Userbase

Het heeft nu ook Tweakers bereikt : https://tweakers.net/nieuws/171594/belg ... allen.html

Het "lastige" is dat je niet makkelijk weet wie er achter de aanval zit tenzij ze zich bekend maken (al is dat soms ook niet echt de persoon/groep erachter natuurlijk).
Maar wat het uiteindelijke doel is weet ik niet. Zou het zoals we denken gewoon een puistenkop zijn die na de voorbije week wat targets proberen vinden heeft en nu gewoon maar blijft gaan "omdat z'n verlof gedaan is", of zou er meer achter zitten?

Het is wel f**ng lastig, mijn DNS is altijd al iets anders geweest (Cloudflare), maar ik krijg nauwelijks data binnen.
Als je in de bankapp geen overschrijving meer kan boeken, is er wel wat loos natuurlijk (en dat kan je dan nog snel ff op 4G), ik bedoel maar: het normale gebruik van internet is quasi onmogelijk.

DNS servers aangepast in de modem en het gaat een stuk vlotter. Zelfs de telefonie via ovh werkt.

GuntherDW schreef: Maar wat het uiteindelijke doel is weet ik niet. Zou het zoals we denken gewoon een puistenkop zijn die na de voorbije week wat targets proberen vinden heeft en nu gewoon maar blijft gaan "omdat z'n verlof gedaan is", of zou er meer achter zitten?

Een "afrekening in het gaming-milieu" mogelijks, dat is immers een vrij courante oorzaak van de kleinschalige en specifiek gerichte DDoS-aanvallen. Als het morgen stopt dan weet je het wel. Lang zal het respijt niet duren want als andere landen een indicatie zijn dan gaan er voor je het voor je het weet alweer scholen mogen sluiten omwille van je-weet-wel-wat.

De reden ga je wellicht nooit te weten komen dus ik zou me er alvast niet druk in maken. Kan ook zijn dat het totaal iets anders is maar dat men DDoS inroept om de echte reden niet te moeten zeggen.

Ik gebruikte tot nu toe altijd opendns (208.67.220.220 en 208.67.222.222) heb net mijn fritzbox op
1.1.1.1 (cloudfare) en secondary 8.8.8.8 (google) ingesteld. Voor mij werkt het allemaal nu stukken beter.

**

Welke DDoS mitigatie oplossing gebruikt EDPnet?
Een cloud based oplossing volgens mij niet. Want ik zie via peering en transit nog alle prefixes "normaal" aangekondigd worden. Dus waarschijnlijk iets self hosted? Arbor / Radware / F5 / Corero?
Nu is er een grote impact, wat eigenlijk makkelijk verholpen kan worden via het scrubbing center van een degelijke partner.

EDIT 3 (EDp): 20h25*: The last attack finished at 18:45. We did our best to mitigate what was possible but the overload was extensive. Edpnet DNS servers are currently available again. We are working very hard with an external party towards providing a permanent solution to minimize the impact of any further attacks.

Als ik de prijzen zie van wat m'n bedrijf betaald aan DDoS protection, ugh. En dat is dan nog geen ISP. Dure grap :/

philippe_d schreef:

FlashBlue schreef:Vreemd
Hier blijft alles werken, inc vpn en openstaande ssh sessies. Ook snelheden zijn doodnormaal.

Zou het kunnen dat de recente problemen (gisteren Level3, DDOS aanvallen, etc) alleen impact hebben op IPv4 en minder op IPv6?
Ik heb de laatste dagen ook niets van problemen ondervonden, maar hier gaan de meeste zaken over IPv6.

Ik zie bij de meesten die 1.1.1.1 en 8.8.8.8 terugkomen. Maar moet je uw router (fritzbox) dan niet als onderstaand invullen, tezamen met de IPv6 dns?

1.1.1.1
8.8.8.8
2606:4700:4700::1111
2001:4860:4860::8888

Edpnet heeft het dan eindelijk opgegeven om dit zelf te willen mitigeren, en lopen nu via de scrubbing centers van NaWas.
Niet meteen de grootste scrubber, maar ongetwijfeld een pak beter dan wat ze de voorbije dagen gepresteerd hebben.

Volgens mij hadden ze ook helemaal niks in huis om deftig een DDOS te mitigeren. Eens de trafiek op de uplink zit is het te laat.

"The heaviest one took place on Monday 31/08 and lasted from 11h15 until 18h45. Outside of those hours, everything was normal. Our Network Operations team has found and applied (on 01/09 at 1h29) a permanent solution to prevent and immediately mitigate such attacks in the future."

https://issues.edpnet.be/?p=3071

VOiD schreef:Volgens mij hadden ze ook helemaal niks in huis om deftig een DDOS te mitigeren. Eens de trafiek op de uplink zit is het te laat.

Ik kan alleen beamen dat we geen oplossing in huis hadden voor een aanval als deze (200Gbps), in het verleden hebben we dit steeds zelf kunnen mittigeren, maar achteraf gezien blijkt dat we vooral geluk gehad hebben, en dat ons geluk op was We hebben dan ook beslist om de diensten van NaWas in gebruik te nemen, de interconnect en BGP setup was rond middernacht in orde.

Sowieso onze excuses voor de veroorzaakte problemen hierdoor.

Kan...

Maar ik heb dan niet zo neiging om edpnet de schuld te geven voor een DDOS

Is een beetje zoals je watermaatschappij de schuld geven voor een tsunami golf die heel je wijk van de kaart veegt.


Botnets zijn nou eenmaal een probleem, Niemand verwacht dat die plots op jou gericht staat.

Het is dan ook makkelijk om vanaf de zijlijn te staan roepen zoals een tweetal mensen een paar posts hierboven.

Maar ook andere spelers, bv Delta waren niet erop voorzien, want ook Delta had gisterenmiddag weer prijs. En die zijn net iets groter dan edpnet...

Soit, ben vooral curieus of dat er ooit gaat komen bovendrijven wie er baat bij had om 4 dagen lang verschillende isp's te ddos'en. De kans is klein natuurlijk.

Garpenlov schreef:Maar ik heb dan niet zo neiging om edpnet de schuld te geven voor een DDOS
Is een beetje zoals je watermaatschappij de schuld geven voor een tsunami golf die heel je wijk van de kaart veegt.

Eerder de watermaatschappij die plots 20bar op de leidingen krijgt ipv de normale 6 bar.
De reden van de drukverhoging ligt niet bij de watermaatschappij (in dit geval DDOS), maar geen voorzieningen treffen tegen een drukpiek, ligt wél bij de watermaatschappij: nl een drukverlager (in dit geval: DDOS protectie).

Botnets zijn nou eenmaal een probleem, Niemand verwacht dat die plots op jou gericht staat.

@niemand verwacht
Is dat niet naïef?

Als je ziet dat de trafiek van 50K pc's een ISP kunnen "plat leggen", is dat wel een belachelijk straf "wapen" dat te realiseren is met heel beperkte middelen.

heist_175 schreef:maar geen voorzieningen treffen tegen een drukpiek, ligt wél bij de watermaatschappij: nl een drukverlager (in dit geval: DDOS protectie).

In het geval van DDoS'es kan je er maar vrij lastig tegen wapenen. Het is vaak de wet van de "grootste pijp hebben".
Eens je lijn verzadigd is kan je niet veel meer doen buiten wachten. Het is een beetje een kat en muis spel.

Probleem hierbij is natuurlijk dat je niet "zomaar" even een grotere pijp kan aanleggen. Al die extra bandwidth kost handenvol geld.
Wil je dat edpnet zich als Telenet gaat gedragen maar opeens prijzen doet stijgen elk jaar of wil je dat ze zoals nu blijven?

Er is maar een beperkt aantal dingen dat je kan doen tegen een DDoS, tenzij je goed kan samenwerken met je upstream providers en kostelijke hardware hebt staan is wachten een beetje het enige dat je kan doen (zie artikel van tweakers tijdje terug)

**

heist_175 schreef:Als je ziet dat de trafiek van 50K pc's een ISP kunnen "plat leggen", is dat wel een belachelijk straf "wapen" dat te realiseren is met heel beperkte middelen.

Dat is het ook. Vandaar dat m'n dit ook zoveel gebruikt.
Je kan ze inhuren.

Jijzelf bent toch ook niet voorbereid tegen 50k...ofwel?

DDoS protectie is gewoon een zeer duur iets, wat de meeste bedrijven niet willen betalen tot ze, zoals Edpnet nu, langdurig aangevallen worden. Als ik me niet vergis, betaalt mijn werkgever hiervoor bijna 10K per maand.
In België mogen we nog blij zijn dat er niet zoveel DDoS aanvallen plaatsvinden (overheidsinstanties buiten beschouwing gelaten), maar dan nog moeten er toch als service provider op voorhand maatregelen genomen worden.

Bij ons enige veelvouden van dat bedrag. Het is ridicuul duur, zeker in vergelijking met hoe goedkoop een botnet is.

Ook in Nederland is het weer prijs blijkbaar : https://tweakers.net/nieuws/171644/opni ... laats.html

GuntherDW schreef:

heist_175 schreef:maar geen voorzieningen treffen tegen een drukpiek, ligt wél bij de watermaatschappij: nl een drukverlager (in dit geval: DDOS protectie).

In het geval van DDoS'es kan je er maar vrij lastig tegen wapenen. Het is vaak de wet van de "grootste pijp hebben".
Eens je lijn verzadigd is kan je niet veel meer doen buiten wachten. Het is een beetje een kat en muis spel.

Probleem hierbij is natuurlijk dat je niet "zomaar" even een grotere pijp kan aanleggen. Al die extra bandwidth kost handenvol geld.
Wil je dat edpnet zich als Telenet gaat gedragen maar opeens prijzen doet stijgen elk jaar of wil je dat ze zoals nu blijven?

Als de klanten meermaals niet gebruik kunnen maken van de dienst waar ze voor betalen, lijkt me dat vrij lastig.
Als er kosten gemaakt moeten worden om die dienstverlening op peil te houden, lijkt het me correct die bedragen ook door te rekenen in de aboprijs.

Dat is toch een groot verschil met Telenet:
- dat elk jaar prijsverhoging doorvoert
- dat prijsverhogingen doorvoert vóór ze een upgrade doen (hey, we gaan een Gbit upgrade doen, betaal al maar) en als de upgrade nog niet voltooid is (hey, we hebben met uw geld (sst, niet zeggen) het netwerk geüpgrade, zodat je voor duzend euro Gbit kan krijgen, betaal dus maar meer per maand).
- dat investeert in allerlei "speelgoed-projecten": https://tweakers.net/nieuws/171622/tele ... rland.html

Joachim schreef:

VOiD schreef:Volgens mij hadden ze ook helemaal niks in huis om deftig een DDOS te mitigeren. Eens de trafiek op de uplink zit is het te laat.

Ik kan alleen beamen dat we geen oplossing in huis hadden voor een aanval als deze (200Gbps), in het verleden hebben we dit steeds zelf kunnen mittigeren, maar achteraf gezien blijkt dat we vooral geluk gehad hebben, en dat ons geluk op was We hebben dan ook beslist om de diensten van NaWas in gebruik te nemen, de interconnect en BGP setup was rond middernacht in orde.

Sowieso onze excuses voor de veroorzaakte problemen hierdoor.

Van welke service wordt er gebruik gemaakt om de DDOS attacks te detecteren en de trigger te maken om de routes te wijzigen? Vaak is dit met sFLow of dergelijke die gelinked wordt aan een service.

Proximus nameservers onder vuur nu? Hun resolving is zo goed als dood momenteel. Via 1.1.1.1 werkt alles perfect

Hier ook tergend traag tot onmogelijk internet (Proximus)
DNS gewijzigd naar 1.1.1.1 en 8.8.8.8, alles terug op volle snelheid.

Wel redelijk snel aangepakt precies, ongeveer een half uur miserie.
Alle providers zullen nu wel alert zijn zeker?

Hier ook al gemerkt, Proximus DNS even moeilijk te bereiken, 1.1.1.1 en 8.8.8.8 geen probleem.

Even geen correct onderwerp gevonden.

Maar momenteel zijn er weer problemen met veel sites. Ik vermoed een outage bij AWS of cloudfare, iemand enig nieuws?

"Veel sites" is relatief, lijkt enkel om Spotify en Discord te gaan.

Hier geen problemen met AWS of Cloudflare iig.

s.hln.be/4fac6d4