Ik ben benieuwd welke acties je hebt genomen tijdens de afgelopen DDOS-aanval op DNS van Freedom.
Zelf heb ik er niet adequaat (lees: sukkelig) op gereageerd:
Ik merkte op 1 december 's morgens dat apparatuur die 24/7 online behoort te zijn, dat al uren niet meer was. Vervolgens de storingsmelding op de link op de homepage van Freedom gezocht, waar op 1 december volgens mij niet meteen de alternatieve server-adressen op stonden vermeld.
Stond er bij de storingsmelding ook niet een hele tijd dat verzocht werd om het modem niet te herstarten? Ik elk geval heb ik het modem daarom niet herstart. De 24/7-apparatuur bleef daardoor nog langer offline. Op een bepaald moment stonden de alternatieve DNS-adressen wel bij de storingsmelding. Die in het modem gezet en DoT uitgeschakeld, maar nog steeds het modem niet herstart. Apparatuur bleef daardoor uren extra offline.
Toen uitgeweken naar DNS van Quad9. De Apparatuur heb ik herstart, maar bleef nog steeds offline vanwege DNS-probleem.
Uiteindelijk het besluit genomen om het modem toch te herstarten. Resultaat: Alles weer online via Quad9. Op 2 december heb ik de normale Freedom DNS-adressen weer ingesteld.
Wat is nou de beste handelwijze tijdens een DDOS-aanval? Toch meteen het modem herstarten?
Nee, het gebeurt niet als je andere DNS-servers instelt. Dat heb ik diverse malen geprobeerd, daarnet ook en het helpt niet. Modem herstarten lijkt toch de enige mogelijkheid?
Er zijn verschillende manieren waarop een DDoS-aanval gedaan kan worden en het kan ook zijn dat het netwerk gewoon helemaal vol zat met pakketjes en dan kunnen de pakketjes voor DNS ook niet meer de deur uit of de antwoorden komen niet meer aan.
DNS blijkt al langere tijd kwetsbaar te zijn voor eenvoudige DDoS aanvallen. Niet alleen Freedom heeft daar last van, maar ook andere providers.
Misschien is het mogelijk voor Freedom om anycast adressen te gebruiken die alleen bereikt kunnen worden door Freedom klanten. Daarmee kan load balancing en horizontal scaling bereikt worden, maar besef je dat het mogelijk is om uiteindelijk de IP adressen van resolvers te vinden. Uiteindelijk moeten de DNS resolvers van Freedom gebruik maken van andere DNS servers, en dus UDP datagrammen versturen en kunnen ontvangen. En daar heb je dan ook meteen weer een attack vector te pakken.
Zelf maak ik geen gebruik van DNS resolvers van ISP’s maar heb ik m’n eigen resolvertjes draaien. Zo ben ik al vaker gevrijwaard gebleven van de gevolgen van dergelijke DDoS aanvallen. Ik realiseer me dat dit niet voor iedereen een haalbare oplossing is.
Vanuit huis routeer ik al mijn DNS verkeer via DoT naar NextDNS die snelle anycast DNS draaien. Grote voordeel is, dat je daar onnodige tracking kunt filteren. Wat ik opzich ook we een mooie feature van Freedom zou vinden: anonieme anycast dns via DoH of DoT.
Zelf een DNS resolver draaien kan natuurlijk ook zoals @Optimist hierboven ook al zegt.
Ik heb hier een Raspberry Pi waarop Pi-hole draait (om advertenties en andere rommel buiten de deur te houden) samen met Unbound, een recursive DNS resolver.
Het is een beetje technisch gedoe, maar er zijn uitgebreide handleidingen op het interweb te vinden.
Ik had (en heb) nul verstand van Linux, wil dat ook zo houden, maar het is zelfs mij gelukt
NextDNS heb ik ingesteld in de FB n.a.v. bovenstaande tip, waarvoor dank @readefries ! Alle veiligheidsfilters staan aan en enkele privacy filters. Gevoelsmatig is bij websurfen de respons een stuk beter dan bij de DNS’en van Freedom. Volgens mij is het geen verbeelding. Maar heb geen tijden gemeten, het is puur subjectief.
Ik heb wat problemen om op de site van Freedom te komen omdat waarschijnlijk de DNS onbereikbaar is.
Gelukkig had ik nog wat IP nummer van Freedom liggen en kan nu zelf voor DNS gaan spelen en zo weer wat Freedom ervaren.
## Actuele storingen
### 22 maart 14:56 Freedom.nl verminder bereikbaar
Freedom.nl is verminderd bereikbaar. Hierdoor kan het zijn dat je niet in de webmail komt of in de mijn omgeving. Onze beheerders zijn op de hoogte en werken aan een oplossing.
Dat lijkt mij inderdaad het geval. Ik zojuist ook de RSS ontvangen.
In de opbouw gebruikt Freedom services van derden om niet alles in één keer alles te hoeven doen. Zo kun je rustig bouwen aan je eigen services en wanneer rijp voor productie dat zelf afhandelen. Telefonie zit by Voys en mail bij Soverin.
De DNS servers waren net dicht bij de snelweg binnen Freedom gezet:
Toevoeging: de DNS servers zijn verbonden met die van TransIP, die schakel heeft dus nu problemen door de DDos. De authoritative lijkt bij TransIP te staan en dan krijgt niemand geen resolve meer voor Freedom.nl als die in cache verlopen is.
Een ddos kan door één persoon worden gedaan en er worden gehackte computers en servers gebruikt om services van anderen te ontregelen.
De Freedom domeinen in de DNS hebben lange TTL’s maar de cname van smtp.freedom.nl is 500 seconden en die zal dan snel niet meer gecached zijn als de DNS servers aangevallen worden. Ik denk tenminste dat de TTL van de cname is bepalend voor hoelang smtp.freedom.nl in cache blijft zitten.
Het is momenteel een echt probleem en niet alleen voor Freedom maar ook voor andere ISP.