‘DDoS aanvallen horen er tegenwoordig voor veel hosters gewoon bij’


Dat er op Twitter en dergelijken vaak niet veel te vinden is over DDoS-aanvallen komt doordat veel hosters de aanvallen niet erg bijzonder meer vinden. DDoS-aanvallen horen er tegenwoordig voor veel hosters simpelweg gewoon bij. De meeste zijn gewoon goed beschermd en hebben geen last van de aanvallen die ze binnen krijgen. Sommige van onze grote hostingklanten hebben bijvoorbeeld een aantal aanvallen per dag en gaan niet meer elke aanval melden op Twitter. Alleen als het mis gaat en men er uit ligt, wordt er vaak wel een bericht naar buiten gebracht.

In vergelijking met heel 2014 zien we de afgelopen maanden gemiddeld geen toe- of afname van het aantal aanvallen dat de gemiddelde hoster krijgt. Wel wordt het verschil tussen volume DDoS en kleinere specifieke aanvallen groter. Het formaat van grote volume DDoS-aanvallen waarbij er simpelweg een grote berg verkeer wordt gestuurd, is in de afgelopen maanden niet veel toegenomen, maar de frequentie ervan wel. Voorheen was een 100Gbps+ DDoS bijzonder, nu zien we die regelmatig voorbij komen. Maar het formaat van de gemiddelde aanval is nog steeds hetzelfde als die van een paar maanden geleden, zo rond de 25Gbps/10Mpps. Daarbij valt wel op dat in de afgelopen maanden de gemiddelde tijdsduur per aanval een stuk langer is geworden. Voorheen duurde bijvoorbeeld een grote aanval meestal nooit langer dan een uur, in de afgelopen maanden is een paar uur tot een dag geen uitzondering.

Bij een gemiddelde aanval gaat het steeds minder vaak om de hoeveelheid Mbps of PPS. Een DDoS bestaat steeds vaker uit meerdere kleine aanvallen die gelijktijdig verschillende aanvalstechnieken gebruiken en ook nog eens continu veranderen. Zo wordt bijvoorbeeld op hetzelfde moment de BGP netwerk uplinks, de routers zelf, de switches van de hoster en de achterliggende hosting infra aangevallen. Hierdoor wordt het handmatig bijsturen erg lastig en tijdrovend en moet de oplossing worden gezocht in een combinatie van netwerkpreventie en automatische filtering met daarbij de juiste tools om op het moment van een aanval een goed inzicht in het probleem te geven.

Veel hostingnetwerken kunnen het qua netwerkvolume dus best met de hoeveelheid vuil verkeer omgaan, maar voor de achterliggende infra en engineers is het simpelweg niet bij de houden. Daarbij zien we dat nog steeds veel hostingomgevingen qua ip-gebruik niet goed georganiseerd zijn en vooraf vaak niet voldoende aan preventie kunnen doen. Men gebruikt bijvoorbeeld soms maar 1 ip per hostingomgeving omdat men dat simpelweg al jaren gewend was. Simpele zaken als mail, web, voip, dns e.d. zijn dan niet ip-gescheiden met als gevolg dat alle poorten en protocollen door elkaar heen lopen en DDoS-filters niet goed mee overweg kunnen. Er wordt dan vaak maar gekozen voor een algemeen (gemiddeld) filter wat de gemiddelde “domme DDoS” wel tegenhoudt, maar wat niets tegen bijvoorbeeld een professioneel georganiseerde aanval kan doen. En juist dit type zien we meer en meer. Dus op het moment dat er dan een keer een wat geavanceerde aanval voorbij komt, heeft men een serieus probleem.

Als we bij ons op de afgelopen paar maanden terugkijken, dan zien we dat bij hosters dit de meest voorkomende reden is dat men er toch soms plat door gaat. Een deel van de Twitter berichten die je her en der voorbij ziet komen, zal waarschijnlijk dezelfde oorzaak hebben. Gelukkig anticiperen de meeste hosters op de problemen die ze hebben gehad en wordt het probleem voor ze daardoor steeds minder.

Geschreven door Gijs van Gemert (Serverius)

Dit ingezonden artikel is geschreven door Gijs van Gemert van Serverius.

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via redactie@ispam.nl of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

Nog geen reacties

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.