no way to compare when less than two revisions
Differences
This shows you the differences between two versions of the page.
— | aankondigingen:2020:a2020d01-ddos-20200129 [2024/03/07 17:08] (current) – created - external edit 127.0.0.1 | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ~~META: | ||
+ | title = A2020A01: DDOS attack 29 januari 2020 | ||
+ | ~~ | ||
+ | {{htmlmetatags> | ||
+ | metatag-keywords=(DDOS attack 29 januari 2020) | ||
+ | metatag-og: | ||
+ | metatag-og: | ||
+ | In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op | ||
+ | een deel van de NPO Hosting infrastructuur, | ||
+ | door de anti-DDOS apparatuur. Het gevolg hiervan was dat een aantal | ||
+ | sites tijdens deze DDOS minder goed bereikbaar zijn geweest. De site | ||
+ | waar de aanval tegen gericht was is inmiddels geisoleerd, zodat een | ||
+ | volgende aanval minder impact zal hebben. | ||
+ | ) | ||
+ | }} | ||
+ | ===== A2020A01: DDOS attack 29 januari 2020 ===== | ||
+ | Beste klant / collega, | ||
+ | |||
+ | (Is dit bericht niet goed leesbaar? Bekijk dan [[|de online versie]].) | ||
+ | |||
+ | In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op | ||
+ | een deel van de NPO Hosting infrastructuur. Nu zijn dit soort DDOS | ||
+ | attacks aan de orde van de dag en normaliter worden deze succesvol | ||
+ | afgeslagen door de anti-DDOS apparatuur. Alleen heeft in dit geval de | ||
+ | anti-DDOS machine niet ingegrepen waardoor al het verkeer bij een | ||
+ | loadbalancer terecht is gekomen die daardoor tijdelijk minder goed | ||
+ | bereikbaar is geweest. | ||
+ | |||
+ | Waarom de anti-DDOS oplossing niet heeft ingegrepen is op dit moment nog | ||
+ | in onderzoek bij onze collega' | ||
+ | |||
+ | In totaal was er sprake van 2 aanvallen, de eerste van 19: | ||
+ | daarna van 20: | ||
+ | radioring.avrotros.nl, | ||
+ | IP adres actief was ook voor andere websites de loadbalancing verzorgt | ||
+ | is er ook impact voor anderen geweest. | ||
+ | Door de aanval heeft deze loadbalancer het tijdelijk even heel zwaar | ||
+ | gehad, maar kon nog wel zijn primaire taak vervullen. Dat betekent dat | ||
+ | de getroffen sites tijdelijk trager geweest zijn, maar nog wel | ||
+ | bereikbaar waren. Het betreft sites van de volgende omroepen: | ||
+ | AVROTROS, NPO, RTV Utrecht, BNNVARA, Omrop Fryslan, Omroep Gelderland, BVN en Omroep | ||
+ | Max. | ||
+ | |||
+ | In afwachting van een uitspraak over waarom de anti-DDOS apparatuur niet | ||
+ | heeft ingegrepen hebben we zo lang het bewuste IP adres geisoleerd op | ||
+ | een eigen loadbalancer. Dat zorgt ervoor dat andere klanten geen last | ||
+ | meer hebben van een eventuele volgende | ||
+ | DDOS aanval. | ||
+ | |||
+ | Hieronder een grafiek van het aantal binnengekomen packets per seconde | ||
+ | op de bewuste loadbalancer. De twee pieken rechts zijn de DDOS | ||
+ | aanvallen. Tijdens deze aanvallen was er sprake van bijna 100x zoveel | ||
+ | inkomend verkeer. | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Hieronder een plaatje van een van de getroffen webservers, in dit geval | ||
+ | de POMS image servers, die achter dezelfde loadbalancer leven. Te zien | ||
+ | valt dat er wel degelijk impact is geweest, maar dat de webservers nog | ||
+ | steeds in staat zijn om verkeer af te handelen. | ||
+ | {{: | ||
+ | |||