Het is een zonnige dag vandaag, we gaan weer vrolijk verder, maar de zware DDoS aanval van gisteren zijn we natuurlijk nog niet vergeten. Zoals onze directeur Gruus zei: “We zijn vandaag volwassen geworden, een DDoS is het maximale wat je kan over komen :(“.

Er is een flink aantal computers nodig om zo’n aanval te beginnen (een zgn. botnet) en dat is geen gereedschap dat iedere huis- tuin- en keuken hacker zomaar tot zijn beschikking heeft. Iedere dag wordt Byte bestookt met tienduizenden hack-aanvallen en werken we continue om deze geautomatiseerd en voortvarend af te slaan. Dat gaat ons goed af, want de afgelopen 11 jaar zijn we geen enkele keer down geweest door een DDoS aanval. De aanval van gisteren was echter op zo’n grote schaal uitgevoerd dat er virtuele rook uit onze apparatuur kwam. Ter illustratie: Waar we er normaal 50.000 verzoeken per minuut op hoge pieken verwerken (en kunnen beheren) kwamen nu 2.500.000 verzoeken per minuut binnen. Deze miljoenen malafide verzoeken zorgden ervoor dat de echte verzoeken (van ons en van klanten) niet werden afgehandeld (het zogenaamde Denial of Service).

Helaas kunnen we de dader niet achterhalen. Dat komt door tekortkomingen in het TCP/IP protocol waarop internet gebaseerd is. Apparaten die het verkeer doorgeven op internet (routers), gaan uit van vertrouwen. Een malafide router kan daardoor verkeer doorsturen van IP’s die niet bestaan, en het is vrijwel niet te achterhalen welke router daarvoor verantwoordelijk was.

DDOS aanval

Normaal gesproken kun je IP’s aan de rand van je netwerk blokkeren. Omdat de aanval nu van vele miljoenen (nep) IP’s kwam, was blokkeren onbegonnen werk. Gelukkig had de DDoS aanvaller een steekje laten vallen en vonden we redelijk snel een aanknopingspunt om zijn aanval tegen te houden. We ontdekten namelijk een subtiel patroon in het verkeer dat hij op ons afvuurde. Toen we dat eenmaal wisten, hebben we met de hulp van XS4ALL het verkeer weten te blokkeren doordat zij toen direct voor ons op netwerkniveau poorten konden sluiten.

Na oplossen van deze aanval, hebben we gisteravond gelijk stevig zitten brainstormen over een blijvende algemene oplossing. Om een eventuele volgende aanval te tegen te gaan, nemen we verschillende maatregelen:

  • Inzetten speciale hardware: (extra NICs met betere TOE functionaliteit) voor onze firewall & loadbalancers en flinke uitbreiding van de verwerkingscapaciteit. Dit zal het effect van de veel DDoS aanvallen teniet doen. (TOE zorgt ervoor dat de server zelf minder hoeft te doen, het is een soort slimme chip op een netwerkkaart.)
  • Tools & analyse procedures: na gister hebben we een aantal nieuwe tools en analyse procedures opgesteld om bij een volgende aanval razendsnel te kunnen achterhalen wat de gemeenschappelijke deler is van het binnenkomende malafide verkeer. Zodra we deze eigenschap weten, kunnen we de aanval relatief simpel blokkeren aan de rand van ons netwerk.
  • IP’s verspreiden: we gaan onze diensten over een nog groter aantal IPs spreiden, zodat het effect van een eventuele aanval beperkt is.

Gister was een erg pittige dag, nu is het gelukkig achter de rug. Maar daarmee is de kous niet af. We werken deze weken hard verder om te zorgen dat we dit soort incidenten beter kunnen opvangen. We voelen ons gesterkt door onze klanten die ons een hart onder de riem staken via http://twitter.com/search?q=byte_internet en onze helpdesk. Dank hiervoor!

Scan je eigen Magento shop op veiligheidslekken

Related Post