image

DDoS-aanval van 75Gbps op Spamhaus afgeslagen

donderdag 21 maart 2013, 12:51 door Redactie, 6 reacties

Een DDoS-aanval van 75Gbps legde de afgelopen dagen de website en mail van anti-spamorganisatie Spamhaus plat, maar inmiddels is de organisatie weer bereikbaar. Dinsdag besloot Spamhaus de diensten van CloudFlare in te schakelen, een bedrijf dat gespecialiseerd is in het afslaan van DDoS-aanvallen. In eerste instantie was de aanval met 10Gbps vrij beperkt.

Later op de middag was er een korte piek in het aanvalsverkeer, wat volgens CloudFlare waarschijnlijk een test was. Vijf uur later was de website het doelwit van een zeer grote aanval. Het meeste aanvalsverkeer was afkomstig van 'DNS reflection'. Hierbij sturen de aanvallers een groot aantal queries vanaf gespoofte adressen.


Plaag
Matthew Prince van CloudFlare stelt dat deze aanvallen de 100Gbps kunnen passeren. Aanvallers zouden vaak open DNS resolvers gebruiken voor deze aanvallen. Prince bestempelt deze servers dan ook als de 'plaag van het internet' en verwacht dat de omvang van deze aanvallen verder zal toenemen, tenzij de open servers door alle providers worden gesloten.

Bij de aanval op Spamhaus waren meer dan 30.000 unieke DNS resolvers betrokken. "Omdat de aanvaller DNS reflection gebruikt, had de aanvaller alleen een botnet of cluster van servers nodig om 750Mbps te genereren, wat met een klein botnet of Amazon Web Services (AWS) installaties mogelijk is."

Uiteindelijk wist CloudFlare de aanval te neutraliseren, zoals Prince op dit weblog beschrijft. Toch grijpt hij de gelegenheid aan om netwerkbeheerders op te roepen hun open resolvers te sluiten voordat DDoS-aanvallen echt exploderen.

Reacties (6)
21-03-2013, 13:36 door S.lenders
Heeft iemand tips hoe dit gedaan kan worden voor een kleinere schaal?
Recent heb ik last gehad van een DNS reflection DDoS aanval, tot nog toe is die afgeslagen door de 100Mbit te upgraden naar een 1GBit lijn en daarna verkeer met IP tabels te blokkeren, maar dat houd een keer op.
21-03-2013, 13:43 door Anoniem

daarna verkeer met IP tabels te blokkeren

Zelfs dit heeft al niet veel nut. IPTables filtert het verkeer vanaf het binnenkomt en dan is het al te laat.
CloudFlare heeft er ook een post over gepost hoe zun het proberen op te lossen: http://blog.cloudflare.com/65gbps-ddos-no-problem
21-03-2013, 17:59 door Anoniem
Wat zijn hier de ervaringen met CloudFlare, dat is dan mijn vervolg vraag op dit verhaal :)
21-03-2013, 18:49 door Anoniem
Interresant gerelateerd nieuws:

Spamhaus is illegaal verklaart in Rusland en andere landen denken er ook over om dit te doen.
Bron:
http://habrahabr.ru/post/171223/
22-03-2013, 02:21 door Anoniem
Door S.lenders: Heeft iemand tips hoe dit gedaan kan worden voor een kleinere schaal?
Recent heb ik last gehad van een DNS reflection DDoS aanval, tot nog toe is die afgeslagen door de 100Mbit te upgraden naar een 1GBit lijn en daarna verkeer met IP tabels te blokkeren, maar dat houd een keer op.

nullrouten :P of bij cloudflare gaan
27-03-2013, 12:06 door Infected
Door S.lenders: Heeft iemand tips hoe dit gedaan kan worden voor een kleinere schaal?
Recent heb ik last gehad van een DNS reflection DDoS aanval, tot nog toe is die afgeslagen door de 100Mbit te upgraden naar een 1GBit lijn en daarna verkeer met IP tabels te blokkeren, maar dat houd een keer op.

Hierbij een link naar een artikel wat beschijft hóe ze het hebben gedaan. Wat vindt men hier van de uitspraak van CyberBunker? Ik rechtvaardiger hun actie's totaal niet, laat dat duidelijk zijn.

http://tweakers.net/nieuws/88110/nederlandse-hostingprovider-voerde-ddos-aanval-uit-op-spamhaus.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.