NPO Hosting en Streaming

This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong.
~~META:
title = A2020A01: DDOS attack 29 januari 2020
~~
{{htmlmetatags>
metatag-keywords=(DDOS attack 29 januari 2020)
metatag-og:title=(DDOS attack 29 januari 2020)
metatag-og:description=(
	In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op
	een deel van de NPO Hosting infrastructuur, welke niet is afgeslagen
	door de anti-DDOS apparatuur. Het gevolg hiervan was dat een aantal
	sites tijdens deze DDOS minder goed bereikbaar zijn geweest. De site
	waar de aanval tegen gericht was is inmiddels geisoleerd, zodat een
	volgende aanval minder impact zal hebben.
	)
}}
===== A2020A01: DDOS attack 29 januari 2020 =====
Beste klant / collega,

(Is dit bericht niet goed leesbaar? Bekijk dan [[|de online versie]].)

In de avond van 29 januari heeft er een DDOS aanval plaatsgevonden op
een deel van de NPO Hosting infrastructuur. Nu zijn dit soort DDOS
attacks aan de orde van de dag en normaliter worden deze succesvol
afgeslagen door de anti-DDOS apparatuur. Alleen heeft in dit geval de
anti-DDOS machine niet ingegrepen waardoor al het verkeer bij een
loadbalancer terecht is gekomen die daardoor tijdelijk minder goed
bereikbaar is geweest.

Waarom de anti-DDOS oplossing niet heeft ingegrepen is op dit moment nog
in onderzoek bij onze collega's van team NPO IAAS / Netwerkbeheer.

In totaal was er sprake van 2 aanvallen, de eerste van 19:10h--19:32h en
daarna van 20:29h--20:51h. Beide aanvallen waren gericht op
radioring.avrotros.nl, maar omdat de loadbalancer waar het bijbehorende
IP adres actief was ook voor andere websites de loadbalancing verzorgt
is er ook impact voor anderen geweest.
Door de aanval heeft deze loadbalancer het tijdelijk even heel zwaar
gehad, maar kon nog wel zijn primaire taak vervullen. Dat betekent dat
de getroffen sites tijdelijk trager geweest zijn, maar nog wel
bereikbaar waren. Het betreft sites van de volgende omroepen:
AVROTROS, NPO, RTV Utrecht, BNNVARA, Omrop Fryslan, Omroep Gelderland, BVN en Omroep
Max.

In afwachting van een uitspraak over waarom de anti-DDOS apparatuur niet
heeft ingegrepen hebben we zo lang het bewuste IP adres geisoleerd op
een eigen loadbalancer. Dat zorgt ervoor dat andere klanten geen last
meer hebben van een eventuele volgende
DDOS aanval.

Hieronder een grafiek van het aantal binnengekomen packets per seconde
op de bewuste loadbalancer. De twee pieken rechts zijn de DDOS
aanvallen. Tijdens deze aanvallen was er sprake van bijna 100x zoveel
inkomend verkeer.

{{:aankondigingen:ddos.png?400|DDOS grafiek}}

Hieronder een plaatje van een van de getroffen webservers, in dit geval
de POMS image servers, die achter dezelfde loadbalancer leven. Te zien
valt dat er wel degelijk impact is geweest, maar dat de webservers nog
steeds in staat zijn om verkeer af te handelen.
{{:aankondigingen:2020:poms-ddos.png?400|Effect van DDOS aanval op POMS image servers}}