Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Tsnunami SYN DDoS-verhaal Telegram rammelt

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 16 juli 2015 08:00 uur

Opmerkelijk bericht deze week: Telegram, de Russische tegenhanger van Whatsapp met naar eigen zeggen ruim 60 miljoen gebruikers, kreeg te maken met een DDoS-aanval. Dat overkomt Telegram wel vaker, net als alle andere grote bedrijven. DDoS is nu eenmaal een populaire uitwerking van cybercrime. Wat dit bericht opmerkelijk maakte, is het feit dat Telegram direct begon te meppen op hosters waar de servers stonden die de aanval initieerden, ondermeer het Nederlandse Leaseweb en NForce. Die zouden te traag hebben gereageerd. Maar het verhaal van Telegram rammelt. En niet weinig ook.

Volgens Telegram ging het om een Tsunami SYN Flood. Het bedrijf kreeg 200Gbit/s aan malafide verkeer voor de kiezenm, verzonden door servers bij een groot aantal hosters. Geen van die hosters genereerde meer dan vijf procent van het aanvalsverkeer. Kenmerken van Tsuname SYN Flood: het verkeer gaat over TCP en niet over het meer gangbare UDP en de pakketjes zijn aanzienlijk groter. Een ‘normale’ SYN kent pakketjes tot zo’n 60 bytes, een Tsunami SYN heeft pakketjes van 1000 bytes. Je hoeft niet te hebben doorgeleerd om te snappen dat een Tsunami SYN Flood enorme hoeveelheden verkeer kan genereren. En dan bedoelen we echt: enorm. In een waanzinnig korte tijd.

Nee. Dan hebben we het niet over 200Gbit/s, dan hebben we het over Tb/s. Bovendien: volgens berichten op het internet, was de aanval al een tijdje aan de gang bij Telegram. Het bedrijf ‘beschuldigde’ de hosters ervan in het weekeinde niet bereikbaar te zijn zodat er maatregelen genomen konden worden. Dat wekt op z’n minst twijfels. Telegram meldt in haar eigen blog dat de aanval vanaf vrijdagochtend gaande was: werd het pas later opgemerkt of is de dienst helemaal niet zo goed beschermd tegen DDoS? Bij een dienst waar 60 miljoen consumenten zijn aangesloten, is dat niet minder dan zorgwekkend. Er zijn inmiddels producten en diensten – Huawei, Fortinet, Akamai – die prima beschermen tegen zaken als SYN, TCP flood en UDP flood.

Het argument dat dit kostbaar is en dat Telegram vooral draait op donaties, is een drogreden. Want zou een reden zijn om een DDoS uit te voeren op een dienst als Telegram? Twee redenen: de eerste is de mogelijkheid om de dienst uit de lucht te halen. De tweede is kwalijker: om een hack te ‘verbergen’, om uiteindelijk toegang te krijgen tot systemen en informatie daaruit te vervreemden. Ook een gratis dienst heeft verantwoordelijkheden om dat te allen tijde te voorkomen. Wijzen naar de onbereikbare helpdesk van providers is een absoluut zwaktebod. Telegram doet dit bovendien lomp en grof: ,,Fighting back would‘ve been a little easier, if the abuse departments in most of the mentioned companies didn’t process requests 9-5, Mon-Fri only. (Hours more befitting a scuba-diving shop in Vatican.)” Ofwel: de openingstijden van providers passen meer bij een winkel in duikartikelen, gevestigd op het Vaticaan.

Overigens: NForce bevestigt dat Telegram contact heeft opgenomen, Leaseweb stelt dat er geen verzoek is geweest van Telegram om de aanval te onderzoeken. Los daarvan: het is juist voor hosters – en zeker grote hosters als Leaseweb – helemaal niet zo eenvoudig om te zien van welke server verkeer wordt afgevuurd. Hoewel de meningen daarover sterk zijn verdeeld. Feit is dat DDoS’ers geen servers ‘aanschaffen’ om dit soort praktijken te beoefenen, maar daarvoor andermans servers gebruiken – niet zelden normale, netjes betalende klanten die zich van kwaad bewust zijn. Dat is ook de direct de achilleshiel van elke hostingprovider die er echt alles aan zullen doen om te voorkomen dat er malafide verkeer vanuit hun datacenters wordt verstuurd.

Ramon Fincken, 16 juli 2015 9:59 am

Wederom een goede reden om geen unmanaged servers te verhuren en/of klanten te verplichten zelf een sysadmin in te huren.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.