëren maar het is dan gewoon een algemene discussie die helemaal niets meer met de Rabo te maken heeft.

Wil je er meer over weten dan zul je het ze domweg moeten vragen. Lijkt me een legitieme vraag want jij wilt als klant kunnen beoordelen hoe betrouwbaar hun diensten zijn wil je kunnen bepalen of zij jouw klandizie waardig zijn. Ze hoeven je echt niet alle details te geven maar je mag als klant wel van ze verwachten dat ze wel enig inzicht verschaffen. Je kunt bijv, verwijzen naar de hardware die TN gebruikt en vragen of zij vergelijkbare gespecialiseerde hardware (of evt. software) gebruiken die minstens even goed wordt geacht te zijn als die RioRey en of in de toekomst een aanval van hetzelfde type afdoende afgeweerd zal kunnen worden.

Of misschien wil de redactie van TN er wel een telefoontje aan wagen. Als IT-techsite die er zelf ook mee te maken heeft een vraag die de persvoorlichting van de Rabo als een volstrekt legitieme vraag in behandeling zou moeten nemen lijkt me.

w4rguy schreef op dinsdag 03 mei 2011 @ 12:37:
[...]
@Cloud

Dat we geen inzicht in de situatie krijgen moge algemeen bekend zijn, maar wat ik inderdaad wil is speculeren en dat mensen nadenken over wat er zou kunnen gebeuren en hoe zij denken dat het opgelost zou kunnen worden of wat voor soort aanval het is. Misschien is er wel iemand die kan zeggen van .. "ja leuk zo'n appliance maar met aanval type 'x' ga je daar dwars doorheen"...

Dat is op zich leuk speculeren, maar we weten niet eens óf, en zo ja wát, voor appliance ze hebben. Het is alleen giswerk.

**edit**

de eerste reactie is ook binnen .

Prachtige reactie inderdaad Mooie manier om even reclame voor je bedrijf te maken over de rug van een ander, zonder ook maar een enkel feit te hoeven gebruiken. Of hij moet meer details van de situatie weten dan wij, maar dat blijkt absoluut niet uit het artikel en is sowieso twijfelachtig.

Nee dat denk ik niet:

quote: http://nl.wikipedia.org/wiki/Openbaarheid_van_bestuur

De wet garandeert de mogelijkheid voor burgers om documenten over een bestuurlijke aangelegenheid bij een bestuursorgaan (bijvoorbeeld een ministerie, provincie of gemeente) op te vragen.

Zelfs al zou een bank in handen zijn van de overheid middels aandelen, dan is het nog steeds geen bestuursorgaan van de overheid.

Snap je gelijk waarom Donner het WOB verzoekcircus aan banden wil leggen (net als voor WOBs voor muldertjes - daar is die wet helemaal niet voor bedoeld).

Rabobank had al wekenlang last van traagheid en slecht bereikbare services. Als je te weinig capaciteit hebt om bepaalde aantal klantaanvragen te verwerken kan het inderdaad als snel lijken op een DDoS.
ING telebankieren kon ook wel eens traag zijn en timeouts opleveren. Altijd leuk als je net voor een run salarissen wilt overmaken ofzo.

Met zo'n Anti DDoS appliance vang je toch alleen de load op de daadwerkelijke servers op? Als de DDoS de internet verbindingen richting de appliance dicht laat slibben kan ik me niet voorstellen dat ze daar iets aan kunnen doen.

Klopt, maar als je hele lijn dichtgetrokken wordt bel je je coloprovider voor een oplossing en zorg je dat het bij hun router geblokkeerd wordt. Een beetje goede coloboer die genoeg aan je verdient zal daar een andere oplossing voor zoeken dan simpelweg je uplink uit de switch trekken (heb dat zien gebeuren bij een kleine coloboer die niet zo blij was met z'n klant ).

Ik mag overigens hopen dat scriptkiddies tegenwoordig geen SYN floods meer gebruiken om effectief sites plat te leggen. Dat is zo ongeveer de makkelijkste aanval om zowel uit te voeren als op te lossen. Mijn ervaring met linux webservers leert dat je die idd meteen plat kunt krijgen daardoor, maar met een OpenBSD/FreeBSD firewall met pf ervoor en synproxy rules heb je er totaal geen last meer van. Zolang de hele connectie met de client niet opgebouwd is op de firewall wordt ie niet doorgezet naar de webserver. Ik heb dat een keer mogen toepassen in Turkije bij een website. Het leek erg veel op SYN-floods, maar bleek achteraf gewoon te liggen aan het brakke netwerk daar.