DDos’en is helemaal geen sit-in

Wederom een bijdrage van Joost Schellevis.

Toen verschillende bedrijven – Amazon, PayPal, Visa, MasterCard  – hun dienstverlening aan klokkenluidersite WikiLeaks beëindigden, werden enkele van deze bedrijven het doelwit van Anonymous. Die groep wordt omschreven als een ‘hackersgroepering’, maar is in feite een los verband van internetters dat wel eens ddos-aanvallen uitvoert. In het verleden waren bijvoorbeeld ook de sites van Amerikaanse copyrightwaakhonden en de Scientology-kerk een doelwit. Nadat een 16-jarige ddos’er werd opgepakt voor de aanvallen op MasterCard, werden ook politie.nl en om.nl slachtoffer van een succesvolle aanval.

Een ddos-aanval staat voor distributed denial of service en is bedoeld om zoveel druk op een server uit te voeren dat deze plat gaat. De meningen over de ddos’en zijn verdeeld: zo schreef Petra Kramer onlangs op Sargasso dat ddos’en een moderne vorm van de sit-in is. Maar: ddos’en is een misdrijf waar je zes jaar cel kunt krijgen, waarschuwt het Openbaar Ministerie. Wie heeft er gelijk?
Om die vraag te beantwoorden is het nodig om het uitvoeren van ddos-aanvallen en de WikiLeaks-heisa los van elkaar te zien. De Amerikaanse bedrijven die hun banden met WikiLeaks verbraken, maar in sommige gevallen wel nog zaken doen met dubieuze groeperingen als de Ku Klux Klan, zijn inderdaad niet zuiver bezig. Maar dat rechtvaardigt het uitvoeren van een ddos-aanval nog niet.

Kramer typeert het uitvoeren van een ddos-aanval als ‘een simpele muisklik’ en trekt vergelijkingen met sit-ins en het houden van een staking. Het feit dat iets slechts een muisklik zou vergen, is niet relevant: een dreigmailtje verstuur je ook een druk op de knop en is toch echt strafbaar. Bovendien: vergelijkingen met sit-ins en stakingen zijn misleidend. Handelingen op internet zijn slechts zelden te vertalen naar een metafoor uit de ‘echte’ wereld. Je zou een ddos-aanval ook prima kunnen vergelijken met het bezetten van een snelweg, zodat mensen niet bij hun bestemming kunnen komen – me dunkt dat dat strafbaar is. Dit soort analogieën klinkt altijd erg intelligent en interessant, maar slaat als een tang op een varken.

“Opgepakt worden voor ddos’en is als opgepakt worden voor het roepen van rotzak naar een klootzak”, schrijft Kramer. Maar de implicaties van een ddos-aanval gaan veel verder dan die van een losse kreet.

Het gaat niet om een sit-in, het gaat niet om een staking, het gaat niet om het bezetten van de A9 en het gaat al helemaal niet om het roepen van ‘rotzak’. Het uitvoeren van een ddos-aanval is iets fundamenteel anders: je voert met opzet een dermate hoge druk uit op bepaalde netwerkinfrastructuur dat deze plat gaat. Dat is absoluut geen nobele vorm van protest. Hoewel de schade die je aanricht aan infrastructuur met een ddos-aanval tijdelijk is, levert het bedrijven wel degelijk economische schade op: als PayPal offline gaat, kan het geen geld verdienen. Als je MasterCard of Visa een verwerpelijk bedrijf vindt, is het dan niet verstandiger om met je portemonnee te stemmen en je creditcard op te zeggen?

Bovendien bestaat er een risico op collateral damage: het verkeer dat je genereert om een aanval op MasterCard.com uit te voeren, komt niet alleen terecht bij MasterCard.com, maar moet eerst langs een aantal andere nodes (zie een node als een ‘knooppunt’ van internetverkeer). Ook die nodes hebben te lijden onder jouw aanval. Je voert bijvoorbeeld ook druk uit op de servers van je eigen internetprovider, op die van grote knooppunten zoals de Ams-IX, maar ook bijvoorbeeld de dns-servers van een hostingprovider. Een ddos-aanval zorgt ervoor dat deze nodes netwerkcapaciteit vrij moeten maken die eigenlijk niet nodig is. En dat kost geld.

Bovendien: als het om een aanval op kleinere bedrijven gaat, is het niet waarschijnlijk dat er nog meer websites in hetzelde datacenter of zelfs op dezelfde webserver zijn ondergebracht, die als gevolg van jouw zogenaamd nobele ‘sit-in’ eveneens down kunnen gaan.

Maar naast het veroorzaken van economische schade raken ddos-aanvallen de kern van internet als ongecensureerde vergaarbak van informatie. Als je als ddos’er vindt dat WikiLeaks in de lucht moet blijven, wat geeft jou dan het recht om te bepalen dat de website van een jou onwelgevallig bedrijf best offline mag? Wie op die manier het recht in eigen hand neemt, is geen haar beter dan de bedrijven die het WikiLeaks moeilijk maken of overheden die een sterkere greep op internetverkeer willen.

Aan de andere kant kun je je afvragen of de zestien- en negentienjarige Nederlandse jongens die zijn opgepakt na de aanvallen, echt een harde aanpak verdienen. Zeker in het geval van de zestienjarige kan ik me voorstellen dat hij de gevolgen van zijn acties niet helemaal kon overzien. Feit blijft echter dat het OM gelijk heeft en ze zich mogelijk schuldig hebben gemaakt aan meerdere misdrijven, zoals advocatenkantoor Solv.nl uiteen heeft gezet.

Dat de overheid rekening zou moeten houden met ddos’en als ‘recht op demonstratie’, zoals Kramer stelt, is dus onwenselijk. Een ddos-aanval brengt niet alleen de bedrijven zelf economische schade toe, maar zorgt ook voor extra kosten bij tussenpersonen en druist bovendien in tegen de gedachte van internet als censuurvrij medium.

  1. 1

    “Je zou een ddos-aanval ook prima kunnen vergelijken met het bezetten van een snelweg, zodat mensen niet bij hun bestemming kunnen komen – me dunkt dat dat strafbaar is.”

    En hoe zou je een sit-in omschrijven? Overigens zou je snelweg beter vervangen door de oprit van een bedrijf, of om een recente metafoor te gebruiken van de oprit van een opslag van radio-actief afval.

  2. 2

    Een beetje ongenuanceerd stukje dit. Er is, door Anonymous, alleen ge-DDOS-ed in zoverre dat er mensen hun PC’s – bereidwillig – hebben afgestaan aan een ‘botmaster’ (die dus eigenlijk helemaal geen botmaster is (want die ‘beheert’ over het algemeen PC’s waarvan de resources en lijnen door een virus zijn overgenomen), maar meer een soort SETI-hoofd o.i.d.) Hadden zij dat niet gedaan, dan hadden zij ook zelf – geautomatiseerd – sites kunnen reloaden mbv. een scriptje. Dat laatste is dan niet echt meer te onderscheiden van zelf een website neurotisch herladen (hetgeen Geenstijl routinematig overkomt). Plus, de gebruikte tool heeft ook nog een legitieme doeleinden (netwerk stress-tests). Nee, de technische en infrastructurele verwijten die je hier kunt maken, landen gewoon keihard op de schouders van de websites zelf, die onder minimale druk bezweken. Wat betreft de intenties van de mensen achter Anonymous, tja, dat moet een rechter maar uitzoeken. Ik zou zeggen: veel geluk.

  3. 3

    Het is een machtsvraagstuk. Bedrijfstakken als de financiële dienstverlening zijn zo groot (en machtig)geworden dat normale middelen als het organiseren van consumentenboycots geen zin meer hebben. Wij als consumenten zijn (binnen wettelijke kaders) volkomen machteloos geworden wanneer het gaat om de dienstverlening (of opzegging daarvan) van dergelijke partijen. Zeker in combinatie met overheden of (vage) instanties binnen overheden.

    Dus wanneer je vergelijkingen wilt maken. Er is een informatie oorlog gaande en ddossen is een vorm van guerilla.

  4. 4

    Tuurlijk is dit WEL de manier. Kom op zeg, gebruik je verstand, het is voor de gewone man toch helemaal niet de weg om te stemmen met je portomenee….al die hoge mannen en instanties houden elkaar in leven. Als wij een bank afknijpen dan zal een regering er via zijn achterzak weer geld insteken. Snappen jullie zogenaamde knappe koppen dan niet dat er machten zijn die helemaal willen dat wij, de lowlifes, meer macht krijgen, laat staan meer geld, en dus ook mogen weten wat er bekonkeld wordt. Neen, nog meer van die ddosaanvallen…en in later stadium zelfs een echte fysieke wereldrevolutie!

  5. 5

    Wat een vreselijk stuk is dit zeg.

    Dus demonstreren mag volgens de auteur alleen economisch neutraal? Het tijdelijk onbereikbaar maken van een website staat gelijk aan een machthebber die ongewenste informatie permanent probeert af te schermen?

    Alsof je tijdens een demonstratie of een protestmars geen infrastructuur belast waardoor er economische schade wordt geleden door winkeliers. Nee, dat is niet leuk. Nee, dat is ook niet de bedoeling van die demonstratie. Maar is het het ook waard? Wanneer het om een ‘real life’ demonstratie gaat vinden wij (als in: de rechtstaat) dat meestal wel waard. Soms verbied een rechter een demonstratie, of moet deze uitwijken omdat er anders problemen ontstaan met andere waarden van de rechtstaat zoals veiligheid. Dit is terecht en is een overweging die gemaakt moet worden. Het probleem met een ‘online’ demonstratie is dat – zoals gewoonlijk – de technologie mijlenver vooruit loopt op wat de wet ondervangt. Een DDoS als demonstratie moet simpelweg gereguleerd worden. Bijvoorbeeld:

    – Je hebt een vergunning nodig
    – Het mag alleen op aangewezen tijden
    – Geen malware aangedreven nodes (botnets).
    – Alleen thuisverbindingen mogen worden gebruikt (1 persoon, 1 stem, 1 verbinding)
    – Je mag niet kritieke infrastructuur platleggen.
    – Het mag aangevochten worden voor de rechter.

    Wat je nu ziet is dat de Anonops groep willekeurig doelwitten kiest. In het begin nog voornamelijk politiek (dus: hoofdsite van mastercard en visa, dus niet de betalingsinfrastuctuur). Later werd het al wat minder juist, door bijvoorbeeld de betalings API van paypal het doelwit te maken. Dit is logisch, er is geen sturing en de sturing die er is komt voornamelijk van mensen waarvan de hormonen nog moeten uitbalanceren. Daarnaast oefent dit ook aardig wat aantrekkingskracht uit op relzoekers die gewoon dingen willen omgooien.

    Te zeggen het is ‘goed’ of ‘fout’ is te zwart wit.

    Wat betreft het ‘censuur’ verhaal. Dit is een zeer grote misvatting. Censuur is meer dan alleen het verwijderen van informatie. De implicatie achter censuur is dat het top down gebeurt. Een machthebber die zijn macht (mis|ge)bruikt om ‘onwenselijke’ informatie achter te houden. Meestal omdat die informatie een bedreiging vormt voor de machthebber. Het (zo lang mogelijk) achterhouden van de informatie is het doel.

    Het platleggen van bijvoorbeeld http://www.mastercard.com gaat niet om het verwijderen van informatie, het gaat om het afgeven van een signaal. Als er een mirror wordt opgezet met precies dezelfde informatie is deze niet aantrekkelijk om te plat te leggen. Daarnaast is de machtsdynamiek compleet anders. In plaats van een kleine elite, gaat het hier om een massa, waarvan de individuele bouwstenen geen enkele speciale macht hebben. Deze macht die die massa heeft is daarnaast tijdelijk, niet permanent. Iets wat zich ook uit doordat de doelwitten slechts een zeer korte tijd (max 1 dag) onbereikbaar waren.

    Al met al is het dus een zeer slechte vergelijking. Ja, er zouden omstandigheden kunnen zijn waar dat anders wordt. Bijvoorbeeld wanneer de massa centraler aangestuurd wordt, wanneer deze permanenter wordt en je een soort tirannie van de meerderheid krijgt. Dit lijkt me echter nog bij lange na niet het geval en op dit moment loopt de vergelijking van ‘censuur’ dus ook gewoon krom.

    Ik denk dat de enige conclusie uit de wikileaks/anonops DDoS aanvallen mag zijn dat we er daadwerkelijk een nieuw fenomeen is geboren: de demonstratie DDoS. Dat deze nu niet in de optimale vorm bestaat is een tekortkoming van de bestaande regelgeving die alleen de malware aangedreven DDoS kent en dat het zwart/wit bekijken wellicht leuke stukjes op weblogs oplevert, maar tekort doet aan dit feonomeen en aan alle doornormale, rechtschapen mensen, die hun stem hebben laten horen in deze demonstraties.

  6. 6

    Handelingen op internet zijn slechts zelden te vertalen naar een metafoor uit de ‘echte’ wereld. Je zou een ddos-aanval ook prima kunnen vergelijken met het bezetten van een snelweg, zodat mensen niet bij hun bestemming kunnen komen – me dunkt dat dat strafbaar is.

    Nee, een DDOS is zonder duidelijk doel met zijn allen voortdurend over hetzelfde stuk snelweg gaan rijden met zoveel mogelijk autos en aanhangers. Niet stilstaan (zolang er geen file is), niet zitten.

    Het uitvoeren van een ddos-aanval is iets fundamenteel anders: je voert met opzet een dermate hoge druk uit op bepaalde netwerkinfrastructuur dat deze plat gaat.

    Klopt. Maar in het geval van de 16-jarige jongen is dus helemaal geen sprake van een DDOS. Enkel een individu dat druk uitoefent op die netwerkinfrastructuur. Het is hooguit een DOS, maar aangezien het eenieder duidelijk zal zijn dat een individu met een ADSL-lijntje nooit de site van bv. Mastercard plat kan krijgen, kun je je afvragen of er wel sprake is van een DOS. Waarschijnlijk genereert Google zo nu en dan nog meer traffic op de Matercard-site dan dit figuur.

    De vergelijking met een sit-in is daarom zo gek nog niet; geen van de individuen bij een sit-in kan in zijn eentje het beoogde doel bereiken. Daarvoor heb je er meer nodig. Tegelijkertijd. Zo ook hier; geen enkel individu pleegt een DDOS en – hoewel dat wellicht de intentie was – ook geen DOS. Er vindt wel een DDOS plaats, maar geen enkel individu (behalve wellicht de organisatie) kan verantwoordelijk worden gehouden voor die DDOS. Neemt natuurlijk niet weg dat de handelingen van de 16-jarige alleen al vanwege zijn intentie strafbaar zijn.

    Het is dan ook zonder meer niet zo dat die 16 jarige in zijn eentje MasterCard plat had kunnen krijgen. Hij kan hooguit voor een buitengewoon klein aandeel daarvan verantwoordelijk worden gehouden.

    Als je nuance wil aanbrengen in deze kwestie, doe het dan goed …

    Tevens stel ik voor dat we alle mensen oppakken die een rekening hadden bij DSB en hun geld hebben (geprobeerd) op te nemen. Ook dat was een DDOS en ook daarbij was het doel zeer duidelijk. Maar nee, zelfs meneer Lakeman heeft geen bezoekje van de politie gehad. We leven in een bijzonder krom land.

  7. 7

    Joost: als PayPal offline gaat, kan het geen geld verdienen.

    Ach gut. Wat zielig voor ze.

    Weet je, dit hele stukje maakt me eigenlijk gewoon boos. Joost denkt vast redelijke argumenten te hebben om mee te overtuigen maar ik word er alleen maar opstandiger van. Je druk maken om de “schade” (d.w.z. misschien iets teruggelopen inkomsten, gedurende hoogstens een paar uur) die men zou hebben van wat overbelaste verbindingen, het is verdomd een gotspe. Laten die bedrijven nu maar vooral bescheiden, blij en dankbaar zijn dat het hierbij blijft en we hun kantoren niet plunderen en in de fik steken.

  8. 9

    Burgerlijke ongehoorzaamheid is toch altijd strafbaar? Dat is op zich helemaal geen argument – dan hadden we ook van stakingen af moeten zien, voordat het stakingsrecht werd vastgelegd.

    Neemt niet weg dat DDoS’en volstrekt achterlijk is en geen enkel haalbaar doel dient. Als je echt een mening hebt, ga dan de straat op. Of schrijf een stuk ofzo.

  9. 10

    @3 “Er is een informatie oorlog gaande en ddossen is een vorm van guerilla.”

    Riiiiight. Ik denk dat de tegenstanders in je denkbeeldige oorlog niet bepaald bedekt in angstzweet denken aan de hordes gepukkelde 16’jarige gamers die hun regime om ver komen gooien.

  10. 11

    Hoewel de schade die je aanricht aan infrastructuur met een ddos-aanval tijdelijk is, levert het bedrijven wel degelijk economische schade op:

    En wat denk je dat de taktiek is van een staking? Juist, economische schade toerichten om zo de werkgever over te halen om eisen van de werknemers in te willigen. Het is wel duidelijk wie hier de metafoor van de werkelijkheid niet kan scheiden.

  11. 12

    Voor het belasten van mijn internetverbinding betaal ik maandelijks een bedrag waaraan mijn provider lijkt te verdienen. Het is ook niet nodig dat ik youtube-filmpjes kijk of uitzending gemist. Volgens mij zijn dat diensten die meer bandbreedte verstoken dan wanneer ik zou participeren in een DDoS.

    Dat het doelwit economische schade lijdt is precies de bedoeling. Denk je dat dat anders is bij bijvoorbeeld dierenactivisten die demonstreren bij een winkel die bont verkoopt? Protesteren tegen iets of iemand moet het doelwit pijn doen anders is het zinloos.

    Verder sluit ik me bij Arjan aan, die precies het punt van mijn eerdere stukje onderschrijft. DDoS’en gaat niet meer weg en daarom is de beste manier om er mee om te gaan regulering in het stakingsrecht. Het alternatief is namelijk een enorme overbelasting van het justitieel apparaat. Het lijkt me dat de “High Tech Crime Team” wel wat beters te doen heeft dan op tieners jagen.

  12. 13

    Excuus, maar wat een bedroevend slecht stuk is dit.

    Ten eerste is een DDoS niet, ik citeer, “opzettelijk een dermate hoge druk op infrastructuur uitvoeren dat deze plat gaat” maar “opzettelijk een dermate hoge druk op infrastructuur uitoefenen dat een bepaalde specifieke bestemming onbereikbaar wordt”. Essentieel hierin is dus dat het doel niet de infrastructuur (de weg, in de materiële-wereld vergelijking) maar de specifieke site (het kantoor, de winkel of wat dan ook) is. En laat zo geformuleerd dit nu ook exact de betekenis van “een sit-in” zijn…

    Daarmee is de vergelijking natuurlijk gewoon gerechtvaardigd maar ik vrees met grote vreze dat de gastschrijver een jurist is? Als beroeps-navelstaarder lijkt hij in eerste instantie namelijk niet verder te komen dan de vraag of het anders strafbaar IS in plaats van of het anders strafbaar zou MOETEN ZIJN.

    Specifiek is de vraag helemaal niet “wie heeft er gelijk?” tussen het openbaar ministerie dat zegt dat het strafbaar is en iemand die zegt dat het vergelijkbaar met een sit-in is: ze hebben allebei gelijk. De vraag die wordt gesteld door iemand die die vergelijking maakt is of er buiten de evidente overeenkomst gegronde REDEN bestaat om de één juridisch toch anders te bezien dan de ander.

    Je voert aan als mogelijke redenen daarvoor:

    1. Economische schade. Zelfde bij een sit-in, check.
    2. Mogelijke schade voor derde partijen. Zelfde mogelijkheid bij een sit-in, check.
    3. Kern-waarden. De kern-waarde waar het de DDoSers om gaat is vrijheid van informatie-deling, niet de vrijheid van zaken doen en zeer zeker niet ten koste van die eerste waarde.

    Ik heb niks met dat “anonymous” gezeik van een stel vervelende pubers die wanhopig proberen zichzelf van belang te voorzien — maar jemig, wat is dit een slecht stuk…

  13. 17

    Zulke acties moeten niet beoordeeld worden op wat de wet voorschrijft. Hooguit kunnen de acties langs de principes worden gehaald, die in discussies over burgerlijke ongehoorzaamheid zijn geformuleerd.

    Burgerlijke ongehoorzaamheid richt zich tegen de staat, de overheid. Niet tegen particuliere bedrijven. Toch kunnen diverse principes gelden als acties wordt ondernomen tegen bedrijven.

    Maar het blijft altijd lastig te bepalen wat moreel aanvaardbaar is. In dit geval had de actie kenmerken, die het vrij makkelijk maken de actie te aanvaarden.
    Het was proportioneel, binnen de context, doelgericht en opgepakte daders bekenden zonder meer schuld, daarmee de wet respecterend.
    En de aangerichte schade? Volgens mij zijn daar geen zekere cijfers over bekend, dus wie de bedrijven zomaar napapegaait haalt er , vooralsnog, een loos argument bij.

    Het alternatief, de burgers oproepen tot een klantenstaking, is niet zo effectief als je op korte termijn een plaagstoot wilt uitdelen. dat lukt hooguit als na weken, maanden van informatieverstrekking een groeiend aantal burgers de daad willen stellen. Boycotacties in het verleden namen ook behoorlijk wat tijd in beslag. Alleen als Youp van ’t Hek over bier kotst, is het voor een bedrijf voelbaar.

    Vaak krijgen actievoerders van hun kritici te horen: joh, je bent tegen, maar kom eens met een alternatief.
    Laat ik dat nu ook eens vragen aan de tegenstanders van Anonymous. Met welk alternatief steun je Wikileaks het beste?

  14. 18

    @14 Dan zou er niet “volgens mij” staan. Ik heb het wel proberen te googelen maar kon geen eenduidig antwoord vinden. Wat ik wel vond is dat het mogelijk om met heel weinig bandbreedte via een zogenaamde layer 7 DoS attack een website plat te leggen. Naar verluidt is dat de tactiek van degene die wikileaks als eerste aanviel.

    http://bit.ly/fW5UWt

  15. 19

    Joost Schellevis zit er naast
    De bedrijven die tijdelijk onbereikbaar werden, hadden verder nergens last van.
    Ongeveer vergelijkbaar met een boze klant die zijn auto op de stoep voor de deur van het bedrijf parkeert.
    Meer is het niet

    En de bedrijven werden terecht aangepakt.
    Hoe zou je het vinden als de NS alleen mensen zonder tas zou gaan vervoeren?
    Of AH alleen mensen met blauwe ogen.

    De bedrijven die de dienstverlening aan Wikileaks staakten hadden zelf geen enkel belang bij die organisatie, noch ondervonden ze er schade van.
    Net zoals AH die mensen met bruine ogen gaat weigeren
    Of de NS die mensen met rugzakken weigert.
    Terecht als anderen in opstand komen tegen dergelijke willekeur.

  16. 20

    @14

    Ik weet niet precies wat voor soort aanval die Anonymous types uitvoeren, maar als het ging om het heel vaak opvragen van een website, dan kost dat inderdaad veel minder banbreedte (als dat betekent: bytes per seconde) dan het downloaden van een film. Effectiviteit van een DDoS aanval is niet per se afhankelijk van het aantal bytes wat over een netwerk wordt verstuurd, maar vooral ook van het *aantal* connecties dat wordt opgezet.

    Ik ben dus ook niet overtuigd van je stelling dat DDoS aanvallen ook voor bijv. AMS IX problemen opleveren.

  17. 21

    @14

    Een DDoS loopt voornamelijk via de upstream van een verbinding. De meeste verbindingen aan eindgebruikers zijn asynchroon. Dus, meer bandbreedte op de downstream dan op de upstream. Dit is logisch, want als eindgebruiker hoef je vaak alleen maar verzoeken en bevestigingen op ontvangen data te sturen en ben je niet zelf bezig om veel data te verzenden.

    Daarnaast kan een DDoS op meerdere manieren uitgevoerd worden. Je kan proberen veel bandbreedte op te slokken, bijvoorbeeld grote ICMP/UDP pakketen naar een host sturen, of door simpelweg veel verzoeken te sturen. De laatste methode is veel effectiever en is voornamelijk wat gebruikt wordt. In plaats van de bandbreedte te bezetten, bezet je de capaciteiten van de server die erachter hangt.

    Wanneer je dus met z’n alleen vaak een webpagina opvraagt kost dat erg weinig bandbreedte. Een webpagina verzoek is letterlijk dit:

    GET / HTTP/1.1
    host: http://www.domein.tld

    Vaak komt hier nog wat andere regels bij, maar het is in de orde van bytes, niet van kilobytes (factor 1000) of megabytes (factor 1000000). Een film streamen daarentegen is vaak al enkele megabits per seconde, zeker als je het in HD wil doen.

  18. 23

    @Arjan

    Als jij met je mede-ddos’ers zoveel packets verstuurt dat je het normale verkeer verdrukt, denk ik dat een provider liever iemand heeft die een paar verbindingen openhoudt voor streaming van YouTube. Dat geldt al helemaal met syn- en syn-ack-floods waarbij aangemaakte verbindingen gedeeltelijk of helemaal open worden gehouden en servers vollopen.

  19. 24

    @Joost

    En dat is dus niet hoe het internet werkt. De access providers denken niet in verbindingen. Die denken in hoeveelheden pakketten op hun netwerk. Een verbinding is afspraak tussen mijn computer en de server. Mijn internetprovider ziet alleen pakketjes, wat die pakketjes precies inhouden daar hebben ze geen idee van. Een youtube stream en 100 website verzoeken is voor hun precies hetzelfde.

    Daarnaast moet je dan ook even denk aan de eerste D in DDoS, voor Distributed. Als alle klanten van één internetprovider inderdaad een DDoS aan uitvoeren, dan zal die provider zeker een probleem hebben. Echter, de kans daarop is niet zo heel groot. Door de verspreiding van de DDoS hebben individuele access providers en de peering partners hier niet zoveel last van. Pas op het laatste stukje, bij de hosting provider van het doelwit, wordt het moeilijk.

    De hosting provider zal meer dan normale hoeveelheden data verwerken krijgen. Pas op dit stukje van het internet zal er echte drukte ontstaan. Echter, een L7 DDoS aanval (dus het overladen van de DIENST (webservice, e-mail service, voice service)) verbruikt zoals gezegd relatief weinig bandbreedte.

    Een leuk voorbeeld hiervan was visa.com. Deze site wordt gehost door Akamai, een netwerk dat je echt met geen enkele mogelijkheid omver gaat krijgen. Echter, doordat de database die achter de website van Visa hing niet was voorbereid op de hoeveelheid aanvragen, werd visa.com zelf onbereikbaar. Het netwerk werkte perfect, het opzetten van een verbinding ging zonder problemen, alleen het opvragen van de daadwerkelijke inhoud van de website mislukte, omdat de lokale database overbelast was.

  20. 25

    @24 Hmz, ok, daar heb je een punt. Dan nog blijf ik erbij dat het hier om netwerkcapaciteit gaat die wel wordt verbruikt, zonder dat deze enig doel dient.

    Akamai zul je inderdaad niet omver krijgen, maar denk eens aan kleinere spelers – of een dns-provider als EveryDNS, die zijn dienstverlening aan WikiLeaks moest staken na ddos-aanvallen. Het had simpelweg niet genoeg capaciteit om alle dns-aanvragen van ddos’ers het hoofd te bieden.

  21. 26

    Goed stuk!
    Het vergelijken van een ddos aanval met een sit-in is wel aardig maar klopt niet helemaal. Als je mensen belet om een winkel in te gaan dan ben je strafbaar. Kun je (mogelijk) een nachtje op het bureau doorbrengen.
    Ik weet niet wat de maximum straf er voor is maar voor een ddos aanval is dat 6 jaar. Een paar keer stevig uitdelen en het ddos gebeuren zal een stuk minder zijn Petra. Vergelijk het met illegaal downloaden. Napster en Kazaa heeft men ook klein gekregen.
    Het pijn doen van een bedrijf kan ook zonder illegale activiteiten. Als voorbeeld de acties tegen de foute chocola. Dat ging d.m.v. publicaties en ze waren succesvol.
    Hoe je Wikileaks het beste steunt Peter lijkt me simpel. Ten koste van alles de gegevens van Wikileaks blijven publiceren en er zo veel mogelijk publiciteit aan geven. De Pentagon papers zijn zelfs door een Amerikaanse senator voorgelezen. Men kon hem niet stoppen. Door op zo veel mogelijk sites te publiceren kan men de vrijheid van meningsuiting niet beperken.
    Ik vind het publiceren van een film over Amerikaanse soldaten die kinderen en journalisten doodschieten een noodzaak. Als men zoiets onder de pet wil houden dan is het goed dat er een site als Wikileaks is. Maar het publiceren van strategische doelen heeft niets met klokkenluiden te maken.
    Wikileaks verdient onze steun maar de ddos aanvallen zijn niet het juiste antwoord.

  22. 27

    @25

    Het doel van de verbruikte capaciteit is de de DDoS demonstratie. Daarnaast, heb je als klant ieder recht om je bandbreedte te gebruiken.

    Wat betreft de kleinere spelers. Ja, die zijn makkelijker van het internet af te drukken. Maar goed, als hosting provider heb je de verantwoordelijkheid om je netwerk goed in te richten. Je hoeft niet groot te zijn om een correct netwerk op te zetten.

    En ja, EveryDNS is niet gedossed door anonops maar door andere mensen die hier gewoon botnets voor hebben gebruikt. Dan is het niet zo moeilijk om dagen of zelfs wekenlang iets van het net te houden.

  23. 29

    @25 Je vergeet dat WikiLeaks niet bottom up maar top down geDDoSt wordt. Dan gaat de vergelijking met een sit-in of andere demonstratie inderdaad niet op. Demonstreren is een “machtsmiddel” van het volk en niet van de overheid.

  24. 30

    @Joost: je hebt ’t in je stukje alleen maar over ‘economische schade’. Wat je totaal vergeet is dat de machtsmiddelen van een groot bedrijf (zeg een paypal, mastercard of NS) veel effectiever zijn tegen een individu dan die van een individu tegen dat bedrijf. De NS gaat hard lachen als ik tegen ze zeg dat ik voortaan met een andere spoorwegmaatschappij in nederland reis. Paypal dito, als ik zeg dat ik voortaan alleen via bank betaal op ebay. Andersom is dat een stukkie anders. En dan heb ik het nog niet gehad over de onmogelijkheden van het procederen –nogmaals, als individu– tegen een bedrijf wat honderden miljoenen *winst* maakt en een juridische afdeling heeft waar ze jouw zaakje tussen neus en lippen d’r even bij doen. En uitsmeren over zes jaar.

    Alleen daarom al heb ik geen enkel probleem met dit soort acties. Sterker nog, mocht er ooit eens iemand een bankkantoor in de hens zetten, dan heeft-ie mijn zegen. Was dat je bedoeling?

  25. 34

    @26: Dat de maximum straf voor een DDOS hoger ligt dat een feitelijke straf voor het deelnemen aan een sit-inn wil niet zeggen dat de manieren van actievoeren niet vergelijkbaar zijn. Bij het schrijven van de wetten is er geen rekening mee gehouden dat er een maatschappelijk protest in de vorm van een DDOS zou komen. Ook het gebruik van de Braatolizer heeft in het verleden niet geleid tot veroordelingen. Een rechter zal een deelnemer aan een DDOS aanval in dit kader niet bestraffen met een vrijheidsstraf (tijd zal leren of ik hierin gelijk heb).

    Als voorbeeld de acties tegen de foute chocola. Dat ging d.m.v. publicaties en ze waren succesvol.
    Het heeft jaren geduurd voordat deze acties succesvol waren en pas sinds Verkade in 2008 ook de stap naar duurzame cacao gemaakt heeft kan je spreken van een succes. Maar diervriendelijk vlees is bijvoorbeeld, ondanks jarenlange acties, nog steeds een niche…

    Wikileaks heeft voor haar activiteiten ook donaties nodig. Als deze onmogelijk worden gemaakt, vermoedelijk door druk van bovenaf, dan droogt dit initiatief op.

    Als banken of andere financiële dienstverleners hun klanten op basis van politieke kleur gaan kiezen, dan is een eerste protestactie een sit-in, tegenwoordig in het internet-tijdperk in de vorm van een gezamenlijke actie. Mochten ze blijven volharden in dienstverlening voor een bepaald politiek spectrum, dan zullen op termijn nieuwe banken / dienstverleners opkomen. Voordat je echter een vervanger heb voor VISA, Mastcard, Paypal of Bank of America zal er veel moeten gebeuren. Je kan van mensen niet verwachten dat ze tot deze tijd lijdzaam toezien…

  26. 35

    Het is juist wel degelijk een sit in. Dat maakt de schrijver nu zelf duidelijk.

    MUV eventuele criminele derden die gebruik maken van de verwarring.

  27. 36

    @34. De acties van de braatolizer waren volgens mij vooral tegen spammers gericht en die doen niet snel aangifte (cool middel trouwens). Ik vind dat dan ook moeilijk te vergelijken met ddos aanvallen.
    Met aanvallen op het OM maak je jezelf niet populair en ik denk dat jusititie iemand hier niet gemakkelijk mee weg laat komen.
    Dat het jaren duurt voordat een actie zoals de anti foute chocola actie succesvol is kan zo zijn. Assange is zelf ook al jaren bezig. Ik denk dat dit soort zaken altijd een lange adem vergen.
    Peter vroeg eerder wat je dan kan doen voor Wikileaks, een andere manier van geld ophalen of innen verzinnen?
    Idee iemand? SMS actie? Reclame actie voor banken die wel donaties verwerken? Mail betaalsysteem gebruiken?

  28. 37

    Mastercard pleegde contractbreuk, niet slechts met WikiLeaks, ook mijn betalingsvrijheid tasten zij aan.
    Ik kan zonder PayPal, Amazon en Ikea.
    Mastercard is een monopolist (ten minste in Europa) Vrijwel alle banken zijn aangesloten op Mastercard.
    Het is tijd het Eur. parlement te lobbyen om deze (m.i. gevaarlijke) monopolie te doorbreken.

  29. 38

    @36: Braten was eigenlijk gewoon een DDOS-aanval met als bijkomend voordeel dat de database vervuild raakte (iets wat trouwens op basis van de huidige wet dus zwaarder telt dan alleen DDOSsen). De acties waren tegen websites gericht die spamruns faciliteerden maar daarmee werd dus, in de woorden van Joost Schellevis, een aanval op infrastructuur uitgevoerd. Spammen was destijds niet verboden doch laakbaar. Het zwichten onder druk van een regering is niet verboden, doch laakbaar.

    Hoewel ik zelfs voor de signaalfunctie van de DDOS op het OM wel enige sympathie heb, vind ik deze niet hetzelfde als de DDOS op VISA, Mastercard of Paypal.

    Er zijn allerlei manieren om geld op te halen, verschillende dienstverleners zijn reeds geprobeerd en (vermoedelijk) onder invloed van de regering van de VS uitgeschakeld. Waarom zou dit met andere dienstverleners (SMS-diensten, andere banken, postbedrijven) dan anders gaan? Als dienstverleners geen duidelijk signaal krijgen dat het toegeven aan deze invloed een slechte zaak is dan kiezen zij voor de makkelijke weg. Wanneer zij principieel tegen wikileaks zouden zijn dan kunnen ze dat melden, dan kiezen ze bewust een kant.

    Zonder deze acties zou de aandacht van de media voor deze acties beperkt zijn geweest waardoor de betreffende bedrijven hun tijd zouden uitzitten. Hiermee zouden wij, het gepeupelte, uiteindelijk dus hebben geaccepteerd dat de regering van de VS haar invloed gebruikt om de haar onwelgevallige organisaties de mond te snoeren.

  30. 39

    Leuk, DDOS is iets inderdaad nieuws.
    maar demonstreren kost altijd geld.
    Geloof wel dat het een poging tot demonstreren was. Iedergeval, dat was wat de hackker verklaarde.
    Lijkt me onjuist om zo iemand 6 jaar te geven voor molest.

    Om over na te denken dat internet zichzelf reguleert.

  31. 42

    @26 Napster en Kazaa zijn kapot ja maar is illegaal downloaden (sic) ook dood? Nee. Integendeel zelfs, de techniek voor filesharing is sinds Napster en Kazaa alleen maar beter geworden en het aanbod is gegroeid. Dat ondanks de absurd hoge boetes die er hier en daar zijn uitgedeeld. Harde straffen werken niet preventief, helemaal niet als de publieke opinie achter degene die gestraft wordt staat. Dan werkt het juist averechts. Daarom ging de site van het OM ook neer. Ik heb Operation Payback nauwlettend gevolgd via IRC en toen bekend werd dat Jeroenz0r opgepakt was groeide het aantal computers dat aan de Hivemind deelnam alleen maar. En niet alleen dat, er gingen ook mensen werken aan betere software. Na het Low Orbit Ion Canon kwam er het High Orbit Ion Canon. Keiharde repressie is niet het antwoord als je wilt de-escaleren. Het wekt alleen maar woede op en in dit geval is dat in mijn ogen terecht.

    @allemaal en enigzins off topic, http://wikileaks.mollie.nl/ – een makkelijke manier om aan wikileaks te doneren.

  32. 43

    Joost, Hoe zou je je tegen de duopolie Visa/Mastercard kunnen verzetten als alle europese banken inmiddels aangesloten zijn op de Visa/Mastercard? Je wordt niet betaald in baar geld – pinnen is pinnen met een Mastercard.
    Nu blijkt dat deze multi-nationals gevoelig zijn voor politieke druk lijkt het echt tijd om terug te duwen door euro parlementariers te steunen in een SEPA (Single European Payments Area) project.

    dDoSSen is al op grond van consumenten vrijheid verdedigbaar.

  33. 44

    Maar dit was geen Ddos. Gewoon met een programmaatje veel bezoek proberen te genereren. Als dat illegaal is, dan is het snel klikken op links en het oproepen dat anderen dat gaan doen dat dus ook. Dan is ons Openbaar Ministerie knetter.

  34. 45

    @44: Nee, de wetgever is knetter. Die heeft namelijk bedacht dat DDOS wel degelijk strafbaar moet zijn en er zelfs maximaal 6 jaar aan verbonden.

  35. 48

    Voor het niet afbreken van een sit-in krijg je in Nederland, meestal wegens “niet opvolgen bevel van een bevoegd ambtenaar” 200 euro boete of 4 dagen, of een week voorwaardelijk, of 20 uur werkstraf eventueel te vervangen door 10 dagen hechtenis. OM eiste meestal het dubbele en het betreft veelal sit-ins tegen gevangenisboten, militaire faciliteiten e.d.
    Maximumstraf voor overtreden art. 184 Strafrecht (“Niet opvolgen”) is drie maanden of € 3700. Computervredebreuk wordt wel twee maaten zwaarder gerekend.