DirectVPS slachtoffer van DDoS attacks met poging afpersing

16-07-2021 11:15
Er is een DDOS aanval waardoor servers en diensten niet of slecht bereikbaar zijn.

16-07-2021 09:40 – 10:00
Er is een DDOS aanval waardoor servers en diensten niet of slecht bereikbaar zijn.

15-07-2021 16:50 – 22:00
Er is een DDOS aanval waardoor servers en diensten niet of slecht bereikbaar zijn.

14-07-2021 23:00
Website is achter StackPath gezet om te proberen jullie wat beter van informatie te kunnen voorzien.

14-07-2021 15:40
De DDOS aanvallen blijven sinds 15:40 langdurig aanhouden tot in de avond.

14-07-2021 01:40
De situatie is nu enkele uren rustig. We monitoren de situatie de komende tijd uiteraard nog nauwgezet. We voorzien je graag zo snel mogelijk van een volledige RFO.

13-07-2021 om 23:00
De aansluiting op de Nawas en bijbehorende filtering is actief, de situatie lijkt te kalmeren.

13-07-2021 om 10:15 – 23:00
Vandaag hebben we helaas een aantal langdurige en forse DDoS’en mogen ontvangen. Daardoor kan het netwerkverkeer van en aan je server trager zijn geweest dan normaal. Om de aanvallen blijvend te mitigeren sluiten we aan op de Nawas.

12-07-2021 om 15:20 – 15:45
Er was een DDOS aanval waardoor servers en diensten niet of slecht bereikbaar zijn geweest.

Update DDoS aanvallen

Sinds afgelopen maandag ligt onze infrastructuur vrijwel continue onder aanval. Daardoor heeft u mogelijk last gehad van packetloss, traagheid of onbereikbaarheid. In dit bericht alle details tot dit moment.


Afgelopen maandagmiddag rond 15:20 sloeg onze monitoring alarm. Al snel werd duidelijk dat er een DDoS gaande was. En geen subtiele ook: in piek is meer dan 80Gbit/s gemeten. In veel gevallen heeft zo’n aanval een duidelijk doel, zoals een enkele website of IP-adres. In dit geval zagen we complete ranges aangevallen worden en zelfs infrastructuur buiten onze eigen netwerken. Een doelgerichte poging om alle infrastructuur onbereikbaar te maken dus.

Verdere analyse leverde geen bruikbare aanwijzingen op en de aanval werd ook door niemand opgeëist. We besloten het als een incident te zien – onze eerste grootschalige DDoS-aanval sinds jaren – maar extra waakzaam te zijn op herhaling.

Dat bleek nuttig. Dinsdagmorgen rond 10:15 uur kwam een nieuwe DDoS binnen, ditmaal in piek over de 210Gbit/s. Wederom werden hele ranges aangevallen met dusdanig veel verkeer dat zelfs de uplinks van onze netwerkleveranciers het moeilijk kregen. Beide aanvallen duurde zo’n 20 minuten en zorgde voor veel overlast op de netwerken in de vorm van packetloss en traagheid.

We besloten geen halve maatregelen te nemen en de NaWas in te schakelen: de Nationale Wasstraat tegen DDoS-aanvallen. Met spoed werden verbindingen geregeld, poorten opgeleverd en mitigatiefilters ingeregeld. Een proces dat normaliter 5 tot 10 werkdagen in beslag neemt werd binnen 8 uur afgerond, met veel dank aan de betrokken leveranciers.

Om 15:30 uur ontvingen we de mail die je wist dat zou komen: de vorige aanvallen waren waarschuwingen en of we even rap een zeker bedrag in Bitcoin wilden overmaken, anders zouden nieuwe, nog veel grotere, aanvallen volgen. Om ons aan de ernst van de situatie te herinneren zou tot de gestelde deadline nog regelmatig een aanval worden uitgevoerd. Om direct daad bij woord te voegen en vanaf dat moment vrijwel niet meer te stoppen.

Ons standpunt bij afpersing is helder: niet betalen. Dat standpunt doet op dat moment altijd even pijn; het lijkt zo aantrekkelijk om ‘gewoon maar even te betalen en te hopen dat het ophoudt’. Je houdt hier echter de problemen mee in stand, geeft aan dat je gevoelig bent voor afpersing en hebt geen enkele zekerheid dat de aanvallen ook daadwerkelijk stoppen. Of een dag later doodleuk opnieuw beginnen, nu tegen een hoger bedrag. Door te betalen maak je jezelf juist tot een blijvend doelwit.

We hebben met man en macht verder gewerkt aan de integratie van de NaWas en het optimaliseren van de filtering. We raakten flap damping en moesten routefilter updates zien te forceren. Steeds als we een tactiek konden pareren veranderde het patroon iets, waardoor we opnieuw de filtering moesten bijstellen. Onderscheid legitiem verkeer eens van aanvalsverkeer als je een paar 100 Gbit/s langs krijgt… Rond 23:00 uur keerde de rust terug, we zijn nog tot 2:30 uur bezig geweest met het oplossen van kleine bijkomende problemen en het bijvijlen van scherpe kantjes.

Woensdag was het helaas weer raak. De aanvallen bleken soms te groot voor de scrubbing bij de NaWas waardoor opnieuw merkbare traagheid en packetloss ontstonden. Er wordt heel veel tegengehouden, op bepaalde momenten is de datastroom nog te groot om inhoudelijk gefilterd te worden. Er wordt continue gewerkt aan het verder verbeteren van de filtering en ons team is 24/7 paraat om in te grijpen bij herhaling. We kunnen helaas niet uitsluiten dat er nieuwe impact volgt, het is een kat en muis spel.

Veel gebruikers hebben last gehad van deze aanvallen, en dat doet zeer. We werken met een bijzonder toegewijd team keihard aan betrouwbare platformen die altijd snel en bereikbaar zijn, het is bijzonder zuur dat dat door een dergelijke externe factor worden tegengegaan. We zijn ons volledig bewust van de impact op je dienstverlening. Onze excuses voor de overlast – weet dat we er dag en nacht alles aan doen om dit te voorkomen.

Op een later moment zullen we dit incident verder evalueren. We zijn ons bewust dat we nog beter kunnen communiceren, hoe lastig dat in the heat of the moment ook is. Dat de aanvaller(s) meelezen en reageren op openbare statuspagina’s maakt het tot een uitdaging, daar gaan we wat op vinden. Zo zijn er meer zaken die we graag willen verbeteren om in de toekomst nog sneller en efficiënter te kunnen handelen.

Voor dit moment nogmaals excuses voor de overlast die je mogelijk hebt ondervonden en bedankt voor alle begrip en positieve berichten die we hebben ontvangen. Wij gaan niet slapen tot alles weer piekfijn in orde is.