aankondigingen:2020:a2020d01-ddos-20200129

Beste klant / collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op een deel van de NPO Hosting infrastructuur. Nu zijn dit soort DDOS attacks aan de orde van de dag en normaliter worden deze succesvol afgeslagen door de anti-DDOS apparatuur. Alleen heeft in dit geval de anti-DDOS machine niet ingegrepen waardoor al het verkeer bij een loadbalancer terecht is gekomen die daardoor tijdelijk minder goed bereikbaar is geweest.

Waarom de anti-DDOS oplossing niet heeft ingegrepen is op dit moment nog in onderzoek bij onze collega's van team NPO IAAS / Netwerkbeheer.

In totaal was er sprake van 2 aanvallen, de eerste van 19:10h–19:32h en daarna van 20:29h–20:51h. Beide aanvallen waren gericht op radioring.avrotros.nl, maar omdat de loadbalancer waar het bijbehorende IP adres actief was ook voor andere websites de loadbalancing verzorgt is er ook impact voor anderen geweest. Door de aanval heeft deze loadbalancer het tijdelijk even heel zwaar gehad, maar kon nog wel zijn primaire taak vervullen. Dat betekent dat de getroffen sites tijdelijk trager geweest zijn, maar nog wel bereikbaar waren. Het betreft sites van de volgende omroepen: AVROTROS, NPO, RTV Utrecht, BNNVARA, Omrop Fryslan, Omroep Gelderland, BVN en Omroep Max.

In afwachting van een uitspraak over waarom de anti-DDOS apparatuur niet heeft ingegrepen hebben we zo lang het bewuste IP adres geisoleerd op een eigen loadbalancer. Dat zorgt ervoor dat andere klanten geen last meer hebben van een eventuele volgende DDOS aanval.

Hieronder een grafiek van het aantal binnengekomen packets per seconde op de bewuste loadbalancer. De twee pieken rechts zijn de DDOS aanvallen. Tijdens deze aanvallen was er sprake van bijna 100x zoveel inkomend verkeer.

DDOS grafiek

Hieronder een plaatje van een van de getroffen webservers, in dit geval de POMS image servers, die achter dezelfde loadbalancer leven. Te zien valt dat er wel degelijk impact is geweest, maar dat de webservers nog steeds in staat zijn om verkeer af te handelen. Effect van DDOS aanval op POMS image servers

  • aankondigingen/2020/a2020d01-ddos-20200129.txt
  • Last modified: 2020/10/17 11:12
  • (external edit)