DDoS-aanval bij TransIP

Op maandag 22 maart 2021 zijn verschillende hostingpartijen getroffen door DDoS-aanvallen en TransIP was daar helaas een van. Zoals je van ons gewend bent, geven we graag openheid van zaken, ongeacht of het nou leuke of minder leuke gebeurtenissen betreft. In dit artikel willen we daarom in grote lijnen uitleggen wat zich heeft afgespeeld en waarom zowel onze website als klantenwebsites enige tijd onbereikbaar waren. Voor een technische samenvatting staat hieronder een verwijzing naar het post mortem.

Wat is een DDoS-aanval?

DDoS staat voor Distributed Denial of Service en heeft als doel de bereikbaarheid van een internetdienst, server of netwerk te bemoeilijken. Bij een DDoS-aanval gebeurt dit wanneer niet één maar meerdere systemen - meestal onderdeel van een zogenaamd botnetwerk - de opdracht krijgen om massaal berichten te versturen naar een bepaald doelwit. Denk bijvoorbeeld aan een webserver die tienduizendmaal tegelijkertijd de opdracht krijgt om een webpagina te serveren. Afhankelijk van de internetbandbreedte, de processor en het geheugen van de webserver komt er een moment dat het te veel wordt en de website uiteindelijk praktisch onbereikbaar wordt.

De eerste aanval

Op 22 maart hebben wij last gehad van twee achtereenvolgende DDoS-aanvallen op onze systemen. De eerste aanval begon rond half twee in de middag en richtte zich enkel op onze nameservers. Deze zorgen ervoor dat een browser een IP-adres aan een domeinnaam koppelt en zo een website kan tonen. Zonder onze nameservers zou het merendeel van de websites die gehost worden bij ons, waaronder die van onszelf, in beginsel onbereikbaar zijn voor degenen die ze willen bezoeken. Gelukkig konden onze systemen deze aanval afweren door enkel het ‘schone’ verkeer richting onze nameservers toe te laten.

Ziggo-klanten

Voordat de tweede DDoS-aanval begon, kwamen we erachter dat er eigenlijk nog iets speelde. Ook al was de verdediging succesvol, klanten met een Ziggo-verbinding bleven toch problemen ondervinden. Na onderzoek bleek dat een internetprovider die voornamelijk verkeer vanuit Ziggo-klanten naar TransIP verwerkt, door had gekregen dat er iets mis was en uit voorzorg een deel van het binnenkomende verkeer had stopgezet. In een poging ons te helpen om alles draaiende te houden, heeft deze provider niet alleen vuil verkeer, maar al het binnenkomende verkeer richting onze nameservers tegengehouden. Dit zorgde bij heel wat Ziggo-klanten voor een onbereikbare TransIP-website.

De grotere aanval

Niet lang nadat we het ene probleem hadden uitgepluisd, meldde zich het volgende probleem. Een tweede DDoS-aanval vele malen groter dan de eerste die niet alleen gericht was op onze nameservers, maar op onze gehele infrastructuur. Helaas was het verkeer wat naar ons toegestuurd werd meer dan ons netwerk kon verwerken en begon onze website voor de meeste bezoekers erg traag of zelfs onbereikbaar te worden. Doordat onze gehele infrastructuur onder aanval stond, betekende het dat ook de websites en online applicaties van een groot deel van onze klanten op dezelfde wijze getroffen waren. Aangezien de meeste schade al was aangericht, hebben we het besluit genomen om al het verkeer – zowel schoon als vuil – dat vanaf enkele internetproviders binnenkwam geheel af te sluiten. Het bleek namelijk dat verreweg het grootste deel van het vuile verkeer was terug te leiden naar die paar providers. Kort nadat we de kraan hadden dichtgedraaid, zagen we de DDoS-aanval in kracht afnemen en waren onze systemen en websites van onze klanten weer online voordat de avond viel.

Extra maatregelen

Helaas zien we steeds vaker berichten van grote DDoS-aanvallen en betreuren we het dat we deze week zelf het slachtoffer zijn geworden. Nog vervelender is dat niet alleen onze systemen tijdelijk slecht bereikbaar waren, maar ook veel websites van onze klanten. Ook al kan men zich nooit volledig voorbereiden op een DDoS-aanval, we willen jullie hierbij laten weten dat we nu al bezig zijn om enkele extra maatregelen door te voeren waarmee we ons beter kunnen weren tegen aanvallen zoals hierboven genoemd. De technische details van de maatregelen die we nemen, lees je in het post mortem bovenin dit artikel. 

Tot slot willen we iedereen die nog niet bekend is met de wijze van communicatie tijdens grote incidenten met veel klantenimpact wijzen op onze TransNOC-pagina. Hier vind je een live overzicht van de actuele stand van zaken. Daarnaast houden we iedereen op de hoogte via onze Twitterpagina.

We hopen je met dit blogartikel een helder beeld te hebben gegeven van de onderbreking in onze dagelijkse gang van zaken en zien je graag weer snel terug in ons controlepaneel dat ‘live & well’ op je staat te wachten!