- Door
- Jeroen Mulder
- geplaatst op
- 16 juli 2015 08:00 uur
Opmerkelijk bericht deze week: Telegram, de Russische tegenhanger van Whatsapp met naar eigen zeggen ruim 60 miljoen gebruikers, kreeg te maken met een DDoS-aanval. Dat overkomt Telegram wel vaker, net als alle andere grote bedrijven. DDoS is nu eenmaal een populaire uitwerking van cybercrime. Wat dit bericht opmerkelijk maakte, is het feit dat Telegram direct begon te meppen op hosters waar de servers stonden die de aanval initieerden, ondermeer het Nederlandse Leaseweb en NForce. Die zouden te traag hebben gereageerd. Maar het verhaal van Telegram rammelt. En niet weinig ook.
Volgens Telegram ging het om een Tsunami SYN Flood. Het bedrijf kreeg 200Gbit/s aan malafide verkeer voor de kiezenm, verzonden door servers bij een groot aantal hosters. Geen van die hosters genereerde meer dan vijf procent van het aanvalsverkeer. Kenmerken van Tsuname SYN Flood: het verkeer gaat over TCP en niet over het meer gangbare UDP en de pakketjes zijn aanzienlijk groter. Een ‘normale’ SYN kent pakketjes tot zo’n 60 bytes, een Tsunami SYN heeft pakketjes van 1000 bytes. Je hoeft niet te hebben doorgeleerd om te snappen dat een Tsunami SYN Flood enorme hoeveelheden verkeer kan genereren. En dan bedoelen we echt: enorm. In een waanzinnig korte tijd.
Nee. Dan hebben we het niet over 200Gbit/s, dan hebben we het over Tb/s. Bovendien: volgens berichten op het internet, was de aanval al een tijdje aan de gang bij Telegram. Het bedrijf ‘beschuldigde’ de hosters ervan in het weekeinde niet bereikbaar te zijn zodat er maatregelen genomen konden worden. Dat wekt op z’n minst twijfels. Telegram meldt in haar eigen blog dat de aanval vanaf vrijdagochtend gaande was: werd het pas later opgemerkt of is de dienst helemaal niet zo goed beschermd tegen DDoS? Bij een dienst waar 60 miljoen consumenten zijn aangesloten, is dat niet minder dan zorgwekkend. Er zijn inmiddels producten en diensten – Huawei, Fortinet, Akamai – die prima beschermen tegen zaken als SYN, TCP flood en UDP flood.
Het argument dat dit kostbaar is en dat Telegram vooral draait op donaties, is een drogreden. Want zou een reden zijn om een DDoS uit te voeren op een dienst als Telegram? Twee redenen: de eerste is de mogelijkheid om de dienst uit de lucht te halen. De tweede is kwalijker: om een hack te ‘verbergen’, om uiteindelijk toegang te krijgen tot systemen en informatie daaruit te vervreemden. Ook een gratis dienst heeft verantwoordelijkheden om dat te allen tijde te voorkomen. Wijzen naar de onbereikbare helpdesk van providers is een absoluut zwaktebod. Telegram doet dit bovendien lomp en grof: ,,Fighting back would‘ve been a little easier, if the abuse departments in most of the mentioned companies didn’t process requests 9-5, Mon-Fri only. (Hours more befitting a scuba-diving shop in Vatican.)” Ofwel: de openingstijden van providers passen meer bij een winkel in duikartikelen, gevestigd op het Vaticaan.
Overigens: NForce bevestigt dat Telegram contact heeft opgenomen, Leaseweb stelt dat er geen verzoek is geweest van Telegram om de aanval te onderzoeken. Los daarvan: het is juist voor hosters – en zeker grote hosters als Leaseweb – helemaal niet zo eenvoudig om te zien van welke server verkeer wordt afgevuurd. Hoewel de meningen daarover sterk zijn verdeeld. Feit is dat DDoS’ers geen servers ‘aanschaffen’ om dit soort praktijken te beoefenen, maar daarvoor andermans servers gebruiken – niet zelden normale, netjes betalende klanten die zich van kwaad bewust zijn. Dat is ook de direct de achilleshiel van elke hostingprovider die er echt alles aan zullen doen om te voorkomen dat er malafide verkeer vanuit hun datacenters wordt verstuurd.