Ziggo weer getroffen door DDoS-aanval - update
Ziggo is weer het doelwit van een DDoS-aanval geworden waardoor miljoenen klanten geen websites konden bezoeken. Wederom betrof het een aanval op de DNS-servers van de provider. Via Twitter meldt Ziggo dat de maatregelen die het had genomen vanwege de omvang van de nieuwe aanval niet werkten.
Net als bij de eerste aanval die dinsdag plaatsvond konden klanten die een andere DNS-server instelden wel weer websites bezoeken. Het Domain Name System (DNS) is het systeem en netwerkprotocol dat op internet wordt gebruikt om namen van computers naar numerieke IP-adressen te vertalen en omgekeerd. Normaal maken bedrijven en internetgebruikers gebruik van de DNS-servers van hun eigen internetprovider. Op Twitter is te lezen dat verschillende gebruikers de DNS-servers van Google instelden wat het probleem verhielp.
Een uur geleden liet Ziggo via Twitter weten dat "het internet" weer werkt. Daarnaast stelt de provider dat het de beveiliging aanscherpt en er wordt gewerkt om een nieuwe aanval te voorkomen. "We zijn druk bezig met extra beveiliging zodat dit niet meer voor kan komen", aldus de provider.
Update
Ziggo laat in een reactie weten dat het om de aanvallen af te slaan een aantal veranderingen in het netwerk zal doorvoeren. "Dit zal er toe leiden dat het modem bij een aantal van onze klanten door Ziggo opnieuw wordt opgestart. Daardoor zal het betreffende modem maximaal enkele minuten uit de lucht zijn. Gedurende deze korte tijd heeft de klant geen toegang tot Internet. We betreuren deze korte onderbreking van onze service, die helaas onvermijdelijk is. Wij vragen onze klanten om begrip hiervoor in deze uitzonderlijke situatie", aldus de provider.
Intussen zijn meerdere video’s geplaatst op sociale media die bedreigingen aan het adres van Ziggo bevatten. Ziggo zegt deze bedreigingen serieus te nemen en heeft aangifte gedaan. "Er is inmiddels een diepgaand onderzoek gestart waarin wij samenwerken met verschillende instanties, zoals het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie. De bedreigingen en de aanvallen zijn onaanvaardbaar."
Reacties (38)
Zoals ik gisteren als schreef is het dus een configuratieprobleem. Vermoedelijk gebruikt men dezelfde fysieke nameservers als authoritative nameservers voor het hosten van domeinnamen en tevens als recursive nameservers voor het resolven van domeinnamen.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Als je een check op ziggo.nl doet zijn de authoritative nameservers wel degelijk anders als de recursive nameservers.
Wel is het zo dat de recursive nameservers van ziggo/upc (ns01.upclive.nl en ns02.upclive.nl) van buiten het UPC netwerk te pingen zijn en dus van buiten bereikbaar zijn. Iets wat in principe niet nodig is en duidelijk laat zien dat ze het bij Ziggo niet helemaal begrepen hebben.
Wel is het zo dat de recursive nameservers van ziggo/upc (ns01.upclive.nl en ns02.upclive.nl) van buiten het UPC netwerk te pingen zijn en dus van buiten bereikbaar zijn. Iets wat in principe niet nodig is en duidelijk laat zien dat ze het bij Ziggo niet helemaal begrepen hebben.
Door Anoniem: Zoals ik gisteren als schreef is het dus een configuratieprobleem. Vermoedelijk gebruikt men dezelfde fysieke nameservers als authoritative nameservers voor het hosten van domeinnamen en tevens als recursive nameservers voor het resolven van domeinnamen.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Tenzij de DDOS vanuit hun eigen netwerk plaats vindt ;)
Door Anoniem: Zoals ik gisteren als schreef is het dus een configuratieprobleem. Vermoedelijk gebruikt men dezelfde fysieke nameservers als authoritative nameservers voor het hosten van domeinnamen en tevens als recursive nameservers voor het resolven van domeinnamen.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Dat lijkt me een voorbarige conclusie. Het is niet zo moeilijk om er achter te komen wat de externe adressen zijn van
de resolvers, wellicht zijn dit zelfs dezelfde adressen als die men aan de klanten geeft om hun DNS requests heen te
sturen (maar dat hoeft niet).
Als men vervolgens die resolvers gaat bestoken met fake DNS replies (door gespoofde requests te sturen naar allerlei
authoritative DNS servers op internet) dan heb je je DDOS.
Ziggo zou dat kunnen oplossen door de externe adressen van hun DNS resolvers te verplaatsen en de oorspronkelijke
adressen te nullrouten, maar wellicht is dit niet zo simpel, en het is in ieder geval wel simpel voor de attackers om die
actie te volgen en hun attack aan te passen.
Het wachten is nu tot deze puistenkoppen zich verraden om ze vervolgens een stevige douw te geven.
20-08-2015, 11:52 door
Briolet
Door Anoniem: Wel is het zo dat de recursive nameservers van ziggo/upc (ns01.upclive.nl en ns02.upclive.nl) van buiten het UPC netwerk te pingen zijn en dus van buiten bereikbaar zijn.
Alleen worden deze dns servers van de oude upc klanten juist niet aangevallen. Het zijn de naamservers van Ziggo zelf. Het oud-upc gebied gebruikt nog de upc dns servers en zij hebben geen ddos probleem.
20-08-2015, 12:02 door
john west
Voor mijn internet verbinding dit was vervelend,maar mijn telefoon deed het ook niet meer.
Is er Router die het zelfde kan als Windows Netwerk/lan/IPv4 met een andere DNS ?
De Ubee EVW 3200 en mijn router van Sitecom WLR-5000 kon ik niets vinden of instellen.
Is er Router die het zelfde kan als Windows Netwerk/lan/IPv4 met een andere DNS ?
De Ubee EVW 3200 en mijn router van Sitecom WLR-5000 kon ik niets vinden of instellen.
Door john west: Voor mijn internet verbinding dit was vervelend,maar mijn telefoon deed het ook niet meer.
Is er Router die het zelfde kan als Windows Netwerk/lan/IPv4 met een andere DNS ?
De Ubee EVW 3200 en mijn router van Sitecom WLR-5000 kon ik niets vinden of instellen.
In Sitecom WLR-5000 kun je wel DNS-servers handmatig instellen dacht ik. Kijk nog eens goed in handleiding?Is er Router die het zelfde kan als Windows Netwerk/lan/IPv4 met een andere DNS ?
De Ubee EVW 3200 en mijn router van Sitecom WLR-5000 kon ik niets vinden of instellen.
En als je deze router dan met zijn WAN aan de LAN van de Ubee hangt, en je apparaten met WLR-5000 verbindt,
kan je volgens mij de DNS gebruiken die je op WLR-5000 hebt ingesteld?
Door john west: Voor mijn internet verbinding dit was vervelend,maar mijn telefoon deed het ook niet meer.
Is er Router die het zelfde kan als Windows Netwerk/lan/IPv4 met een andere DNS ?
De Ubee EVW 3200 en mijn router van Sitecom WLR-5000 kon ik niets vinden of instellen.
Is er Router die het zelfde kan als Windows Netwerk/lan/IPv4 met een andere DNS ?
De Ubee EVW 3200 en mijn router van Sitecom WLR-5000 kon ik niets vinden of instellen.
Tja.... dat is dan niet handig gekozen. Mensen gaan vaak voor het 1 compleet pakket, maar ja.... ligt er een dienst uit, dan ik het soms alles tegelijkertijd. Je kunt beter producten hebben van verschillende aanbieders. Is wel duurder, maar geeft meer zekerheid !
Om de dreiging tegen de DNS servers af te slaan moeten modems van sommige klanten worden gereset. Dit lijkt op een firmwareupdate die moet voorkomen dat klanten van binnenuit de servers DOSsen.
Dan zijn dus een groot aantal Ziggo klanten onderdeel van een botnet en de omvang van het probleem is eigenlijk veel groter; deze zombies kunnen dan ook andere (kwetsbare) diensten binnen Ziggo aanvallen. Misschien is dat al gelukt en verspreiden hun DCHP servers via Shellshock al mallware onder de modems van klanten. Dat verklaard ook waarom de omvang is toegenomen en de modems gepatcht moeten worden; wellicht worden de modems van klanten gebruikt voor de aanval.
Het feit dat tijdens zon packet storm ook nog iedereen zijn modem herhaaldelijk gaat resetten maakt het probleem nog eens een factor erger. Als Ziggo nu haar klanten vraagt even geen internet te gebruiken dan kan men aan het verkeer wat wel nog plaatsvind de oorsprong lokaliseren. En als de aanval extern plaatsvind, waarom hebben ze niet inmiddels een firewall rule die alle verkeer vanaf het internet naar de servers dropt; in het ergste geval zijn de websites van enkele zakelijke gebruikers niet te benaderen totdat ziggo 2 extra dns servers heeft opgetuigd...
Vraag me echt af wat hier nu de bedoelling van moet zijn; klanten zijn de dupe van een overhoop gehaald netwerk en Ziggo als beursgenoteerd bedrijf gaat zijn beleid zeker niet aanpassen door chantage acties van hobbyisten.
Dan zijn dus een groot aantal Ziggo klanten onderdeel van een botnet en de omvang van het probleem is eigenlijk veel groter; deze zombies kunnen dan ook andere (kwetsbare) diensten binnen Ziggo aanvallen. Misschien is dat al gelukt en verspreiden hun DCHP servers via Shellshock al mallware onder de modems van klanten. Dat verklaard ook waarom de omvang is toegenomen en de modems gepatcht moeten worden; wellicht worden de modems van klanten gebruikt voor de aanval.
Het feit dat tijdens zon packet storm ook nog iedereen zijn modem herhaaldelijk gaat resetten maakt het probleem nog eens een factor erger. Als Ziggo nu haar klanten vraagt even geen internet te gebruiken dan kan men aan het verkeer wat wel nog plaatsvind de oorsprong lokaliseren. En als de aanval extern plaatsvind, waarom hebben ze niet inmiddels een firewall rule die alle verkeer vanaf het internet naar de servers dropt; in het ergste geval zijn de websites van enkele zakelijke gebruikers niet te benaderen totdat ziggo 2 extra dns servers heeft opgetuigd...
Vraag me echt af wat hier nu de bedoelling van moet zijn; klanten zijn de dupe van een overhoop gehaald netwerk en Ziggo als beursgenoteerd bedrijf gaat zijn beleid zeker niet aanpassen door chantage acties van hobbyisten.
Door Anoniem:
Dat lijkt me een voorbarige conclusie. Het is niet zo moeilijk om er achter te komen wat de externe adressen zijn van
de resolvers, wellicht zijn dit zelfs dezelfde adressen als die men aan de klanten geeft om hun DNS requests heen te
sturen (maar dat hoeft niet).
Door Anoniem: Zoals ik gisteren als schreef is het dus een configuratieprobleem. Vermoedelijk gebruikt men dezelfde fysieke nameservers als authoritative nameservers voor het hosten van domeinnamen en tevens als recursive nameservers voor het resolven van domeinnamen.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Authoritative nameservers moeten voor het hele internet bereikbaar zijn om te kunnen vertellen welke ip-adressen aan een host/domein hangen, maar recursive nameservers moeten alleen bereikbaar zijn voor machines die aan het lokale netwerk hangen zodat die hosts/domeinen kunnen opzoeken. Als een provider dezelfde nameserver voor beide doeleinden inzet dan moet die voor het hele internet bereikbaar zijn en is er dus een mogelijkheid om via een internet DDoS de DNS voor klanten uit de lucht te halen. Daarom doen providers (en bedrijven met eigen authoritative nameservers) dit vrijwel nooit, dus ik vraag me af waar Ziggo mee bezig is.
Dat lijkt me een voorbarige conclusie. Het is niet zo moeilijk om er achter te komen wat de externe adressen zijn van
de resolvers, wellicht zijn dit zelfs dezelfde adressen als die men aan de klanten geeft om hun DNS requests heen te
sturen (maar dat hoeft niet).
(ik ben de Anoniem van de eerste reactie)
Op dit moment hebben de authoritative nameservers andere ip's als de resolvers, maar ook de resolvers zijn vanaf het internet bereikbaar en dat is een flinke configuratie/topologiefout; hoe de situatie met de nameservers gisteren en daarvoor was durf ik niet te zeggen want ze zijn achter de schermen blijkbaar flink in de weer. Ze gaan nieuwe resolvers via DHCP naar de klanten pushen, dus of de huidige resolvers online blijven is ook niet zeker.
Ziggo zou dat kunnen oplossen door de externe adressen van hun DNS resolvers te verplaatsen en de oorspronkelijke adressen te nullrouten, maar wellicht is dit niet zo simpel, en het is in ieder geval wel simpel voor de attackers om die actie te volgen en hun attack aan te passen.
Nah, Ziggo moet gewoon zorgen dat hun resolvers alleen vanaf hun eigen netwerk te bereiken zijn en de authoritative nameservers beter flood/dosprotecten.
Dat hele DDos verhaal lijkt het nieuwe excuus te worden voor 2015 en verder...
Sorry Meester, de hond heeft mijn huiswerk ge-DDos'd....
Nee meneer agent, dat stoplicht werd ge-DDose'd toen ik er langs reed, dus ik reed niet door het rood. Heus waar.
Maakt het allemaal meteen zo spannend en media hapklaar...
Sorry Meester, de hond heeft mijn huiswerk ge-DDos'd....
Nee meneer agent, dat stoplicht werd ge-DDose'd toen ik er langs reed, dus ik reed niet door het rood. Heus waar.
Maakt het allemaal meteen zo spannend en media hapklaar...
Op de Ubee EVW 3200 kun je ook gewoon het IP adres van je DNS aanpassen.
Onder DHCP kun je 3 static DNS IPs opgeven. Pak bijvoorbeeld de Google DNS (8.8.8.8 & 8.8.4.4) sla deze instellingen op in je Ubee. Vervolges ff zorgen dat je clients deze adressen opnieuw krijgen 'uitgedeeld' van je DHCP (opnieuw opstarten of op een windows machine: Start > run > 'cmd', in de dosbox: 'ipconfig /release' vervolgens 'ipconfig /renew' en klaar is John West.
Onder DHCP kun je 3 static DNS IPs opgeven. Pak bijvoorbeeld de Google DNS (8.8.8.8 & 8.8.4.4) sla deze instellingen op in je Ubee. Vervolges ff zorgen dat je clients deze adressen opnieuw krijgen 'uitgedeeld' van je DHCP (opnieuw opstarten of op een windows machine: Start > run > 'cmd', in de dosbox: 'ipconfig /release' vervolgens 'ipconfig /renew' en klaar is John West.
Door Anoniem:
(ik ben de Anoniem van de eerste reactie)
Op dit moment hebben de authoritative nameservers andere ip's als de resolvers, maar ook de resolvers zijn vanaf het internet bereikbaar en dat is een flinke configuratie/topologiefout;
(ik ben de Anoniem van de eerste reactie)
Op dit moment hebben de authoritative nameservers andere ip's als de resolvers, maar ook de resolvers zijn vanaf het internet bereikbaar en dat is een flinke configuratie/topologiefout;
Dat zou kunnen maar dat is geen vereiste om ze te DDOS'en. Dus of het relevant is waag ik te betwijfelen.
Een resolver heeft een adres wat voor de gebruikers (via DHCP meestal) bekend moet zijn, en dat adres hoeft niet vanaf
internet bereikbaar te zijn, in ieder geval niet poort 53 daarvan, maar daarnaast moet deze resolver ook wel degelijk een
verbinding met internet hebben om zijn uitgaande queries te sturen en de antwoorden daarop te ontvangen. Dit kan een
ander adres zijn maar het kan ook hetzelfde adres zijn.
Als men dit externe adres gaat bestoken met fake antwoorden dan heb je een probleem, en dat kan zowel op de server
zelf een probleem zijn als op het netwerk ervoor.
De enige echte oplossing voor dit probleem is het verplicht stellen van BCP38 en het afkoppelen van alle providers die
het (nog) niet ingevoerd hebben.
Dat hackercollectief dat zegt aansprakelijk te zijn kun je in mijn ogen samenvatten als een verzameling laffe cyberterroristen. En in feite is dat al te veel eer. Een terrorist heeft nog enige moed omdat hij fysiek zijn leven op het spel zet. Bij dit soort gasten staat er helemaal niks op het spel behalve hun iets te grote ego.
Door Anoniem:
Dat zou kunnen maar dat is geen vereiste om ze te DDOS'en. Dus of het relevant is waag ik te betwijfelen.
Een resolver heeft een adres wat voor de gebruikers (via DHCP meestal) bekend moet zijn, en dat adres hoeft niet vanaf
internet bereikbaar te zijn, in ieder geval niet poort 53 daarvan, maar daarnaast moet deze resolver ook wel degelijk een
verbinding met internet hebben om zijn uitgaande queries te sturen en de antwoorden daarop te ontvangen. Dit kan een
ander adres zijn maar het kan ook hetzelfde adres zijn.
Als men dit externe adres gaat bestoken met fake antwoorden dan heb je een probleem, en dat kan zowel op de server
zelf een probleem zijn als op het netwerk ervoor.
Door Anoniem:
(ik ben de Anoniem van de eerste reactie)
Op dit moment hebben de authoritative nameservers andere ip's als de resolvers, maar ook de resolvers zijn vanaf het internet bereikbaar en dat is een flinke configuratie/topologiefout;
(ik ben de Anoniem van de eerste reactie)
Op dit moment hebben de authoritative nameservers andere ip's als de resolvers, maar ook de resolvers zijn vanaf het internet bereikbaar en dat is een flinke configuratie/topologiefout;
Dat zou kunnen maar dat is geen vereiste om ze te DDOS'en. Dus of het relevant is waag ik te betwijfelen.
Een resolver heeft een adres wat voor de gebruikers (via DHCP meestal) bekend moet zijn, en dat adres hoeft niet vanaf
internet bereikbaar te zijn, in ieder geval niet poort 53 daarvan, maar daarnaast moet deze resolver ook wel degelijk een
verbinding met internet hebben om zijn uitgaande queries te sturen en de antwoorden daarop te ontvangen. Dit kan een
ander adres zijn maar het kan ook hetzelfde adres zijn.
Als men dit externe adres gaat bestoken met fake antwoorden dan heb je een probleem, en dat kan zowel op de server
zelf een probleem zijn als op het netwerk ervoor.
Dat begrijp ik, maar als de resolver volgens de best practices een tweede, onbekend ip heeft voor uitgaande queries dan is dat potentieel alleen door lokale gebruikers (klanten) op te sporen, waarbij er nog wel wat te spelen valt met welke ips voor de resolver gerapporteerd worden bij een dns trace (vandaar potentieel).
De enige echte oplossing voor dit probleem is het verplicht stellen van BCP38 en het afkoppelen van alle providers die het (nog) niet ingevoerd hebben.
Akkoord, maar dan kun je het halve internet niet meer resolven.
Door Anoniem: Dat hackercollectief dat zegt aansprakelijk te zijn kun je in mijn ogen samenvatten als een verzameling laffe cyberterroristen. En in feite is dat al te veel eer. Een terrorist heeft nog enige moed omdat hij fysiek zijn leven op het spel zet. Bij dit soort gasten staat er helemaal niks op het spel behalve hun iets te grote ego.
Iedereen man zich voordoen als "Anonymous" dit is wel een trieste bedoeling om de naam te gebruiken en hoop ook dat de dader('s) gepakt worden.
Maar als je een beetje met de jaren mee bent gegaan dan weetje ook dat dit niet het echte anonymous is maar wat 14 jarige kleuters https://mobile.twitter.com/AnonScruggs/ blijkt de aanval op te eisen en aan dit gedrag van tweets lijkt met me een persoon ~14jaar dit is kwa taalgebruik en het brakke Engels.
Ow jee...
https://www.youtube.com/watch?v=IEIaAOFJ3cU
https://www.youtube.com/watch?v=1NrNcjkyoA8
https://www.youtube.com/watch?v=IEIaAOFJ3cU
https://www.youtube.com/watch?v=1NrNcjkyoA8
Door Anoniem: Dat hackercollectief dat zegt aansprakelijk te zijn kun je in mijn ogen samenvatten als een verzameling laffe cyberterroristen. En in feite is dat al te veel eer. Een terrorist heeft nog enige moed omdat hij fysiek zijn leven op het spel zet. Bij dit soort gasten staat er helemaal niks op het spel behalve hun iets te grote ego.
Terroristen nog al liefst alsof dat bestaat legers of staten op internet. Wat will je nu opblazen de byite of de bit?Door Anoniem: Dat hackercollectief dat zegt aansprakelijk te zijn kun je in mijn ogen samenvatten als een verzameling laffe cyberterroristen. En in feite is dat al te veel eer. Een terrorist heeft nog enige moed omdat hij fysiek zijn leven op het spel zet. Bij dit soort gasten staat er helemaal niks op het spel behalve hun iets te grote ego.
Ja ik hoop dat justitie een voorbeeld stelt en die lui pakt en 3 jaar achter de tralies gooit.
Dan leert dat soort hopelijk dat de samenleving hier niet van gediend is.
Door Anoniem:
Dat begrijp ik, maar als de resolver volgens de best practices een tweede, onbekend ip heeft voor uitgaande queries dan is dat potentieel alleen door lokale gebruikers (klanten) op te sporen, waarbij er nog wel wat te spelen valt met welke ips voor de resolver gerapporteerd worden bij een dns trace (vandaar potentieel).
Dat begrijp ik, maar als de resolver volgens de best practices een tweede, onbekend ip heeft voor uitgaande queries dan is dat potentieel alleen door lokale gebruikers (klanten) op te sporen, waarbij er nog wel wat te spelen valt met welke ips voor de resolver gerapporteerd worden bij een dns trace (vandaar potentieel).
Het lijkt me dat degene die hier achter zit ofwel zelf een Ziggo account heeft, ofwel vast wel iemand kent die even voor
hem op een linkje wil klikken wat wijst naar een domein wat hij ergens in een shabby server geregistreerd heeft, en dan
kan hij meteen zien wat het uitgaande adres is. Zelfs al heb je meerdere uitgaande adressen dan nog is er het probleem
van het vele verkeer wat je netwerk in de problemen kan brengen.
Maar goed, Ziggo is een en ander aan het veranderen om deze manier van attacken makkelijker te kunnen bestrijden,
ik gok dat ze de DNS servers nu een apart extern adres gaan geven waar dit eerst niet het geval was. Dat is mooi,
maar ik vind het niet terecht om providers allerlei verwijten te sturen als er iets gebeurt wat met een andere inrichting
lastiger geweest was. Er zijn zoveel beslissingen te nemen, en er kan altijd wel weer een situatie optreden waarin
blijkt dat dat niet de optimale beslissing was. Zeker als er kwaadwillenden aan het werk zijn.
Ziggo heeft zijn DNS servers aangepast en verhuist naar een server in Ierland. Het in het artikel genoemde rebooten ven de klant-routers is er waarschijnlijk voor om de DNS info te updaten.
Het kost echter tijd om alles te rebooten, zodat ik het net zelf gedaan heb. Ik zie nu inderdaad de nieuwe DNS servers. Behalve dan dat ik ze niet gebruik en eigen ingesteld had.
Het kost echter tijd om alles te rebooten, zodat ik het net zelf gedaan heb. Ik zie nu inderdaad de nieuwe DNS servers. Behalve dan dat ik ze niet gebruik en eigen ingesteld had.
20-08-2015, 17:43 door
john west
Door Anoniem: Op de Ubee EVW 3200 kun je ook gewoon het IP adres van je DNS aanpassen.
Onder DHCP kun je 3 static DNS IPs opgeven. Pak bijvoorbeeld de Google DNS (8.8.8.8 & 8.8.4.4) sla deze instellingen op in je Ubee. Vervolges ff zorgen dat je clients deze adressen opnieuw krijgen 'uitgedeeld' van je DHCP (opnieuw opstarten of op een windows machine: Start > run > 'cmd', in de dosbox: 'ipconfig /release' vervolgens 'ipconfig /renew' en klaar is John West.
Onder DHCP kun je 3 static DNS IPs opgeven. Pak bijvoorbeeld de Google DNS (8.8.8.8 & 8.8.4.4) sla deze instellingen op in je Ubee. Vervolges ff zorgen dat je clients deze adressen opnieuw krijgen 'uitgedeeld' van je DHCP (opnieuw opstarten of op een windows machine: Start > run > 'cmd', in de dosbox: 'ipconfig /release' vervolgens 'ipconfig /renew' en klaar is John West.
bedankt,ik heb het finaal over het hoofd gezien.
Laten we niet hopen dat ze daar bij Ziggo zo achterlijk zijn om zonder aankondiging de dns servers een nieuw IP te geven of zelfs een IP buiten het subnet waar ze in zaten.
Want dat is er een dik vet probleem bij gekomen voor zakelijke klanten met een firewall die alleen udp 53 toelaat naar het oude adres. Zeker als ze de configuratie hebben uitbesteed en de helpdesk hen niet gaat helpen...
Want dat is er een dik vet probleem bij gekomen voor zakelijke klanten met een firewall die alleen udp 53 toelaat naar het oude adres. Zeker als ze de configuratie hebben uitbesteed en de helpdesk hen niet gaat helpen...
Een server in Ierland? Proest, dat betekent dat het waarschijnlijk gehost is bij Liberty Global, het moederbedrijf, daar gaat ver vertrouwen in Ziggo Nederland ;)
Ik had nog niet eens overwogen dat het DDOS verhaal een onzin verhaal is, vorig jaar heeft Ziggo om die reden de aanschaf van anti-DDOS hardware (Arbor networks) kunnen doen. Maar dat lostte het probleem dus niet op.
Ik had nog niet eens overwogen dat het DDOS verhaal een onzin verhaal is, vorig jaar heeft Ziggo om die reden de aanschaf van anti-DDOS hardware (Arbor networks) kunnen doen. Maar dat lostte het probleem dus niet op.
Door Anoniem:
Iedereen man zich voordoen als "Anonymous" dit is wel een trieste bedoeling om de naam te gebruiken en hoop ook dat de dader('s) gepakt worden.
Maar als je een beetje met de jaren mee bent gegaan dan weetje ook dat dit niet het echte anonymous is maar wat 14 jarige kleuters https://mobile.twitter.com/AnonScruggs/ blijkt de aanval op te eisen en aan dit gedrag van tweets lijkt met me een persoon ~14jaar dit is kwa taalgebruik en het brakke Engels.
Door Anoniem: Dat hackercollectief dat zegt aansprakelijk te zijn kun je in mijn ogen samenvatten als een verzameling laffe cyberterroristen. En in feite is dat al te veel eer. Een terrorist heeft nog enige moed omdat hij fysiek zijn leven op het spel zet. Bij dit soort gasten staat er helemaal niks op het spel behalve hun iets te grote ego.
Iedereen man zich voordoen als "Anonymous" dit is wel een trieste bedoeling om de naam te gebruiken en hoop ook dat de dader('s) gepakt worden.
Maar als je een beetje met de jaren mee bent gegaan dan weetje ook dat dit niet het echte anonymous is maar wat 14 jarige kleuters https://mobile.twitter.com/AnonScruggs/ blijkt de aanval op te eisen en aan dit gedrag van tweets lijkt met me een persoon ~14jaar dit is kwa taalgebruik en het brakke Engels.
Is het dan niet nog schandaliger dat een stelletje 14 jarige kleuters de grootse ISP van Nederland bijna volledig onderuit kunnen trappen?
Eerst KPN core switches, dan Xs4all Fritzboxen en nu DNS servers van Ziggo. Het maakt niet uit wie er achter zit; dit mag een isp van deze omvang en met een monopolie in veel plaatsen, gewoon niet overkomen. Burgers raken steeds meer gedwongen afhankelijk van een internetverbinding (informatie bij rampen, ouderenzorg via meldkamer, internet loket). Nu kunnen we ff niet facebooken maar voor het zelfde geld vallen er slachtoffers. En als een stel kinderen zo ver komen kun je je afvragen wat gebeurd als professionals deze isp op de korrel nemen.
Zorgelijk dit. Internet is hier niet voor ontworpen.
Door Anoniem:
Is het dan niet nog schandaliger dat een stelletje 14 jarige kleuters de grootse ISP van Nederland bijna volledig onderuit kunnen trappen?
Is het dan niet nog schandaliger dat een stelletje 14 jarige kleuters de grootse ISP van Nederland bijna volledig onderuit kunnen trappen?
Het kan nog even duren maar er komt een moment dat de gezamelijke internetproviders de handen in elkaar slaan en
degenen die BCP38 niet implementeren van het net trappen.
Zolang dat niet gedaan is hebben de kleuters nog vrij spel. Het probleem tot nu toe is dat de individuele providers geen
belang hebben om hierin een voortrekkersrol te vervullen, vergelijkbaar met het dilemma rond IPv6.
Omdat Internet draait op winst (en niet op toekomstvastheid, beschikbaarheid en betrouwbaarheid) gebeurt er niks.
Door Anoniem:
Is het dan niet nog schandaliger dat een stelletje 14 jarige kleuters de grootse ISP van Nederland bijna volledig onderuit kunnen trappen?
Eerst KPN core switches, dan Xs4all Fritzboxen en nu DNS servers van Ziggo. Het maakt niet uit wie er achter zit; dit mag een isp van deze omvang en met een monopolie in veel plaatsen, gewoon niet overkomen. Burgers raken steeds meer gedwongen afhankelijk van een internetverbinding (informatie bij rampen, ouderenzorg via meldkamer, internet loket). Nu kunnen we ff niet facebooken maar voor het zelfde geld vallen er slachtoffers. En als een stel kinderen zo ver komen kun je je afvragen wat gebeurd als professionals deze isp op de korrel nemen.
Zorgelijk dit. Internet is hier niet voor ontworpen.
Iets slopen is altijd goedkoper en makkelijker dan voorkomen dat iets gesloopt kan worden.Door Anoniem:
Iedereen man zich voordoen als "Anonymous" dit is wel een trieste bedoeling om de naam te gebruiken en hoop ook dat de dader('s) gepakt worden.
Maar als je een beetje met de jaren mee bent gegaan dan weetje ook dat dit niet het echte anonymous is maar wat 14 jarige kleuters https://mobile.twitter.com/AnonScruggs/ blijkt de aanval op te eisen en aan dit gedrag van tweets lijkt met me een persoon ~14jaar dit is kwa taalgebruik en het brakke Engels.
Door Anoniem: Dat hackercollectief dat zegt aansprakelijk te zijn kun je in mijn ogen samenvatten als een verzameling laffe cyberterroristen. En in feite is dat al te veel eer. Een terrorist heeft nog enige moed omdat hij fysiek zijn leven op het spel zet. Bij dit soort gasten staat er helemaal niks op het spel behalve hun iets te grote ego.
Iedereen man zich voordoen als "Anonymous" dit is wel een trieste bedoeling om de naam te gebruiken en hoop ook dat de dader('s) gepakt worden.
Maar als je een beetje met de jaren mee bent gegaan dan weetje ook dat dit niet het echte anonymous is maar wat 14 jarige kleuters https://mobile.twitter.com/AnonScruggs/ blijkt de aanval op te eisen en aan dit gedrag van tweets lijkt met me een persoon ~14jaar dit is kwa taalgebruik en het brakke Engels.
Is het dan niet nog schandaliger dat een stelletje 14 jarige kleuters de grootse ISP van Nederland bijna volledig onderuit kunnen trappen?
Eerst KPN core switches, dan Xs4all Fritzboxen en nu DNS servers van Ziggo. Het maakt niet uit wie er achter zit; dit mag een isp van deze omvang en met een monopolie in veel plaatsen, gewoon niet overkomen. Burgers raken steeds meer gedwongen afhankelijk van een internetverbinding (informatie bij rampen, ouderenzorg via meldkamer, internet loket). Nu kunnen we ff niet facebooken maar voor het zelfde geld vallen er slachtoffers. En als een stel kinderen zo ver komen kun je je afvragen wat gebeurd als professionals deze isp op de korrel nemen.
Zorgelijk dit. Internet is hier niet voor ontworpen.
21-08-2015, 00:13 door
vanegmond
Ik vind het wat vreemd dat op een Security site, als advies word gegegven.
Verander de DNS en het Ziggo probleem is opgelost.
Ook het advies, dat je die veranderingen gewoon kan laten staan, begrijp ik niet.
Want als ik dit lees, word je dns dan openbaar
http://www.bright.nl/grote-internetstoring-bij-ziggo-na-ddos-aanval
Of heb ik dat verkeerd ?
Verander de DNS en het Ziggo probleem is opgelost.
Ook het advies, dat je die veranderingen gewoon kan laten staan, begrijp ik niet.
Want als ik dit lees, word je dns dan openbaar
http://www.bright.nl/grote-internetstoring-bij-ziggo-na-ddos-aanval
Of heb ik dat verkeerd ?
21-08-2015, 03:37 door
CrioWria
Door Anoniem:Je kunt beter producten hebben van verschillende aanbieders. Is wel duurder, maar geeft meer zekerheid !
Onzin dat dit duurder is, voor 15 euro per jaar heb je de beschikking over een vast regio-telefoonnummer. Daarmee kun je ook op jouw mobiel bereikbaar zijn via ieder willekeurig netwerk.Door vanegmond: Ik vind het wat vreemd dat op een Security site, als advies word gegeven.
Verander de DNS en het Ziggo probleem is opgelost.
Ook het advies, dat je die veranderingen gewoon kan laten staan, begrijp ik niet.
Want als ik dit lees, word je dns dan openbaar
Nee, dit wordt niet openbaar, echter geef je andere bedrijven wel heel makkelijk inzage welke site jij bezoekt. Er zijn bedrijven die al zoveel van je weten, waarom zou je die nog extra info geven?Verander de DNS en het Ziggo probleem is opgelost.
Ook het advies, dat je die veranderingen gewoon kan laten staan, begrijp ik niet.
Want als ik dit lees, word je dns dan openbaar
En opdat via DNS het wel heel makkelijk te zien is welke sites jij bezoekt is het juist beter om dit wel permanent te wijzigen in bijvoorbeeld http://blog.censurfridns.dk/en .
buiten het feit dat het prutswerk is van Ziggo. Zet je nameservers om naar bijv. die van google. Probleem opgelost.
Door Anoniem: buiten het feit dat het prutswerk is van Ziggo. Zet je nameservers om naar bijv. die van google. Probleem opgelost.
Dat is nu juist het probleem hier; dit lost niets op maar maar maakt het probleem alleen maar complexer.
Als je een set degelijke DNS servers van je ISP kan gebruiken heb je de volgende voordelen:
- de route naar de server is zo kort mogelijk
- dit is in de meeste gevallen sneller ( behalve bij Ziggo )
- dit is veiliger ( dns aanvragen verlaten het autonome system niet en kunnen dus niet onderweg op internet aangepast worden.
- ze blijven binnen het netwerk van je provider; alleen deze heeft dus een historie van jouw surf geschiedenis.
- ze blijven binnen Nederland ( behalve bij Ziggo ) waardoor er alleen aanspraak op gemaakt kan worden in navolging van Nederlandse wetgeving.
- het is beter voor de algehele performance van het internet als connecties zo vroeg mogelijk in de keten beantwoord worden; massaal op Google of andere externe dns overstappen druk de performance van ons internet.
Nu ben ik het met je eens dat Google nog een beter alternatief is dan de obscure DNS servers die Ziggo nu gebruikt, maar ze moeten hun zaken simpelweg op orde hebben ipv dat klanten workarounds moeten gaan verzinnen. In plaats van dns aanpassen (dns hoort bij het abbonement waar je voor betaald!) zouden schadevergoedingen meer op zijn plaats zijn; dit is een probleem van Ziggo en niet van haar klanten.
Weer iemand trouwens of het mogelijk is om bij een dns lookup zowel de primaire als de secundaire dns server te raadplegen om zo het antwoord van de eerste server te laten verifiëren door de 2e ...? Standaard gedrag is namelijk dat de snelste response gebruikt wordt.
Door vanegmond: Ik vind het wat vreemd dat op een Security site, als advies word gegegven.
Verander de DNS en het Ziggo probleem is opgelost.
Ook het advies, dat je die veranderingen gewoon kan laten staan, begrijp ik niet.
Want als ik dit lees, word je dns dan openbaar
http://www.bright.nl/grote-internetstoring-bij-ziggo-na-ddos-aanval
Of heb ik dat verkeerd ?
Van Egmond doelt waarschijnlijk op de zin die je achter de aangegeven link vindt:Verander de DNS en het Ziggo probleem is opgelost.
Ook het advies, dat je die veranderingen gewoon kan laten staan, begrijp ik niet.
Want als ik dit lees, word je dns dan openbaar
http://www.bright.nl/grote-internetstoring-bij-ziggo-na-ddos-aanval
Of heb ik dat verkeerd ?
"Het veranderen van Ziggo's DNS-server in een van de openbare, alternatieve DNS-servers verhielp het probleem."?
"Openbaar" betekent hier: bekende grote DNS-servers waar iedereen vrij gebruik van kan maken.
Maar zoals we inmiddels zouden moeten weten: gratis bestaat niet. En: "als iets gratis is, ben jij het product".
In ons geval verschaf je via DNS kennis over "welke websites men allemaal bezoekt en hoe vaak" vanaf een bepaald IP-adres. (dus voor zover ik weet géén detailinformatie over de bezochte webpagina's op deze bezochte websites).
Vooral voor Google zal dit interessant zijn. Interessant genoeg om te investeren in hun DNS-servers om ze zo aantrekkelijk mogelijk te maken door ze de allersnelste te laten zijn... ;-)
Nu kun je je afvragen of dit nou een "big deal "is, maar toch: wat heeft een ander er eigenlijk mee te maken.
Vooral als je weet dat het een partij is waar de commercie van afdruipt, en jij deze polonaise aan je lijf niet wenst.
Er is aan deze "vriendelijke spionage" wel iets te doen (VPN, Tor), maar dan zul je weer andere partijen moeten vertrouwen. Je zult bij DNS hoe dan ook een derde persoon moeten vertellen naar welke website je wil.
"Lang leve de hosts-file" (die buiten DNS om werkt) denk ik dan maar weer... Hoewel hier ook nadelen aan kleven,
in overeenstemming met clucjes "Algemene Wet van Behoud van Ellende". ;-)
Het hangt er dan misschien maar net van af waar iemand het meest gevoelig voor is.
Maar inderdaad een mooi voorbeeld van hoe het in de praktijk meestal werkt vanEgmond.
Men is allang blij dat men zodoende gemakkelijk en snel is geholpen, en vergeet dan volledig about privacy en security.
Bijna als bij een app die een bepaalde toegang wil: "ach, ik zeg maar gewoon "ja" want anders werkt het niet". ;-)
Mvg, cluc-cluc
Door Anoniem: Weer iemand trouwens of het mogelijk is om bij een dns lookup zowel de primaire als de secundaire dns server te raadplegen om zo het antwoord van de eerste server te laten verifiëren door de 2e ...? Standaard gedrag is namelijk dat de snelste response gebruikt wordt.
Mijn ervaring is dat eerst de primaire DNS wordt gebruikt. Pas als deze binnen een bepaalde tijdslimiet en na een aantal retries niet antwoordt, wordt de alternatieve (tweede) DNS gebruikt.Hoe het precies wordt gebruikt hangt er maar net vanaf hoe één en ander is geprogrammeerd in de firmware van je router
(of in je OS in geval je DNS in je OS hebt ingesteld).
In theorie moet het wel mogelijk zijn dat een stukje software beide DNS servers probeert en met elkaar vergelijkt,
maar dat lijkt me meer voer voor security software paketten. (of zelf iets schrijven?)
Meestal acht men de kans op DNS-corruptie zo klein dat het de "overhead" (nl. dubbel werk voor elke DNS-aanvraag)
niet waard is. Verder controleert het DNS systeem (dat uit duizenden servers bestaat) zichzelf al flink op corruptie.
Het is dan ook zeer de vraag of in uitzonderlijk zeldzaam geval van corruptie de alternatieve DNS nog wél het "goeie" IP-adres geeft. Bij twee gelijke corrupte IP-adressen lijkt alles perfect in orde, maar is het niet.
Kortom: misschien toch een onderwerp van spijkers op laag water en over hemels en blauwe petten en zo? ;-)
Goeroehoedjes
Hoe zou je dat moeten schrijven dan; bedoel je ff de source van een dns client aanpassen en opnieuw compileren...? Een bash script gaat niet voldoende zijn en onder Windows valt er niet veel source code aan te passen...
Je hoeft ook niet elk request dubbel te doen maar kan ook steekproefgewijs ( telkens willekeurig 2 van bv 5 servers) of alleen bij cruciale websites.
Vreemd dat hier dan niets voor bestaat. Uit het oogpunt van corrupte data zal het wel meevallen, maar als je een malafide dns server (die dus met opzet een verkeerd IP doorgeeft) gebruikt is er dus niets om dat te controleren. Eigenlijk is dat wel griezelig niet ?
Je hoeft ook niet elk request dubbel te doen maar kan ook steekproefgewijs ( telkens willekeurig 2 van bv 5 servers) of alleen bij cruciale websites.
Vreemd dat hier dan niets voor bestaat. Uit het oogpunt van corrupte data zal het wel meevallen, maar als je een malafide dns server (die dus met opzet een verkeerd IP doorgeeft) gebruikt is er dus niets om dat te controleren. Eigenlijk is dat wel griezelig niet ?
22-08-2015, 10:03 door
Briolet
Door Anoniem:Mijn ervaring is dat eerst de primaire DNS wordt gebruikt. Pas als deze binnen een bepaalde tijdslimiet en na een aantal retries niet antwoordt, wordt de alternatieve (tweede) DNS gebruikt.
Dat is ook mijn ervaring. Mijn primaire DNS is een eigen server op mijn nas en de secundaire is die van OpenDNS. De eigen DNS server gaat uiteindelijk ook naar OpenDNS, maar daar vind ik nooit opvragen van mijn eigen domeinnaam in het log. Dus gebruikt hij normaal nooit de secundaire DNS server.
Als je dubbele DNS opvragen wilt doen, hoef je geen nieuwe DNS server te schrijven. Er zijn diverse open source dns servers te vinden. Je moet daarin alleen het relevante deel opnieuw coderen. :-)
Door Anoniem: Hoe zou je dat moeten schrijven dan; bedoel je ff de source van een dns client aanpassen en opnieuw compileren...? Een bash script gaat niet voldoende zijn en onder Windows valt er niet veel source code aan te passen...
Je hoeft ook niet elk request dubbel te doen maar kan ook steekproefgewijs ( telkens willekeurig 2 van bv 5 servers) of alleen bij cruciale websites.
Vreemd dat hier dan niets voor bestaat. Uit het oogpunt van corrupte data zal het wel meevallen, maar als je een malafide dns server (die dus met opzet een verkeerd IP doorgeeft) gebruikt is er dus niets om dat te controleren. Eigenlijk is dat wel griezelig niet ?
Ja, zelf iets schrijven zal de meeste mensen niet zomaar lukken. (er stond een vraagteken achter...)Je hoeft ook niet elk request dubbel te doen maar kan ook steekproefgewijs ( telkens willekeurig 2 van bv 5 servers) of alleen bij cruciale websites.
Vreemd dat hier dan niets voor bestaat. Uit het oogpunt van corrupte data zal het wel meevallen, maar als je een malafide dns server (die dus met opzet een verkeerd IP doorgeeft) gebruikt is er dus niets om dat te controleren. Eigenlijk is dat wel griezelig niet ?
Als DNS-instelling is geconfisqeerd, zal waarschijnlijk ook je alternate DNS een vals adres geven -> "comparing is futile"
Een enkele DNS-server die malafide is, is erg onwaarschijnlijk. Tenzij je één obscure DNS-server hebt gekozen.
Maar m.b.v. de juiste Firewall rules kan geschikte Firewall software ook wel detecteren dat je naar een ongebruikelijk IP-adres gaat. Dat zal waarschijnlijk iets eenvoudiger zijn dan een stuk DNS-software opnieuw programmeren. ;-)
Goeroehoedjes
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
