DDoS aanval op zaterdag 9 oktober

Deze zaterdag kreeg het Openminds netwerk af te rekenen met een DDoS aanval, één van de weinige zaken waar we als hoster weinig aan kunnen verhelpen. Deze post geeft wat meer details over de aanval, en over wat een DDoS is.

Wat is een DDoS?

Een DoS, wat staat voor 'denial of service', is een aanval waarbij een bepaalde server, of een bepaald deel van een netwerk, continue bestookt wordt met datapakketten, die meestal zelfs nietszeggend zijn. Ondanks het feit dat de server niets met deze pakketten kan doen, wordt het pakket er wel afgeleverd, doorheen het netwerk, en wordt het door de server verwerkt (en weggegooid). Om een vergelijking op de bouwen, kan je dit zien als dagelijks een 20-tal enveloppes met nietzeggende pagina's naar uw thuisadres sturen. Het sorteercentrum moet ze verwerken, de postbode moet ze brengen en afleveren, en u moet ze open maken, en vaststellen dat je er niets mee bent.

Wanneer we een D aan DOS toevoegen, komt er "distributed" of "verdeeld" bij. Dit betekent dat er niet één verzender is, maar meerdere die brieven sturen. En we spreken dan meestal niet van 1 tot 10 mensen, maar enkele duizenden. Je postbode kan niet alles brengen, je brievenbus raakt vol, er kunnen geen brieven meer bij (ook niet de geldige),...

Hetzelfde gebeurt bij een DDoS op een netwerk: vele verzenders (meestal machines met spyware/malware op) richten allemaal hun pijlen op één machine of netwerk, en gaan die bestoken met dataverkeer. Eén of enkele kunnen weinig last berokkenen, maar als er heel veel samenwerken, raken de inkomende netwerklijnen volledig vol, en kan normaal verkeer niet meer lopen... Hieronder zie je hoe dit zichtbaar wordt op een netwerkgrafiek.

De oplossing...

Jammer genoeg is er weinig aan te doen; maar als het gebeurt zijn er toch enkele mogelijkheden. Veel uplink-providers bieden een "blackhole" mogelijkheid aan. Hiermee vertel je een leverancier van netwerkverkeer dat je niet langer het verkeer voor een bepaalde server wenst te ontvangen. Dit zorgt ervoor dat het niet langer de ontvanger is die sorteert, maar bvb het sorteercentrum die de lege enveloppes al weggooit. Helaas is het meteen "alle" enveloppes die weggegooid worden, en niet enkel de lege.

De moeilijkheid is het identificeren van de machine die geviseerd wordt, hier kan nogal wat tijd in kruipen, aangezien op dat moment zoveel verkeer gegenereerd wordt, dat toegang tot de machines wegvalt... Een klassiek geval van kip-en-ei. Het identificeren verliep vrij vlot, maar er waren toch een aantal mogelijke doelen, en het exact filteren wie geviseerd was, duurde even. Jammer genoeg was één van de mogelijke doelwitten een deel van ons shared hosting platform, en hierdoor hebben flink wat klanten last ondervonden.

Helaas is er weinig wat we hiertegen kunnen doen. We hebben afspraken met onze uplink-leveranciers waarmee we verkeer kunnen tegehouden, en eens we het doelwit kennen, kunnen we die even uitsluiten. Het is niet ideaal, maar zorgt toch ten minste dat de andere klanten geen last meer ondervinden.

En het waarom? Meestal blijft die vraag open, net als vandaag...

We wensen al onze klanten onze welgemeende excuses aan te bieden voor de mogelijke problemen. Aarzel niet om ons te contacteren mochten hier nog vragen rond zijn.