Toelichting op aanval nameservers
Op dinsdag 11 en woensdag 12 juni 2019 hebben wij een grootschalige aanval ervaren op onze nameservers. Hierdoor zijn websites korte tijd onbereikbaar geweest.
Allereerst willen wij onze excuses aanbieden voor dit voorval. Tegelijkertijd willen wij je via deze weg informeren hoe dit heeft kunnen gebeuren en wat we hebben gedaan om kans op herhaling te minimaliseren.
DDoS-aanval
Een Distributed Denial of Service aanval, ook wel DDoS genoemd is een cyberaanval waarbij ontzettend veel verkeer naar computers, computernetwerken of servers worden verstuurd waardoor deze onbruikbaar worden voor de normale gebruiker. Je kunt dit vergelijken met een file, maar dan op het internet. Dagelijks vinden er tientallen aanvallen plaats in verschillende gradaties.
Mocht er een DDoS-aanval plaatsvinden, dan detecteert onze IaaS-leverancier dit en wordt er (in veel gevallen) automatisch actie ondernomen om de aanval af te wenden. In dit geval heeft deze detectie niet plaatsgevonden. Vermoedelijk komt dit omdat de drempel, waaraan een DDoS-aanval wordt herkend, niet werd bereikt. Hierdoor werd de aanval niet herkent en kwam uiteindelijk de capaciteit van onze nameservers in het geding.
Capaciteit nameservers verhoogd
In principe hebben onze nameservers voldoende capaciteit om een veelvoud van het dagelijkse verkeer af te kunnen handelen. Vanochtend vroeg hebben wij de capaciteit van onze nameservers verhoogd. Daarnaast hebben wij enkele verbeteringen doorgevoerd waaronder het uitschakelen van connection tracking voor UDP poort 53 (DNS poort) en zijn de resources (geheugen, CPU) verdubbeld.
Dit heeft twee voordelen:
- Er is veel meer aanvalscapaciteit nodig om nameservers aan te vallen.
- De kans dat een grootschalige aanval wordt herkent is aanzienlijk toegenomen.
Door deze maatregelen is de kans op herhaling dus tot het minimum beperkt.
Heb je naar aanleiding van dit bericht nog vragen? Neem dan contact met ons op.