Belnet storing door DDOS aanval

[Stormlord]

4th May 2021
Belnet network under DDoS-attack
24 minutes ago

Due to a DDoS-attack some Belnet customers are experiencing connectivity problems. Our teams are working hard to mitigate the attacks and to restore connectivity. Belnet customers can contact our Service Desk at 02 790 33 00. We apologize for the inconvenience.

--> Diverse overheidsinstanties momenteel hierdoor niet bereikbaar.

[macamba]

Zelfs Doclr voor de vaccinatiecentra heeft kuren hierdoor vanwege de connectie met eHealth.

Mensen die dit doen onderschatten vaak de impact en gevolgen.

[Flippi]

Ik denk niet dat die daar wakker van liggen.

[macamba]

Ik denk niet dat die daar wakker van liggen.

Nee inderdaad die vinden dat juist tof.
In veel vaccinatiecentra nu rijen tot op de parking, zonder systeem kunnen ze amper werken dus je ziet weer hoe kwetsbaar het is. Jammer.

[meon]

https://www.vrt.be/vrtnws/nl/2021/05/04 ... ereikbaar/

[blaatpraat]

https://www.vrt.be/vrtnws/nl/2021/05/04 ... ereikbaar/

Ironisch... het zijn net de journalisten die klagen dat hun internet onstabiel werkt op de VRT vandaag...

[CCatalyst]

Hele universiteiten, ziekenhuizen etc liggen plat en waar ligt onze rode VRT wakker van? Tax-on-web, iets waar de meesten wel niet wakker van liggen... Dat gezegd zijnde, de aanvaller zal misschien geen belastingen willen betalen dit jaar, ongelijk kan je hem niet geven

Ben ook benieuwd of het echt wel (enkel) een DDoS-aanval is of als der ook nog iets anders speelt. 't Is heel slecht weer, we spreken sinds deze ochtend officieel al van een storm (KMI-definitie voldaan), dat kan al eens iets beschadigen.

Edit: blijkbaar begon aanval kort voor een hoorzitting in de Kamer over mensenrechtenschendingen door China bij de harde aanpak van de Oeigoeren. Als dat inderdaad de oorzaak van de aanval is, is er sprake van een daad van cyberoorlog door China tov ons land.

[1207]

Ik denk niet dat die daar wakker van liggen.

Nee inderdaad die vinden dat juist tof.
In veel vaccinatiecentra nu rijen tot op de parking, zonder systeem kunnen ze amper werken dus je ziet weer hoe kwetsbaar het is. Jammer.

je kunt het ook omdraaien
essentiële dingen, nu bv vaccinatie hier, zou je ook zonder internet draaiende moeten kunnen houden denk ik dan.
Australie heeft het onlangs ook voor gehad. Facebook op nieuwe wetgeving trakteren, die sluiten dingen af, en plots is de overheid online onbereikbaar.

de online overheid draaide daar dus op buitenlandse privebedrijven,

[ubremoved_2964]

't ja ....

waar was den tijd dat iemand aan de VUB via Belnet besloot om een 2 mbit floodping te doen naar een kleine ISP die een tragere synchrone lijn had via eunet, en heel die ISP heeft er lang uitgelegen

toen kon je nog met één ping commando of het opzetten van een quake server een provider platleggen
voor quake moest je wel op de LAN zitten van de provider, niet via een inbelmodem

dat was ergens rond 1995

ik was erbij toen het gebeurde

[johann]

essentiële dingen, nu bv vaccinatie hier, zou je ook zonder internet draaiende moeten kunnen houden denk ik dan.

Principieel ben ik het daar mee eens, maar vaccineren is wel iets meer geworden dan een spuitje zetten. In België heeft men eindeloos veel schakels digitaal aan elkaar willen knopen. Dat heeft een aantal voordelen, waardoor bijvoorbeeld een toekomstig digitaal vaccinatiepaspoort zonder al te veel moeite zou kunnen gerealiseerd worden (in tegenstelling tot bijvoorbeeld Duitland waar men om te beginnen al geen centraal rijksregister heeft en bovendien véél gevoeliger is voor privacykwesties), maar het maakt je natuurlijk wel afhankelijk van een stabiel netwerk.

Facebook op nieuwe wetgeving trakteren, die sluiten dingen af, en plots is de overheid online onbereikbaar.
de online overheid draaide daar dus op buitenlandse privebedrijven,

De overheid kan ook nooit goed doen:
- als een overheidsdienst iets in huis ontwikkelt, komt de commentaar dat zoiets veel te duur is en wordt er gevraagd of het echt nodig is het wiel terug uit te vinden;
- als een overheidsdienst een externe dienstverlener inschakelt, volgt de commentaar dat het niet in huis ontwikkeld is en dus duur betaalde standaardoplossingen moeten zijn die het nodige maatwerk missen en op 'vreemde' servers draaien.

Om eerlijk te zijn erger ik mij wellicht nog het meest aan die in huis ontwikkelde dingen, zoals 'Kiosk' van de administratie Cultuur - voor wie dat mocht kennen: een enorme wirwar van toegangssleutels waarbij je soms als 'burger', 'organisatie' of 'overheid' moet aanmelden op een systeem dat gemaakt lijkt om mensen de goesting te ontnemen om dossiers in te dienen, te beoordelen of te administratief te beheren. Maar wél helemaal in eigen beheer van de Vlaamse overheid hoor...

[antutu]

Reddit ook plat. Weird stuff going on.

[ubremoved_2964]

Keek net naar het interview met Dirk Haex (Belnet):

https://www.vrt.be/vrtnws/nl/2021/05/04 ... ereikbaar/

Hij legt uit dat de aanvallers een kat en muis spel spelen.

en dan dit:
https://www.knack.be/nieuws/belgie/in-b ... 1620161593

De nieuwe editie van La Boum in Ter Kamerenbos werd een kat-en-muisspelletje tussen deelnemers en politie.

Karma lijkt hier van toepassing. Uiteraard is geweld niet goed te praten, maar de overheid is hun boekje te buiten gegaan.

Toen de ISP waar ik vrijwilliger was geraakt werd door een DOS (niet eens DDOS) dan was deze gelanceerd door een enkele VUB student!

Hoeveel studenten en/of jongeren waren er niet op la boum 2 die de repressie hebben zien gebeuren? Ik denk niet dat we het ver moeten zoeken.

Het is dan natuurlijk weer makkelijk om te roepen dat China of Rusland er achter zitten

Oog om oog tand om tand in zowel de fysieke als cyberwereld lijkt mij meer plausibel:

https://www.hln.be/brussel/brusselse-po ... ~a432a124/

[devilkin]

De technologie is wel al wat vooruit gegaan: je hebt een degelijke schaal van zombies nodig om het nodige volume te genereren voor een DDoS aanval. Zelfs als elke persoon daar aanwezig zou deelgenomen hebben raak je er nog niet.

Nu terug ON topic: ergens sta ik er wel van te kijken dat dit zo lang impact had, hebben die dan geen contracten met een aantal grotere spelers op wereldniveau om zulke dingen te kunnen weren?

[dupondje]

Nu terug ON topic: ergens sta ik er wel van te kijken dat dit zo lang impact had, hebben die dan geen contracten met een aantal grotere spelers op wereldniveau om zulke dingen te kunnen weren?

Hoeveel dergelijke partijen zijn er? Niet zo veel ...
En het blijft ook een kosten baten analyse. Hoeveel keer is dit nu al voorgevallen bij Belnet? Ik denk bitter weinig. Dus heeft het nut om elk jaar honderduizenden euro's af te dragen aan een externe partij voor die 1ne keer?
Als we natuurlijk wekelijks dit zien, dan is het iets anders.

Ze zullen (hopelijk) in de volgende weken wel kijken wat ze kunnen verbeteren om de aanval sneller af te slaan. Maar dan gaan de aanvallers een andere techniek gebruiken, en zitten ze mogelijks weer met issues. Het is dus idd een beetje kat en muis spel.

Het grote probleem is eigenlijk dat we meer moeten werken om DDoS aanvallen tegen te gaan zodat ze niet meer kunnen uitgevoerd worden.
Dat is dus die miljoenen infected machines fixen, UDP services beperken maar vooral zorgen dat je geen IP's kunt spoofen! Maar vrees dat dit nog een werk van lange adem is

[CCatalyst]

Nu terug ON topic: ergens sta ik er wel van te kijken dat dit zo lang impact had, hebben die dan geen contracten met een aantal grotere spelers op wereldniveau om zulke dingen te kunnen weren?

Als je met zo'n (wellicht) state actor te doen hebt is er niet veel dat je kan doen. Dit zijn daden van cyberoorlog.

Zo'n layer 3 attack is ook niet hetzelfde als een layer 7, je moet dan al je hele verkeer door pakweg Cloudflare laten sturen, not sure if want?

[devilkin]

Zo'n layer 3 attack is ook niet hetzelfde als een layer 7, je moet dan al je hele verkeer door pakweg Cloudflare laten sturen, not sure if want?

Feit. Je hoeft het ook wel niet constant te doen, je kan een contract afsluiten met bvb ovh/... om dit 'on standby' te doen - maar dan moet je wel de nodige policies/afspraken in place hebben om je IP's via hun dan te announcen zodat zij de scrubbing op dat moment kunnen doen. Als de aanval voorbij is kan je terugkeren naar je originele situatie.

[Mr.T]

Er zijn wereldwijd genoeg partijen die deze aanvallen zonder problemen kunnen mitigeren. Denk bijvoorbeeld aan Cloudflare Magic Transit en Akamai Prolexic.
Het probleem is vooral dat Belnet rekent op hun on-prem F5 apparatuur. Als je uplink capaciteit vol zit, heb je dan alsnog een probleem.
De echte grootte van de aanval heb ik nog niet publiek gemaakt zien worden. Dus ik denk dat het al bij al nog wel zal meegevallen hebben. Voor de ene is grootschalig 50Gbps, voor de andere eerder +1Tbps. Het nationale nieuws hebben ze in elk geval uitgebreid gehaald.

[blaatpraat]

Als je naar de BNIX gaat, valt het wel op dat er gisteren tijdens de piek van de DDOS op Belnet niets van traffiek geweest is.

[CCatalyst]

Zou graag een post-mortem zien maar ik vrees er voor als het idd de Chinees was. Het zal dan weer toegedekt worden om de relaties niet te verzuren, want China kan niet goed tegen kritiek.

[heist_175]

want China kan niet goed tegen kritiek.

Dat is een eufimisme.

Hoeft het state-sponsored te zijn?
Er zijn nog andere gegadigden ook natuurlijk, bv de Russen.
DDOS lijkt toch altijd heel simpel op te zetten, dus niet per sé een staat nodig, maar heel moeilijk & vooral duur om af te vangen.

[flt]

Als je naar de BNIX gaat, valt het wel op dat er gisteren tijdens de piek van de DDOS op Belnet niets van traffiek geweest is.
total-newbnix-daily.png

De interface statistieken worden via SNMP opgehaald van de toestellen. Het SNMP process heeft een lage prioriteit, bij een hoge CPU load (wat te verwachten is als er een DDoS gaande is) worden deze simpelweg gedropped. In plaats van een massieve piek krijg je dan net een leeg vlak op de grafiek.

[Mr.T]

Denk dat het eerder te maken heeft dat het BNIX platform en Belnet te nauw verweven zijn qua infrastructuur.
Op de bnix peering lan zelf heb ik geen problemen gemerkt. En 't is nu niet dat er op AMS-IX en LINX een zichtbare verhoging in bandbreedte is gisteren middag. Een deftige switch zou hier geen problemen mee mogen hebben.

Ik zou liever hebben dat BNIX een stichting is, zoals bijv. AMS-IX, in plaats van een semi-overheidsinstelling.

[Dizzy]

Volgens mij moeten we niet verder zoeken dan de Walen, de sossen of zeker niet te vergeten de moslims

Het lijkt me ook niet onmogelijk dat er sprake is van een groot complot tussen deze 3 usual suspects waarbij het uiteraard de bedoeling is om ons te dwingen naar het 5G netwerk over te schakelen. Ik ben al zilverpapier aan het hamsteren!

[ITnetadmin]

Ik garandeer u trouwens dat Belnet 5j geleden nog (oa) de IP range 1.0.0.0/24 misbruikte als interne mgmt IP range.
Dus zo goed zal dat netwerk ook wel niet gemanaged worden, als ze zulke stupiditeiten durven uit te halen.

[CCatalyst]

DDOS lijkt toch altijd heel simpel op te zetten, dus niet per sé een staat nodig, maar heel moeilijk & vooral duur om af te vangen.

De techniek achter een DDoS is heel simpel. Maar om iets a la Belnet zolang plat te kunnen leggen heb je toch heel veel capaciteit nodig, het zal niet volstaan met een vijftal thuis-PC's waarmee je nog het netwerk van een middelbare school kan platleggen. Een particulier kan dat nog altijd doen, er zijn diensten die dat aanbieden, maar het zal toch een flinke factuur gegenereerd hebben gisteren. Doorgaans, als het van een particulier komt, duurt het net lang genoeg om goed hinderlijk te zijn maar niet veel langer dan dat, net omwille van de kostprijs.

Tegelijk is dit een eitje voor China. En zoals Wouter De Vriendt zei, we moeten niet naïef zijn voor de timing. Ze hadden een motief om het precies op dat ogenblik te doen.

[ubremoved_2964]

Het lijkt me ook niet onmogelijk dat er sprake is van een groot complot tussen deze 3 usual suspects waarbij het uiteraard de bedoeling is om ons te dwingen naar het 5G netwerk over te schakelen. Ik ben al zilverpapier aan het hamsteren!

maar nee, naar censuur dystopische 6G dan:
https://tech.slashdot.org/story/21/04/1 ... lan-for-6g

[Tim.Bracquez]

**

[lithion]

Ik vermoed dat je toch wel meer dan 225Gbps nodig hebt? Belnet heeft al verschillende klanten met een 100Gbit aansluiting.

[Gray]

Er werd gebruik gemaakt van dns amplification, daar is een amplification factor van 60, 70 niet ongewoon.

Wie heeft het gedaan? Botnets worden steeds goedkoper, dus het kan iedereen zijn, iemand zijn dogecoins laten renderen?
Nogal makkelijk om het steeds op de 'buitenlandse' vijanden te steken, typisch politiekers...

Gaat men de dader vinden? Nee, nog in geen 200 jaar.

[Sinna]

Volgens Belga, geciteerd in DataNews, was het een bredere aanval die niet alleen Belnet viseerde:

Die aanval was niet enkel gericht op Belnet, zegt Secutec-CEO Geert Baudewijns aan Belga. Ook de netwerken van Telenet en Proximus werden geviseerd, maar omdat hun netwerken veel groter en verspreider zijn, kunnen zij zo'n aanval beter verteren dan Belnet. 'Momenteel zitten we al aan meer dan 100 terabyte aan data die gestuurd is om die aanval te plegen', weet Baudewijns. Eén terabyte komt overeen met alle tekst uit een grote universiteitsbibliotheek. 'Daardoor raakt het netwerk van Belnet, maar ook dat van Proximus of Telenet, verzadigd. Maar Belnet is dus compacter en een aanval heeft daar dus meer impact.'

Bron: https://www.knack.be/s/r/c/1731047

[CCatalyst]

Secutec Maar soit, als het idd in totaal al 100 TB is lijkt me dat echt geen werk meer van een particulier. In De Tijd schrijven ze zelfs 100 TB/s (ja niet Tbps), dat zou idd ongezien zijn .

Ik kan me wel niet herinneren dat Telenet of Proximus iets van problemen gekend hebben.

Nogal makkelijk om het steeds op de 'buitenlandse' vijanden te steken, typisch politiekers...

Er was er maar ene die dat deed. De Croo vond het daarentegen allemaal "heel onschuldig," legt de fout bij ons, en zegt dat de fedpol toch nooit gaat vinden wie het was dus ze moeten er ook niet achter zoeken. Een vreemde reactie, want met corona is het voor hem altijd de schuld van een ander en moet er gestraft worden. Lijkt dus door de politiek onder de mat geschoven te worden, kans op post-mortem zo goed als nihil, kans op veranderingen even laag, behalve dan dat we geleerd hebben dat we kritiek op China gaan moeten betalen met een prijs, dus de les is dat we geen kritiek meer mogen geven.


Kijk Alex, dat is onze rack waarmee we een land kunnen platleggen als het kritiek geeft op China

[SpecialK]

100 terabyte, dat zegt niet zoveel als je niet weet over hoeveel tijd dat verstuurd is. Als dat over een ganse dag is, is dat best beheersbaar
Een jaar geleden was de piek op het ganse Telenet netwerk 2.6 terabit/s. Ams-IX heeft al eens 10 terabit/s aangetikt. Steam haalde
bij de lancering van Cyberpunk 2077 een piek van 51 terabit/s.
Een aanval van 100 terabit/s, dat houdt volgens mij zelfs een grote speler niet meer tegen. 100 TB/dag daarentegen, is maar een kleintje...

[CCatalyst]

Het was in ongeveer een 3 a 4 uur, vanaf kort voor de geplande "Zoomzitting" over de Oeigoeren tot "einde werkdag".

Het was idd geen 100 Tbps of 100 TB/s, journalisten en informatica

[Tim.Bracquez]

**

[Mr.T]

Het verbaast me niet dat het slechts een aanval was van ongeveer 250Gbps.
Gigantisch is dus blijkbaar toch niet zo gigantisch en zelfs eerder lachwekkend dat ze daar zoveel hinder van ondervinden.

[Tomsworld]

Als je naar de BNIX gaat, valt het wel op dat er gisteren tijdens de piek van de DDOS op Belnet niets van traffiek geweest is.
total-newbnix-daily.png

Bnix is niet down geweest enkel even de verbinding die voor die grafiek zorgt.

[yaris]

Het verbaast me niet dat het slechts een aanval was van ongeveer 250Gbps.
Gigantisch is dus blijkbaar toch niet zo gigantisch en zelfs eerder lachwekkend dat ze daar zoveel hinder van ondervinden.

Ja dat zouden ze toch idd moeten kunnen opvangen qua bandbreedte... Ofwel waren het geen random pakketjes maar speciaal crafted zodat ze voor een grote overhead zorgden op de systemen.

[ITnetadmin]

VRT expert en resident white hat hacker Inti is er wel in geslaagd om in het nieuws te verkondigen dat "hij tot dan nog nooit van Belnet gehoord had".
Zo'n grote expert terzake zal het dus wel niet zijn

Terzijde: mss moeten overheden ns leren dat ze bepaalde infrastructuur best op een apart netwerk gooien.
Een europawijd intranet dat tussen universiteiten en overheden ligt en niet met de rest van het internet verbonden is.
Dan kunnen vergaderingen etc gewoon doorgaan no matter what er op het publieke internet gebeurt.

En uiteraard veel infrastructuur gewoon *niet* op een netwerk; sneakernet only.
Ik mag bv hopen dat onze electriciteitscentrales niet op een netwerk hangen, zodat ze nooit een virus of een hack te slikken krijgen.

[heist_175]

VRT expert en resident white hat hacker Inti is er wel in geslaagd om in het nieuws te verkondigen dat "hij tot dan nog nooit van Belnet gehoord had".
Zo'n grote expert terzake zal het dus wel niet zijn

En nooit aan een universiteit op internet geweest. 20 jaar geleden hadden we daar al Gbit , via Belnet

[lithion]

Terzijde: mss moeten overheden ns leren dat ze bepaalde infrastructuur best op een apart netwerk gooien.
Een europawijd intranet dat tussen universiteiten en overheden ligt en niet met de rest van het internet verbonden is.
Dan kunnen vergaderingen etc gewoon doorgaan no matter what er op het publieke internet gebeurt.

Tussen hogescholen en universiteiten leek alles wel te werken hoor maar het internet liet het af en toe afweten. Een europabreed netwerk bestaat trouwens en luistert naar de naam Géant.