2e DDOS transIP

Ik vind het raar dat je denkt dat er een patroon in zit. Met n=2 is dat nogal lastig vast te stellen.

Bijzonder genoeg hebben wij met alle diensten last, behalve 1 server (VPS). Die draait blijkbaar op een ander stuk netwerk.

Komt wel goed uit, het is net onze belangrijkste hosting server

Hier werken twee van de drie VPS machines alweer. De momenteel niet bereikbaar is een BladeVPS Pro M welke ook de meeste bezoekers te verwerken krijgt.

Zijn dit soort grappen te voorkomen? Buiten deze aanval ben ik verder dik tevreden over TransIP!

[ Voor 24% gewijzigd door Martine op 18-03-2014 21:51 ]

1 keer in het jaar een DDOS. Vind het mee vallen. Zelf nog geen last van gehad.

Hier valt de server die nog werkte nu ook weg

Hier is onze TS die via TransIP loopt ook down

Via controlpanel console naar de vps'en is nu ook gestopt. Die werkte net nog wel.

Ik vermoed wat interne routers/routes die nu aangepast worden

Hier ook net down. 10 minuten geleden werkte alles nog perfect.

Eigenlijk zouden ze ook een soort thee-strikes overal in moeten voeren voor mensen die met malware besmet raken. Dan zijn er ook geen botnets meer die die scriptkiddies kunnen gebruiken

Ah, zelfde vps host/netwerk segment waar we opzitten Zippie

hier weer beschikbaar...

Hier ook, athans, degene die tot 21:50 beschikbaar was. Andere server die er al sinds 19:00 uit liggen nog niet

Vind het gelukkig nog wel meevallen... Vandaag 2 keer ongeveer 5 a 10 minuten down geweest.
Over het algemeen zijn ze er gelukkig snel bij .

iMick schreef op dinsdag 18 maart 2014 @ 22:06:
Vind het gelukkig nog wel meevallen... Vandaag 2 keer ongeveer 5 a 10 minuten down geweest.
Over het algemeen zijn ze er gelukkig snel bij .

10 jaar geleden konden ze amper tot niks aan ddos aanvallen doen en lagen sites en providers er rustig dagen uit. Gelukkig is het tegenwoordig met wat werk wel om te buigen zodat de impact beperkt is.

Over het algemeen is een DDoS nou niet iets waar een provider veel schuld aan heeft. Hoewel er wel enigszins omheen te werken (bijv. middels nullrouting van de target bij de upstreamprovider) is het meer symptoombestrijding en een poging tot beperking van impact helaas.

Nergens last van. Alles draait nog prima.

En daar is de rest van de servers ook weer

Afgelopen week al drie keer last gehad van DDoS..... Begint nu irritant te worden!
http://status.proserve.nl/category/noc/

Mijn grootste website heeft 92 minuten geen bezoekers ontvangen. Nu lees ik ook dat er meerdere partijen last van hebben of hebben gehad. Het is gewoon heel erg vervelend.

Heb niet echt last ondervonden met mijn VPS ( webserver ) .

Vorige keer had ik wel last van een trage vps maar verder niets

Mijn VPS was gisteravond ook even niet bereikbaar. Pingdom heeft in totaal 6 minuten downtime gedetecteerd (polling van 1min).

Grappig. Ik merkte gisteren dat de latency op de SSH verbinding al niet zo best was, maar zag geen echte issues (connect vanaf ziggo).

NewRelic kon mijn vps-jes 3x een paar minuten niet bereiken dus daarom was ik op onderzoek gegaan. Statuscake - mijn 2e monitoringdienst - heeft helemaal niets "gezien", maar die test loopt maar 1x in de 5 minuten.

Al met al vrij kleine impact. Ze doen over het algemeen erg hun best met dit soort storingen.

Iemand informatie of dit exclusief TransIP betrof?

Er lijkt wel een verband te zijn, maar niet met vorig jaar. Bij ons, bij BIT, Proserve, TransIP en nog wat grotere partijen is het de laatste twee weken raak. 90% van de aanvallen zijn 's avonds of in het weekend.

Het is de afgelopen weken continue raak bij Proserve. Ook nu alweer;

Ben benieuwd wat voor (high-profile) klanten bij hun draaien die hier continue getarget worden.

Het gebeurd meestal op woensdag- en vrijdagmiddag.

[ Voor 84% gewijzigd door frickY op 19-03-2014 15:15 ]

en we liggen er weer uit....

Geplaatst door: proserve op 19 maart 2014 om 15:18
Rubriek:Algemeen ,NOC

Momenteel ondervinden wij een DDoS aanval op ons gehele netwerk. Engineers zijn bezig deze aanval te pareren. Tot die tijd kunt u hinder ondervinden.

Via status.proserve.nl zullen wij u nadere updates verstrekken zodra dit mogelijk is.


[2014-03-18] Verstoring netwerk proserve
Geplaatst door: proserve op 18 maart 2014 om 20:26
Rubriek:NOC

Op dit moment doet zich een verstoring voor op het netwerk van proserve binnen locatie EuNetworks.
Onze engineers zijn met dit probleem bezig.

[UPDATE 21:37]

We hebben geconstateerd dat het een opvolging van meerdere DDoS aanvallen betreft en hebben hierop acties ondernomen om deze te stoppen. Ondanks verschillende pogingen blijven de DDoS aanvallen zich richten op nieuwe bestemmingen, hetgeen helaas resulteert in packetloss naar ons netwerk.

[UPDATE 23:01]

We hebben vanavond diverse DDoS aanvallen weten af te slaan. Op dit moment zien we nog steeds met enige regelmaat DDoS verkeer ons netwerk binnenkomen op verschillende doelen. Hierop reageren onze network engineers adequaat om de impact op ons netwerk te minimaliseren.

[UPDATE 01:29 - 19 maart]

We hebben in de afgelopen uren wederom een 2 tal aanvallen weten af te slaan. Het DDoS verkeer is inmiddels afgenomen. We blijven alert op mogelijk nieuwe aanvallen.

[UPDATE 04:00 - 19 maart]

Ook op dit moment zien we een DDoS aanval ons netwerk binnenkomen en zijn onze network engineers aan de slag gegaan met het afwenden er van. Op dit moment ervaart u mogelijk een beperkte bereikbaarheid van ons netwerk.

[UPDATE 04:38 - 19 maart]

De aanval is wederom afgewend en overlast in de vorm van beperkte bereikbaarheid is nu verholpen.

[UPDATE 07:55 - 19 maart]

Ook op dit moment zien we wederom een nieuwe DDoS aanval ons netwerk binnenkomen en zijn onze network engineers aan de slag gegaan met het afwenden er van. Op dit moment ervaart u mogelijk een beperkte bereikbaarheid van ons netwerk.

[UPDATE 08:25 - 19 maart]

De aanval is opnieuw afgewend en overlast in de vorm van beperkte bereikbaarheid is nu verholpen.

Op status.proserve.nl plaatsen wij de updates met betrekking tot deze storing.

Saven schreef op dinsdag 18 maart 2014 @ 22:00:
Eigenlijk zouden ze ook een soort thee-strikes overal in moeten voeren voor mensen die met malware besmet raken. Dan zijn er ook geen botnets meer die die scriptkiddies kunnen gebruiken

Dat is geen redelijke maatregel. De scripts die computers besmetten om deel uit te maken van een botnet zijn bij normaal gebruik niet op te merken (i.t.t. vele andere virussen die ervoor zorgen dat je computer traag als excrement wordt), en als je het niet merkt kun je er ook niet veel aan doen. Sommige scripts worden zelfs zo geschreven dat de PC niet gebruikt wordt voor het botnet wanneer de PC op dat moment actief bezig is, zodat het NOG lastiger wordt te ontdekken. Daar komt ook nog bovenop dat nieuwe scripts niet worden herkend, zelfs niet door erkende virusscanners, dus dan is het ook niet redelijk om te verwachten dat mensen daar iets tegen kunnen doen.

Niet iedereen heeft dezelfde kennis als een (boven-)gemiddelde tweaker. Het is dan ook geen goede regeling.

Mijn VPS bij TransIP is niet offline te krijgen

@patathome
Dat was vannacht en vanochtend. Zojuist was een ander, en die lijkt zojuist opgehouden of verholpen.
Komt hier weer het een en ander online.

dylanvana schreef op woensdag 19 maart 2014 @ 16:12:
Mijn VPS bij TransIP is niet offline te krijgen

Mijn VPS heeft ook 0 problemen:

Wel de 17de een grote spike gehad, maar toen had UPC wat problemen volgens mij

@Fricky, zie inderdaad dat het hier over transip gaat en niet proserve..... Mijn hosting (weboke) loopt via proserve en hadden rond de klok van drie weer een ddos anval..... Zal stoppen met spammen hier

Ik zit hier ook omwille de aanvallen op proserve hoor Die lijken ook aardig gelijk te lopen met die op TransIp.
Hoop niet dat het vrijdag wederom raak zal zijn...


//edit @ 22:38
En daar gaat Proserve weer

[ Voor 13% gewijzigd door frickY op 19-03-2014 22:39 ]

Lekker dan, bij mij draait het nog.
Lees net dat Proserve als noodmaatregel aangevallen klanten offline brengt.

Is niet transip maar het datacenter dat aangevallen wordt.

Elders is dit feest namelijk ook gaande. Iets van 38Gbps wat er doorheen vloeit aan traffic.

38Gbps vind ik toch wel weinig om een DC op zijn knieën te krijgen

Misschien is het wel een enorm aantal kleine of lastig te verwerken packets. Veel packets per seconde betekent ook veel CPU gebruik van routers en andere netwerkapparatuur.

En dan nog, veel hosting providers hebben hooguit 10 Gbit/s interfaces, maar het kan natuurlijk ook nog zijn dat een of meerdere transits overbelast worden. Dan wordt dat verkeer wellicht anders gerouteerd en kan dat ook weer problemen geven, als bijeffect van zo'n verstopte pijp of overbelaste router.

De ene DDoS is de andere niet. De hoeveelheid gebruikte bandbreedte zegt lang niet alles. De gevolgen zijn verschillend als er totaal andere technieken worden gebruikt, etcetera. Is het een SYN flood, een DNS of NTP amplification attack, etc.

Volledige Proserve verhaal;

U hebt de aflopen tijd mogelijk hinder ondervonden door DDoS aanvallen gericht op enkele van onze klanten. Dit betreft buitensporige en doelgerichte intelligente aanvallen met een enorme omvang. Het heeft de hoogste prioriteit om dit te verhelpen. De door ons recent gedane uitbreiding van de capaciteit op ons netwerk heeft niet het beoogde effect gehad doordat de aanvallen in zeer korte tijd van 4 gigabit naar veel meer dan 10 gigabit zijn gegaan. Hierdoor biedt ook het zogenaamde ‘inhouse scrubbing’ geen oplossing. Om die reden hebben wij ook een externe partij ingeschakeld om het verkeer te ‘scrubben’. Deze dienst is momenteel actief, maar ook daarmee zijn we niet bestand tegen de DDoS aanval waarmee we nu worden geconfronteerd.

Feit is dat alle door ons actief aangebrachte maatregelen om ons tegen deze criminele praktijken te wapenen, onvoldoende effect hebben. Om die reden hebben wij de uiterste noodmaatregel genomen om de klanten op wie de DDoS aanvallen zich specifiek richten, offline te halen. Dit alles om te voorkomen dat een veel groter deel van onze klantenkring last heeft of blijft houden van deze aanvallen en in de hoop en verwachting dat de (effecten van de) DDoS aanvallen in ons netwerk hiermee een einde nemen.

Los van de genomen noodmaatregel, werken wij in de tussentijd verder aan de meest moderne en geavanceerde preventiemaatregelen met als doel deze criminele activiteiten sneller en effectiever te kunnen afwenden.

Tot slot merken wij nog het volgende op. DDoS aanvallen komen de laatste tijd in sterk toenemende mate voor, zo heeft u zeer recent ook in de pers kunnen lezen. Op dit moment zijn wij met u het slachtoffer van een overmachtssituatie als gevolg van buitengemeen heftige criminele activiteiten. Ondanks dat de oorzaak buiten onze invloedssfeer ligt, realiseren wij ons dat de effecten ervan buitengewoon vervelend voor u zijn. Wij betreuren dat ten zeerste. Tegelijkertijd hopen we u er met deze toelichting van te hebben overtuigd dat wij geen middel schuwen om deze situatie zo snel mogelijk op te lossen, zowel op de meest korte als op de langere termijn.

Mocht u in de tussentijd vragen hebben kunt u contact opnemen met de afdeling support of met uw Account Manager.

Vrijdagavond kan ik als het goed is dus eindelijk weer aan de vrijmibo blijven

Verwijderd schreef op woensdag 19 maart 2014 @ 23:46:
Misschien is het wel een enorm aantal kleine of lastig te verwerken packets. Veel packets per seconde betekent ook veel CPU gebruik van routers en andere netwerkapparatuur.

En dan nog, veel hosting providers hebben hooguit 10 Gbit/s interfaces, maar het kan natuurlijk ook nog zijn dat een of meerdere transits overbelast worden. Dan wordt dat verkeer wellicht anders gerouteerd en kan dat ook weer problemen geven, als bijeffect van zo'n verstopte pijp of overbelaste router.

De ene DDoS is de andere niet. De hoeveelheid gebruikte bandbreedte zegt lang niet alles. De gevolgen zijn verschillend als er totaal andere technieken worden gebruikt, etcetera. Is het een SYN flood, een DNS of NTP amplification attack, etc.

Dit. een aanval met een enorm pps kan maar een handjevol Mbit zijn, maar een apparaat flink op z'n smoel trekken.