Aanval op .be was mislukte spamactie

Frederik Tibau expert Digital Innovation & Growth bij Agoria

Niet een georchestreerde aanval van internetcriminelen, maar een slecht uitgevoerde spamactie zorgde de voorbije dagen voor een piek in het verkeer bij DNS.be. Dat zegt het CERT in een reactie op het incident. “Alles wijst erop dat de spammers hun botnet slecht geconfigureerd hebben en zo de .be nameservers gingen overladen met foutieve queries”, zegt woordvoeder Jan Torreele van het CERT. “Dat is geen gerichte aanval, maar de gevolgen zijn wel hetzelfde: servers kunnen overbelast raken. We blijven de situatie sowieso monitoren, maar momenteel lijkt alles zich te normaliseren.”

Niet een georchestreerde aanval van internetcriminelen, maar een slecht uitgevoerde spamactie zorgde de voorbije dagen voor een piek in het verkeer bij DNS.be. Dat zegt het CERT in een reactie op het incident.

Het Belgisch Nationaal Computer Emergency Response Team heeft naar eigen zeggen de oorzaak van de overbelasting van de nameservers bij de Belgische domeinbeheerder DNS.be achterhaald. Eerder dan om een gecoördineerde aanval van hackers, zou het om een slecht uitgevoerde spamactie van enkele botnets uit voornamelijk Oost-Europa en Zuid-Amerika gaan.

“Alles wijst erop dat de spammers hun botnet slecht geconfigureerd hebben en zo de .be nameservers gingen overladen met foutieve queries”, zegt woordvoeder Jan Torreele van het CERT. “Dat is geen gerichte aanval, maar de gevolgen zijn wel hetzelfde: servers kunnen overbelast raken. We blijven de situatie sowieso monitoren, maar momenteel lijkt alles zich te normaliseren.”

Sinds zondag noteert DNS.be tot zes keer meer queries op zijn nameservers dan gemiddeld. Algemeen directeur Philip Du Bois van DNS.be kon niet zeggen uit welke hoek de aanval kwam, en schakelde daarop het CERT en de FCCU (Federal Computer Crime Unit) in.

De nameservers van DNS.be werden massaal bevraagd naar de MX records verbonden aan domeinnamen. Dat is niet normaal, want deze records zitten traditioneel in de nameservers van de domeinnaamhouders zelf, en dus niet bij de TLD in kwestie. Omdat de nameservers van DNS.be hierop geen positief antwoord konden geven, steeg het percentage onbekende antwoorden van 10 procent naar 90 procent.

Als gevolg van de demarche raakten 2 .be nameservers gedurende een 4-tal uur overbelast, waardoor ze moeilijk tot niet bereikbaar waren. “We hebben het verkeer op onze 8 nameservers goed gemonitord”, aldus Du Bois. “Tijdens een steekproef werden er op 20 minuten tijd 14.000 verschillende ip-adressen gevraagd aan één nameserver. Dat is zes keer meer dan normaal. We gingen er dus van uit dat we geviseerd werden door één of meerdere botnets.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content