Differences
This shows you the differences between two versions of the page.
| — | aankondigingen:2020:a2020d01-ddos-20200129 [2025/09/22 16:43] (current) – created - external edit 127.0.0.1 | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ~~META: | ||
| + | title = A2020A01: DDOS attack 29 januari 2020 | ||
| + | ~~ | ||
| + | {{htmlmetatags> | ||
| + | metatag-keywords=(DDOS attack 29 januari 2020) | ||
| + | metatag-og: | ||
| + | metatag-og: | ||
| + | In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op | ||
| + | een deel van de NPO Hosting infrastructuur, | ||
| + | door de anti-DDOS apparatuur. Het gevolg hiervan was dat een aantal | ||
| + | sites tijdens deze DDOS minder goed bereikbaar zijn geweest. De site | ||
| + | waar de aanval tegen gericht was is inmiddels geisoleerd, zodat een | ||
| + | volgende aanval minder impact zal hebben. | ||
| + | ) | ||
| + | }} | ||
| + | ===== A2020A01: DDOS attack 29 januari 2020 ===== | ||
| + | Beste klant / collega, | ||
| + | |||
| + | (Is dit bericht niet goed leesbaar? Bekijk dan [[|de online versie]].) | ||
| + | |||
| + | In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op | ||
| + | een deel van de NPO Hosting infrastructuur. Nu zijn dit soort DDOS | ||
| + | attacks aan de orde van de dag en normaliter worden deze succesvol | ||
| + | afgeslagen door de anti-DDOS apparatuur. Alleen heeft in dit geval de | ||
| + | anti-DDOS machine niet ingegrepen waardoor al het verkeer bij een | ||
| + | loadbalancer terecht is gekomen die daardoor tijdelijk minder goed | ||
| + | bereikbaar is geweest. | ||
| + | |||
| + | Waarom de anti-DDOS oplossing niet heeft ingegrepen is op dit moment nog | ||
| + | in onderzoek bij onze collega' | ||
| + | |||
| + | In totaal was er sprake van 2 aanvallen, de eerste van 19: | ||
| + | daarna van 20: | ||
| + | radioring.avrotros.nl, | ||
| + | IP adres actief was ook voor andere websites de loadbalancing verzorgt | ||
| + | is er ook impact voor anderen geweest. | ||
| + | Door de aanval heeft deze loadbalancer het tijdelijk even heel zwaar | ||
| + | gehad, maar kon nog wel zijn primaire taak vervullen. Dat betekent dat | ||
| + | de getroffen sites tijdelijk trager geweest zijn, maar nog wel | ||
| + | bereikbaar waren. Het betreft sites van de volgende omroepen: | ||
| + | AVROTROS, NPO, RTV Utrecht, BNNVARA, Omrop Fryslan, Omroep Gelderland, BVN en Omroep | ||
| + | Max. | ||
| + | |||
| + | In afwachting van een uitspraak over waarom de anti-DDOS apparatuur niet | ||
| + | heeft ingegrepen hebben we zo lang het bewuste IP adres geisoleerd op | ||
| + | een eigen loadbalancer. Dat zorgt ervoor dat andere klanten geen last | ||
| + | meer hebben van een eventuele volgende | ||
| + | DDOS aanval. | ||
| + | |||
| + | Hieronder een grafiek van het aantal binnengekomen packets per seconde | ||
| + | op de bewuste loadbalancer. De twee pieken rechts zijn de DDOS | ||
| + | aanvallen. Tijdens deze aanvallen was er sprake van bijna 100x zoveel | ||
| + | inkomend verkeer. | ||
| + | |||
| + | {{: | ||
| + | |||
| + | Hieronder een plaatje van een van de getroffen webservers, in dit geval | ||
| + | de POMS image servers, die achter dezelfde loadbalancer leven. Te zien | ||
| + | valt dat er wel degelijk impact is geweest, maar dat de webservers nog | ||
| + | steeds in staat zijn om verkeer af te handelen. | ||
| + | {{: | ||
| + | |||