ISP's kampen met DDoS-aanval op hun DNS

In Nederland gaat het onder meer om Caiway, Delta, FreedomNet, Online.nl. In Frankrijk zijn ook de grote aanbieders Bouygues Télécom en SFR slachtoffer, meldt ZDNet.

De aanvallen konden steeds na 4 uur tot een hele dag worden afgeslagen, onder meer door de inzet van NaWas de infrastructuur die de Nationale Beheerorganisatie Internet Providers (NBIP) daarvoor heeft opgezet. Gedurende de aanval konden klanten van de ISP's echter hun internetverbinding niet of nauwelijks gebruiken.Volgens Octavia de Weerdt van NBIP ging het om aanvallen gericht op routers en de DNS infrastructuur van de ISP's. De aanvallers gebruikten onder meer zelf kwetsbare DNS-servers om hun aanval te versterken. Bij sommige aanvallen werd er bijna 300 Gbit/sec aan verkeer losgelaten op de servers.

DNS makkelijk slachtoffer

"Dit soort aanvallen is niet nieuw en bestaat al lang. Dat ze op grote schaal worden gebruikt, doet ons vermoeden dat het toch te maken heeft met gerichte target op ISP’s", zegt De Weerdt. Een aanval op de DNS-infrastructuur van een ISP is heel effectief. "Voor  een aanval op andere infrastructuur van een ISP heb meer je gegevens nodig. De DNS-infrastructuur is per definitie open naar het internet. Aanvallers kunnen dan makkelijk testen of er 'mitigatie' is gekoppeld aan de infrastructuur, zoals NaWas. Merken ze dat stoppen ze snel. Vaak moet voor zo'n aanval worden betaald en dan kunnen ze beter een ander slachtoffer zoeken."

De ISP's die zijn aangesloten bij NaWas kunnen handmatig of automatisch een omleidingsroute instellen richting NaWas als er het vermoeden is van een DDoS-aanval. Al het verkeer met een bepaalde prefix - die bepalend is voor de regio waar verkeer vandaan komt - gaat dan door de 'wasstraat' waarbij bogus-verkeer wordt uitgefilterd. Het opgeschoonde verkeer vervolgt dan zijn route naar de ISP. "Dat levert hooguit enkele seconden vertraging op", zegt De Weerdt.