Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Telegram: Hosters moeten sneller op uitgaande DDoS-aanvallen reageren

  • Door
  • Arnout Veenman
  • geplaatst op
  • 14 juli 2015 08:00 uur

Whatsapp-concurrent Telegram kreeg vorige week te maken met hevige DDoS-aanvallen. In een blogpost geeft Telegram uitleg. Het zou gaan om een aanval die werd uitgevoerd met ongeveer 100.000 geïnfecteerde servers bij verschillende hosters. In de blog klaagt Telegram erover dat er door de meeste hosters enkel van 9 tot 5 wordt gereageerd op abuse-meldingen.

Telegram kreeg een DDoS-aanval met 200Gbps aan bandbreedte binnen, die afkomstig was van duizenden gehackte servers. Bij de DDoS-aanval werd gebruik gemaakt van een (volgens Telegram) relatief nieuwe DDoS-techniek genaamd Tsunami SYN flood. De aanvallers pasten hun aanvalsmethoden echter ook snel aan op het moment dat Telegram tegenmaatregelen nam.

De servers die betrokken waren bij de aanval, stonden volgens Telegram in verschillende netwerken, waaronder die van LeaseWeb, Hetzner Online, PlusServer, NFOrce Entertainment, Amazon and Comcast Networks. Echter was géén enkele host verantwoordelijk voor meer dan 5% van de totale hoeveelheid bandbreedte.

Het bestrijden van de DDoS-aanval zou ook eenvoudiger zijn geweest wanneer de abuse-afdelingen van de verschillende hosters beter bereikbaar zouden zijn geweest. Volgens Telegram waren de meeste abuse-afdelingen enkel op werkdagen van 9-tot-5 bereikbaar.

In een reactie laat Bas Vissers, manager Abuse Prevention bij LeaseWeb, aan ISPam.nl weten dat LeaseWeb geen verzoek ontvangen heeft vanuit Telegram over de DDoS-aanval waar zij onlangs het slachtoffer van zijn geworden. Ook heeft LeaseWeb geen andere signalen ontvangen over dat er iets gaande was. Vissers stelt verder dat LeaseWeb 24/7 bereikbaar is, via e-mail/tickets en telefoon, en dat het bedrijf ook een Abuse Prevention-afdeling heeft die direct in actie komt wanneer dat nodig is – ook in het weekend.

Zodra LeaseWeb – op wat voor manier dan ook – verneemt dat er een DDoS-aanval gaande is vanuit zijn netwerk, komen de zogeheten Engineers on Duty (mensen van vlees en bloed) direct in actie. Klanten kunnen zelf ook bepaalde handelingen uitvoeren via LeaseWeb’s Customer Portal“, zo besluit Vissers.

Jurrian van Iersel, 14 juli 2015 8:33 am

Waarom komt dit lijstje netwerken mij redelijk bekend voor?

Al bijna twee jaar log ik alle abuse-pogingen (foutieve SSH-logins, malafide HTTP-requests, mail-relay pogingen, portscans, enz.) in een database en stuur iedere dag geautomatiseerd abuse-meldingen naar de betreffende ISP. De meeste van bovenstaande netwerken kom ik met regelmaat tegen en je ontvangt alleen een automatisch antwoord dat je klacht ontvangen is. De dagen daarna zie je nog steeds abuse vanaf dezelfde IP-adressen. Hete lijkt er op dat abuse-preventie en security heeft bij sommige ISP's totaal geen aandacht krijgt en abuse-meldingen rechtstreeks richting prullenbak gaan.

Nogmaals; ik kom een groot aantal ISP's uit bovenstaand lijstje vaak tegen, maar niet allemaal.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.