aankondigingen:2020:a2020d01-ddos-20200129

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

aankondigingen:2020:a2020d01-ddos-20200129 [2020/05/20 05:30] (current)
Line 1: Line 1:
 +~~META:
 +title = A2020A01: DDOS attack 29 januari 2020
 +~~
 +{{htmlmetatags>​
 +metatag-keywords=(DDOS attack 29 januari 2020)
 +metatag-og:​title=(DDOS attack 29 januari 2020)
 +metatag-og:​description=(
 + In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op
 + een deel van de NPO Hosting infrastructuur,​ welke niet is afgeslagen
 + door de anti-DDOS apparatuur. Het gevolg hiervan was dat een aantal
 + sites tijdens deze DDOS minder goed bereikbaar zijn geweest. De site
 + waar de aanval tegen gericht was is inmiddels geisoleerd, zodat een
 + volgende aanval minder impact zal hebben.
 + )
 +}}
 +===== A2020A01: DDOS attack 29 januari 2020 =====
 +Beste klant / collega,
 +
 +(Is dit bericht niet goed leesbaar? Bekijk dan [[|de online versie]].)
 +
 +In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op
 +een deel van de NPO Hosting infrastructuur. Nu zijn dit soort DDOS
 +attacks aan de orde van de dag en normaliter worden deze succesvol
 +afgeslagen door de anti-DDOS apparatuur. Alleen heeft in dit geval de
 +anti-DDOS machine niet ingegrepen waardoor al het verkeer bij een
 +loadbalancer terecht is gekomen die daardoor tijdelijk minder goed
 +bereikbaar is geweest.
 +
 +Waarom de anti-DDOS oplossing niet heeft ingegrepen is op dit moment nog
 +in onderzoek bij onze collega'​s van team NPO IAAS / Netwerkbeheer.
 +
 +In totaal was er sprake van 2 aanvallen, de eerste van 19:​10h--19:​32h en
 +daarna van 20:​29h--20:​51h. Beide aanvallen waren gericht op
 +radioring.avrotros.nl,​ maar omdat de loadbalancer waar het bijbehorende
 +IP adres actief was ook voor andere websites de loadbalancing verzorgt
 +is er ook impact voor anderen geweest.
 +Door de aanval heeft deze loadbalancer het tijdelijk even heel zwaar
 +gehad, maar kon nog wel zijn primaire taak vervullen. Dat betekent dat
 +de getroffen sites tijdelijk trager geweest zijn, maar nog wel
 +bereikbaar waren. Het betreft sites van de volgende omroepen:
 +AVROTROS, NPO, RTV Utrecht, BNNVARA, Omrop Fryslan, Omroep Gelderland, BVN en Omroep
 +Max.
 +
 +In afwachting van een uitspraak over waarom de anti-DDOS apparatuur niet
 +heeft ingegrepen hebben we zo lang het bewuste IP adres geisoleerd op
 +een eigen loadbalancer. Dat zorgt ervoor dat andere klanten geen last
 +meer hebben van een eventuele volgende
 +DDOS aanval.
 +
 +Hieronder een grafiek van het aantal binnengekomen packets per seconde
 +op de bewuste loadbalancer. De twee pieken rechts zijn de DDOS
 +aanvallen. Tijdens deze aanvallen was er sprake van bijna 100x zoveel
 +inkomend verkeer.
 +
 +{{:​aankondigingen:​ddos.png?​400|DDOS grafiek}}
 +
 +Hieronder een plaatje van een van de getroffen webservers, in dit geval
 +de POMS image servers, die achter dezelfde loadbalancer leven. Te zien
 +valt dat er wel degelijk impact is geweest, maar dat de webservers nog
 +steeds in staat zijn om verkeer af te handelen.
 +{{:​aankondigingen:​2020:​poms-ddos.png?​400|Effect van DDOS aanval op POMS image servers}}
 +
  
  • aankondigingen/2020/a2020d01-ddos-20200129.txt
  • Last modified: 2020/05/20 05:30
  • (external edit)