Sjiieten.nl doel van grootschalige DDOS aanvallen van buitenaf.
Maandagmiddag 6 januari 2012 tot en met dinsdag middag 7 januari had het gehele Sjiieten.nl netwerk last van een zeer zware DDoS aanval. Hierdoor waren alle sites op ons platform gedurende langere tijd niet bereikbaar. We begrijpen dat dit zeer vervelend is en vinden het dan ook van groot belang dat u op de hoogte bent van wat het probleem was en wat we hebben gedaan om dit op te lossen! We zijn getroffen door een DDOS aanval die dusdanig gecompliceerd was van structuur dat onze automatische beveiliging de aanval niet heeft kunnen blokkeren.
Meer over DDoS aanvallen leest u op Wikipedia: Denial-of-service attack.
Kort overzicht van de gebeurtenissen:
Om 15.07u constateerden we een storing aan de primaire loadbalancer. We probeerden daarom direct over te schakelen op load balancer 2. Deze tweede loadbalancer nam de dienstverlening echter niet goed over omdat de loadbalancer niet het probleem bleek te zijn, maar vermoedelijk een externe aanval.
Rond 15.30u vermoedden we dat het om een DDoS aanval ging. Dit is een Denial-of-Service aanval op een netwerk waarbij met een gigantisch aantal computers, vaak vanaf vele plaatsen op de wereld bestuurd vanaf een centraal punt, zoveel verbindingsverzoeken naar de server van een of meer sites verstuurd worden, dat de service ervan niet meer beschikbaar is.
Vanuit het servercommandocentrum op ons hoofdkantoor werd inmiddels druk gewerkt aan het probleem. Om 15.35u waren ook twee van onze techneuten ter plekke op het datacentrum. Op dat moment wisten we vrijwel zeker dat het om een DDoS aanval ging. Vanuit het datacentrum konden we de aanval verder onderzoeken en op werken aan een oplossing. Om dit te kunnen doen, is het nodig om de website / het ip-adres waarop de DDoS aanval wordt gedaan te traceren. Helaas is dit zeer moeilijk te achterhalen. Om dit te doen zijn we één voor één de ip’s weer gaan toestaan om zo te kunnen achterhalen waarop al het verkeer binnenkomt. Dit proces was zeer tijdrovend.
Om 14.41u hadden we weer enkele van onze subsites up. Hierna kregen we veel van de sites en usermail weer werkend. (Alleen die van de geregistreerde gebruikers) Het netwerk was echter nog niet stabiel, waardoor zich in het uur erna nog geregeld problemen voordeden. We bleven druk bezig met het opsporen van het ip adres waar de aanval zich op richtte.
Om 15.33u hebben we het ip-adres dat onder vuur lag gelocaliseerd. Deze staat op webcluster 4. Hierna staat alles weer online behalve websites zonder SSL die op cluster 4 staan.
We hebben om 15.57 gevonden middels welke poorten de aanval wordt uitgevoerd. Onze aanbieder heeft ons toen direct geholpen door op netwerkniveau poorten te sluiten. Om 16.00u konden we de de sites zonder SSL op cluster 4 die nog problemen ondervonden, weer toevoegen.
De DDoS aanval viel helaas volledig buiten onze macht. We hebben geprobeerd alles zo snel mogelijk weer online te krijgen, en dat is na ruim een dag toch gelukt. We zijn er uiteindelijk achter gekomen dat de daders van deze aanval voornamelijk opereerden met Iraanse en Bahrainse ip-adressen. Het overwegen van een ip-ban jegens Iraanse bezoekers is niet van de orde, omdat dat het doel van onze site kan belemmeren.
De downtime bedroeg ruim een etmaal. We hebben inmiddels hardware geplaatst die beter bestand is tegen DDoS aanvallen.
We doen ons uiterste best u te voorzien van een zo volledig mogelijke berichtgeving. Mocht u nog vragen hebben, dan beantwoorden we deze graag!