T.net en GOT plat? - Lieve adjes

woensdag 9 januari 2002 14:51

Acties:

mekker.

Op woensdag 09 januari 2002 13:39 schreef CrazyD_at_work het volgende:

[..]

Tja, als je zo gaat redeneren kun je iedere site wel sluiten, want ze zijn allemaal potentieel gevaarlijk. Ik weet trouwens niet of die irc server direct onder trueserver valt of nog onder een andere provider die daar host, maar dan is t.net net zo goed een 'gevaar' (wat ook al eens is gebleken).
Beetje kort door de bocht geredeneerd imho....

In principe kan iedereen een DoS krijgen. Ikzelf heb de kiddies die die grafieken op die site in een paar reacties hierboven veroorzaakt hebben ook een verkeerde doos zien aanvallen omdat ze het IP-adres (één van 'mijn' dozen) verkeerd overgenomen hadden. Maar dat doet niet af aan het feit, en dat is het, dat eggdrops, irc-bouncers en daarmee samengaande kiddies een behoorlijk potentieel tot ddos vormen.

Onderlinge wars worden regelmatig met ddos-attacks uitgevochten, wat een behoorlijke rotzooi kan veroorzaken op bedrijfs- of universiteitsnetwerken die OF als ddos-zombie OF als target worden gebruikt. Dat is bij de wat langer meegaande IRC'ers algemeen bekend. Het is dan ook niet bepaald kort door de bocht om simpelweg kiddies te weren van je netwerk. Uiteraard zullen ze doorgaan met hun activiteiten, maar je bedrijfsnetwerk- en reputatie lopen een veel minder groot risico geschaadt te worden dan wanneer je ze tot je klantenkring toelaat.

donderdag 10 januari 2002 06:33

Acties:

Femme

Hardwareconnaisseur

Official Jony Ive fan

Hier nog wat info over de attack:

Vanaf maandag 7 januari 18:00 tot dinsdag 8 januari 19:00 heeft het TrueServer netwerk onder vuur gelegen van zware (d)DoS* en SYN** attacks. Maandag was rond 21:00 de eerste vertraging te merken in het netwerk. Dit werd veroorzaakt door een SYN flood. Wij filteren per uplink op het aantal SYN's per seconde dat binnen komt; dit ter voorkoming dat de server waar het op gericht is crashed, echter kwamen er nu zoveel SYN's binnen dat normaal verkeer (waar ook SYN's voor nodig zijn) niet goed aankwam door het filter. Na de filters te hebben gedisabled werkte alles weer naar behoren.

De aard van de attack veranderde dinsdag in de ochtend. Tevens was het niet meer gericht op een host in ons netwerk, maar op onze core-router.

In overleg met uplink AboveNet is er druk gewerkt aan filters om de attack te stoppen, dit echter zonder succes; de attack kwam steeds van andere ip-adressen. Omdat het ging om packets van een bepaalde omvang moest onze router elk pakket stuk voor stuk bekijken en met ruim 92.000 packets per seconde was dat te veel gevraagd; de router werd qua besturings systeem erg traag. Routering bleef gelukkig wel gewoon doorgaan. Gezien dat de attack vooral via de AboveNet link binnen kwam werd besloten deze link te disabelen, hierna crashte de router. De aanval kwam nu van Telia en Level3. Vervolgens is de AboveNet link weer online gebracht. Vanaf de colocatie is de router vervolgens weer online gebracht, dit ging goed tot ongeveer kwart voor vijf, daarna is hij weer gecrashed. In overleg met AboveNet zijn er vervolgens hardwarematige sniffers geplaatst in het netwerk van AboveNet en is op basis van de resultaten een filter geschreven wat geimplementeerd zou worden bij AboveNet. Net toen de engineers van AboveNet hiermee klaar waren hield de attack op. Meer technische details over de aard van deze attack kunt U vragen bij Ruben.

Om dit soort dingen in de toekomst te voorkomen gaan we "risicovolle" klanten (irc en shell-hosters) verhuizen naar een speciaal netwerk. Dit zijn we nu aan het opzetten. Helemaal voorkomen kan natuurlijk nooit.

Ondertussen is er vandaag contact geweest met de afdeling computer criminaliteit in Driebergen en zal er aangifte worden gedaan. We hebben sterke aanwijzingen uit welke hoek de aanval is gekomen en zijn we bezig met het verzamelen van bewijsmateriaal. Als dit rond is zullen we de daders waarvan we vermoeden dat deze uit Nederland komen aanklagen en via een civiel gerechtelijke procedure een schadeclaim indienen.

[...] TrueServer heeft het afgelopen jaar nauwelijks downtijd gehad en we hopen dat na de zwarte dag van gisteren uw vertrouwen in onze diensten niet te veel is aangetast. We bieden u onze excuses aan en hopen dat een aanval van deze omvang niet meer voorkomt.

Hopelijk kunnen de kleuters gepakt worden.

donderdag 10 januari 2002 09:10

Acties:

IceStorm

This place is GoT-like!!!

Ik hoop voor Trueserver dat ze er geen klanten aan verliezen, ik zou het onterecht vinden.

Verder is het dan maar een kwestie van hopen dat er wat mensen gepakt/aangeklaagd gaan worden.

donderdag 10 januari 2002 10:45

Acties:

Verwijderd

Kan me eigenlijk nauwlijks voorstellen dat dit TrueServer klanten gaat kosten...

Iedereen die ook maar een beetje van 'het internet' weet, weet ook dat dit soort attacks kunnen voorkomen bij elke provider.

donderdag 10 januari 2002 12:16

Acties:

jep

Op woensdag 09 januari 2002 14:01 schreef Bigs het volgende:

[..]

Jij zit zeker op DALNet ofzo (als er volgens jou niet zoiets als IRC kiddies bestaan)

Moet je maar eens naar die link van Slakkie hierboven kijken en dan te tekst bij 8 januari. Dat soort dingen zijn op sommige netwerken orde van de dag (lamers ).

Ik zit al een jaar of 5 op DALnet ja, laatste jaren wat meer op DigaTech. Moet toegeven dat als ik op IRCnet e.d kom dat 't aantal kiddies nogal toeneemt ja

donderdag 10 januari 2002 12:16

Acties:

Nielsz

Toch gek dat een 'paar kiddies' het netwerk plat kunnen gooien

donderdag 10 januari 2002 12:23

Acties:

wasigh

wasigh.blogspot.com

Op donderdag 10 januari 2002 12:16 schreef Nielsz het volgende:
Toch gek dat een 'paar kiddies' het netwerk plat kunnen gooien

Nee zo gek is dat niet, op internet is daar genoeg info over te vinden. Zeker als je met een paar mensen bent (verschillende IP's) is het niet zo moeilijk..

donderdag 10 januari 2002 12:29

Acties:

Nielsz

Op donderdag 10 januari 2002 12:23 schreef wasigh het volgende:

[..]

Nee zo gek is dat niet, op internet is daar genoeg info over te vinden. Zeker als je met een paar mensen bent (verschillende IP's) is het niet zo moeilijk..

Ik weet hoe het werkt, en mijn servertje thuis krijgen ze idd wel plat jah, maar dat er zo'n grote down gaat

donderdag 10 januari 2002 12:29

Acties:

DeX

Topicstarter

Op donderdag 10 januari 2002 12:29 schreef Nielsz het volgende:

[..]

Ik weet hoe het werkt, en mijn servertje thuis krijgen ze idd wel plat jah, maar dat er zo'n grote down gaat

size doesn't matter...

donderdag 10 januari 2002 12:35

Acties:

wasigh

wasigh.blogspot.com

Op donderdag 10 januari 2002 12:29 schreef DeX het volgende:

[..]

size doesn't matter...

Aan een DDos is weinig te doen, behalve hopen dat je het verkeer er snel uit kunt filteren. Grotere servers? tja dan heb je meer hosts nodig van waaruit je kunt DDoS-en.

Yahoo hebben ze een tijd geleden ook plat gekregen, en dat is ook geen kleine jongen.. Wat ze daar gedaan hadden was een Trojan Horse geschreven, die op commando ging DDos-en, dan heb je al snel veel hosts(voor zover ik weet is het zo gegaan)

donderdag 10 januari 2002 12:36

Acties:

Nielsz

Op donderdag 10 januari 2002 12:29 schreef DeX het volgende:

[..]

size doesn't matter...

size does matter; ik krijg geen topic van 100 replies als mijn servertje thuis down ligt. En ik heb ook niet echt zoveel geld als trueserver heeft, en ze zouden imo best daar beter op kunnen beveiligen. (je kan best een filter op je firewall zetten die controleert of het pakket een ping bevat van X kb ofzo, en die gewoon niet het netwerk oplaat)

donderdag 10 januari 2002 12:39

Acties:

wasigh

wasigh.blogspot.com

Op donderdag 10 januari 2002 12:36 schreef Nielsz het volgende:

[..]

size does matter; ik krijg geen topic van 100 replies als mijn servertje thuis down ligt. En ik heb ook niet echt zoveel geld als trueserver heeft, en ze zouden imo best daar beter op kunnen beveiligen. (je kan best een filter op je firewall zetten die controleert of het pakket een ping bevat van X kb ofzo, en die gewoon niet het netwerk oplaat)

De ping of death zijn servers nog amper gevoelig voor. Het nadeel van een DOS attack is dat het niet te onderscheiden is van een gewone aanvraag. Op DoS- attacks is bijna niet te beveiligen (kijk maar naar de got-terrorist)

donderdag 10 januari 2002 13:07

Acties:

MoBi

Op donderdag 10 januari 2002 12:39 schreef wasigh het volgende:

[..]

De ping of death zijn servers nog amper gevoelig voor. Het nadeel van een DOS attack is dat het niet te onderscheiden is van een gewone aanvraag. Op DoS- attacks is bijna niet te beveiligen (kijk maar naar de got-terrorist)

Het is wel te filteren, alleen het probleem is dat de router zo traag word omdat er zo'n groot aantal packetten per seconde moeten worden door zocht dat het altijd uit word gezet.

Volgens mij zit je te lullen, want ik voel nattigheid....

donderdag 10 januari 2002 13:08

Acties:

Verwijderd

Op donderdag 10 januari 2002 12:36 schreef Nielsz het volgende:

[..]

size does matter; ik krijg geen topic van 100 replies als mijn servertje thuis down ligt. En ik heb ook niet echt zoveel geld als trueserver heeft, en ze zouden imo best daar beter op kunnen beveiligen. (je kan best een filter op je firewall zetten die controleert of het pakket een ping bevat van X kb ofzo, en die gewoon niet het netwerk oplaat)

size doesn't always matter.

Zoals te lezen is/was ging het voornamelijk over syn-floods.
Daar heb je maar een paar (okee wat meer dan een paar

) losse hosts voor nodig om zoiets te kunnen bewerkstelligen. De size van het netwerk is dan niet echt belangrijk, eerder de machines die het regelen en het maximale aantal connecties dat deze aankunnen.
Bij syn-floods worden er onnodig verbindingen opengehouden; gevolg is dat legitieme verbindingen niet meer doorkomen.

Het heeft niet echt te maken met pings ofzo

donderdag 10 januari 2002 13:45

Acties:

burne

Mine! Waah!

Op donderdag 10 januari 2002 13:07 schreef MoBi het volgende:

[..]

Het is wel te filteren,

Het is niet te filteren. Punt. Einde discussie.

I don't like facts. They have a liberal bias.

donderdag 10 januari 2002 14:03

Acties:

serkoon

mekker.

Op donderdag 10 januari 2002 13:45 schreef Burne het volgende:

[..]

Het is niet te filteren. Punt. Einde discussie.

Oh?

Toch vreemd.. je bedoelt zeker dat je -niet altijd- kunt filteren? Zo niet: dan heb je gewoon ongelijk

Ik heb laatst 40mbit ICMP echo request op m'n dak gekregen. Da's gewoon te filteren. Ik kreeg laatst een 10Mbit SYN op m'n dak, poorten 6660-6670 (IRC-poorten dus), da's prima te filteren. Hooguit ACK-packets zijn lastig te filteren, maar dan kun je rate-limiting toe gaan passen. (edit: niet dat je dan de te leveren dienst goed voort kunt zetten)

Daarnaast zijn die packets nauwelijks gespoofed. Je kunt dus, nadat je de verschillende netwerken hebt geïdentificeerd deze tijdelijk null-routen, of filteren op basis van source_netwerk en target_host. 't is maar net wat je wil. Alleen bij -echt- normaal verkeer van -echt- gespoofde hosts kun je niks meer doen. Maar doorgaans zijn dosjes duidelijk te onderscheiden van normaal verkeer, en daardoor per definitie te filteren.

donderdag 10 januari 2002 16:51

Acties:

burne

Mine! Waah!

Op donderdag 10 januari 2002 14:03 schreef serkoon het volgende:

Ik heb laatst 40mbit ICMP echo request op m'n dak gekregen. Da's gewoon te filteren.

En op dat moment is er geen sprake van het onbereikbaar zijn van bepaalde diensten (Zoals ICMP_ECHO_REQUEST)? Je wilt niet weten hoeveel mensen direct gaan bellen als ze je core-router niet meer kunnen pingen.

Ik kreeg laatst een 10Mbit SYN op m'n dak, poorten 6660-6670 (IRC-poorten dus), da's prima te filteren. Hooguit ACK-packets zijn lastig te filteren, maar dan kun je rate-limiting toe gaan passen. (edit: niet dat je dan de te leveren dienst goed voort kunt zetten)

En je IRC-server gaf geen hik? (Dat geef je zelf al aan.)

Ik kreeg 60-75 Mbit aan gespoofd verkeer naar m'n hoofd. Normale source-poorten, normale destinations. (21, 22, 25, 80 en 110) Verder niets vreemds op aan te merken, los van het tempo en de lengte (alles 66 bytes lang, en bijna 100.000 packets per seconde.)

Filteren kan prima. De enige consequentie is dat wat je filtert niet meer werkt.

Als (D)DoS-en met een firewall op te vangen zouden zijn zouden (D)DoS-attacks niet zo vaak voorpaginanieuws zijn.

En wat jij doet als iemand je 100Mbit vult met verkeer wil ik ook nog wel eens horen. Er komt 100Mbit binnen. Jij filtert 99.999% weg. Vervolgens zit je 100Mbit nog altijd vol met verkeer. Wat ben je dan opgeschoten met je gefilter? Je hebt nog altijd een verzadigde link en nagenoeg geen connectivity. Ik herroep m'n statement. Filteren kan, maar is zinloos.

Daarnaast zijn die packets nauwelijks gespoofed.

Dat is nergens beweerd, en ook niet juist.

Alleen bij -echt- normaal verkeer van -echt- gespoofde hosts kun je niks meer doen. Maar doorgaans zijn dosjes duidelijk te onderscheiden van normaal verkeer, en daardoor per definitie te filteren.

1: gespoofd verkeer filteren is zinloos.
2: filteren doet niets aan verzadiging van links.
3: zelfs niet-gespoofd verkeer op een niet-verzadigde link is vaak niet goed te filteren. Statefull inspection van 160Mbit verkeer via vier transits en een amsix-verbinding gaat heel wat firewalls kilometers boven het petje. Roepen dat een draytek het wel even op zal lossen is nonsens.

--

Ruben

I don't like facts. They have a liberal bias.

donderdag 10 januari 2002 17:57

Acties:

Pc123

Een paar dagen geleden viel me ook al op dat alle sites die bij trueserver gehost zijn bijna niet werkten.

edit:
Foutje

Niet goed naar de datum gekeken, dit topic is dus al een paar dagen oud

donderdag 10 januari 2002 20:35

Acties:

serkoon

mekker.

Op donderdag 10 januari 2002 16:51 schreef Burne het volgende:

En op dat moment is er geen sprake van het onbereikbaar zijn van bepaalde diensten (Zoals ICMP_ECHO_REQUEST)? Je wilt niet weten hoeveel mensen direct gaan bellen als ze je core-router niet meer kunnen pingen.

Daar zijn dan weer aparte rules op te bouwen, als je dat wil.

En je IRC-server gaf geen hik? (Dat geef je zelf al aan.)

Ik draaide op die doos geen ircd.

Ik kreeg 60-75 Mbit aan gespoofd verkeer naar m'n hoofd. Normale source-poorten, normale destinations. (21, 22, 25, 80 en 110) Verder niets vreemds op aan te merken, los van het tempo en de lengte (alles 66 bytes lang, en bijna 100.000 packets per seconde.)

66 bytes lang, dus filterbaar. Okee, je loopt dan een (groot?) risico dat je normale packets ook filtert.

En wat jij doet als iemand je 100Mbit vult met verkeer wil ik ook nog wel eens horen. Er komt 100Mbit binnen. Jij filtert 99.999% weg. Vervolgens zit je 100Mbit nog altijd vol met verkeer. Wat ben je dan opgeschoten met je gefilter? Je hebt nog altijd een verzadigde link en nagenoeg geen connectivity. Ik herroep m'n statement. Filteren kan, maar is zinloos.

Als als als.. Wat als de router waar jij geen besturing op uit kunt oefenen plat gaat, wat als je switch dood gaat? Daar gaat het hier dus niet om. Ik zeg simpelweg dat ddosjes prima te filteren zijn (met een kanttekening, zie volgende quote), daar heeft een volle link niks mee te maken. (behalve dan dat hoe eerder er gefilterd wordt, hoe minder links vol zullen raken)

Ik zei iets over het nauwelijks gespoofed zijn van ddosjes
Dat is nergens beweerd, en ook niet juist.

Niet juist? Toch vreemd.. hoe kan het dan dat ik bij een -aantal- ddosjes alleen de laatste 8 bitjes van het source_ip zag veranderen? Hiermee zeg ik dus niet dat alle ddos'es niet volledig gespoofed zijn, laat dat duidelijk zijn.

1: gespoofd verkeer filteren is zinloos.

Zolang het niet totaal willekeurig gespoofed is niet.

2: filteren doet niets aan verzadiging van links.

Hoe eerder gefilterd, hoe minder last van volle lijnen je hebt. Vaak gaan ddosjes ook helemaal niet om volle lijnen maar puur om pps.

3: zelfs niet-gespoofd verkeer op een niet-verzadigde link is vaak niet goed te filteren. Statefull inspection van 160Mbit verkeer via vier transits en een amsix-verbinding gaat heel wat firewalls kilometers boven het petje. Roepen dat een draytek het wel even op zal lossen is nonsens.

Roepen over stateful inspection op een router is sowieso nonsens, gelukkig ben ik daar niet over begonnen

vrijdag 11 januari 2002 15:54

Acties: