[Freedom server:] DDoS-aanval op DNS: en nu?

Hallo,

Ik ben benieuwd welke acties je hebt genomen tijdens de afgelopen DDOS-aanval op DNS van Freedom.
Zelf heb ik er niet adequaat (lees: sukkelig) op gereageerd:

Ik merkte op 1 december 's morgens dat apparatuur die 24/7 online behoort te zijn, dat al uren niet meer was. Vervolgens de storingsmelding op de link op de homepage van Freedom gezocht, waar op 1 december volgens mij niet meteen de alternatieve server-adressen op stonden vermeld.

Stond er bij de storingsmelding ook niet een hele tijd dat verzocht werd om het modem niet te herstarten? Ik elk geval heb ik het modem daarom niet herstart. De 24/7-apparatuur bleef daardoor nog langer offline. Op een bepaald moment stonden de alternatieve DNS-adressen wel bij de storingsmelding. Die in het modem gezet en DoT uitgeschakeld, maar nog steeds het modem niet herstart. Apparatuur bleef daardoor uren extra offline.

Toen uitgeweken naar DNS van Quad9. De Apparatuur heb ik herstart, maar bleef nog steeds offline vanwege DNS-probleem.

Uiteindelijk het besluit genomen om het modem toch te herstarten. Resultaat: Alles weer online via Quad9. Op 2 december heb ik de normale Freedom DNS-adressen weer ingesteld.

Wat is nou de beste handelwijze tijdens een DDOS-aanval? Toch meteen het modem herstarten?

Bedankt voor de input.

Bedankt voor je reactie @anon97139585.

Momenteel is weer een DDOS-aanval gaande. Maar ik heb geen idee hoe ik de lokale caching DNS-server van mijn FritzBox kan herstarten.

Nee, het gebeurt niet als je andere DNS-servers instelt. Dat heb ik diverse malen geprobeerd, daarnet ook en het helpt niet. Modem herstarten lijkt toch de enige mogelijkheid?

Er zijn verschillende manieren waarop een DDoS-aanval gedaan kan worden en het kan ook zijn dat het netwerk gewoon helemaal vol zat met pakketjes en dan kunnen de pakketjes voor DNS ook niet meer de deur uit of de antwoorden komen niet meer aan.

DNS blijkt al langere tijd kwetsbaar te zijn voor eenvoudige DDoS aanvallen. Niet alleen Freedom heeft daar last van, maar ook andere providers.

Misschien is het mogelijk voor Freedom om anycast adressen te gebruiken die alleen bereikt kunnen worden door Freedom klanten. Daarmee kan load balancing en horizontal scaling bereikt worden, maar besef je dat het mogelijk is om uiteindelijk de IP adressen van resolvers te vinden. Uiteindelijk moeten de DNS resolvers van Freedom gebruik maken van andere DNS servers, en dus UDP datagrammen versturen en kunnen ontvangen. En daar heb je dan ook meteen weer een attack vector te pakken.

Zelf maak ik geen gebruik van DNS resolvers van ISP’s maar heb ik m’n eigen resolvertjes draaien. Zo ben ik al vaker gevrijwaard gebleven van de gevolgen van dergelijke DDoS aanvallen. Ik realiseer me dat dit niet voor iedereen een haalbare oplossing is.

1 like

Vanuit huis routeer ik al mijn DNS verkeer via DoT naar NextDNS die snelle anycast DNS draaien. Grote voordeel is, dat je daar onnodige tracking kunt filteren. Wat ik opzich ook we een mooie feature van Freedom zou vinden: anonieme anycast dns via DoH of DoT.

4 likes

Ik neem aan dat je een anycast DNS-resolver bedoeld.

Zelf een DNS resolver draaien kan natuurlijk ook zoals @Optimist hierboven ook al zegt.

Ik heb hier een Raspberry Pi waarop Pi-hole draait (om advertenties en andere rommel buiten de deur te houden) samen met Unbound, een recursive DNS resolver.

Het is een beetje technisch gedoe, maar er zijn uitgebreide handleidingen op het interweb te vinden.
Ik had (en heb) nul verstand van Linux, wil dat ook zo houden, maar het is zelfs mij gelukt :sunglasses:

Ja klopt, je hebt gelijk.

NextDNS heb ik ingesteld in de FB n.a.v. bovenstaande tip, waarvoor dank @readefries ! Alle veiligheidsfilters staan aan en enkele privacy filters. Gevoelsmatig is bij websurfen de respons een stuk beter dan bij de DNS’en van Freedom. Volgens mij is het geen verbeelding. Maar heb geen tijden gemeten, het is puur subjectief.

2 likes

Graag gedaan @Frits! Dat gevoel had ik ook.

Dat filteren is wel heel handig. Je kunt ook profielen maken, zo hebben mijn kinderen een ander profiel.

Dank je, dank je, dank je. Geweldige service NextDNS. :slight_smile:

1 like

Graag gedaan :slight_smile: Ik ben er ook erg blij mee!

1 like

Ik heb wat problemen om op de site van Freedom te komen omdat waarschijnlijk de DNS onbereikbaar is.

Gelukkig had ik nog wat IP nummer van Freedom liggen en kan nu zelf voor DNS gaan spelen en zo weer wat Freedom ervaren.

## Actuele storingen

### 22 maart 14:56 Freedom.nl verminder bereikbaar

Freedom.nl is verminderd bereikbaar. Hierdoor kan het zijn dat je niet in de webmail komt of in de mijn omgeving. Onze beheerders zijn op de hoogte en werken aan een oplossing.

De RSS geeft hier nog niets aan.

Hmmmm… Zouden het weer DDoS grappenmakers zijn? Er is op dit moment een DDoS op de DNS van TransIP gaande.

Hmmn, waarom draaien ‘we’ dat eigenlijk bij Transip?

Dat lijkt mij inderdaad het geval. Ik zojuist ook de RSS ontvangen.

In de opbouw gebruikt Freedom services van derden om niet alles in één keer alles te hoeven doen. Zo kun je rustig bouwen aan je eigen services en wanneer rijp voor productie dat zelf afhandelen. Telefonie zit by Voys en mail bij Soverin.

De DNS servers waren net dicht bij de snelweg binnen Freedom gezet:

Toevoeging: de DNS servers zijn verbonden met die van TransIP, die schakel heeft dus nu problemen door de DDos. De authoritative lijkt bij TransIP te staan en dan krijgt niemand geen resolve meer voor Freedom.nl als die in cache verlopen is.

Freedom verricht wonderen. Zij schijnen eventjes de wereldwijde plaag van DDos aanvallen te hebben te hebben opgelost. :wink:

Ddos aanval, zie berichtgeving

Een ddos kan door één persoon worden gedaan en er worden gehackte computers en servers gebruikt om services van anderen te ontregelen.

De Freedom domeinen in de DNS hebben lange TTL’s maar de cname van smtp.freedom.nl is 500 seconden en die zal dan snel niet meer gecached zijn als de DNS servers aangevallen worden. Ik denk tenminste dat de TTL van de cname is bepalend voor hoelang smtp.freedom.nl in cache blijft zitten.

Het is momenteel een echt probleem en niet alleen voor Freedom maar ook voor andere ISP.

Tweakers.net over de voordurende ddos-aanvallen

Toevoeging, ik zie dat smtp.freedom.nl een veel langere TTL heeft gekregen. :slight_smile:

1 like