[NLNOG] NL abuse-overzicht 2018

Marco van den Akker akker at tinc.works
Fri Dec 21 12:20:46 CET 2018


Mooie terugblik  Jurrian,

Dit zou inderdaad een van de speerpunten van de DHPA en co moeten zijn.
Wellicht dat er aandacht aan besteed kan worden door dit stuk te
publiiceren onder de mediapartners en via LinkedIN.


Marco


Op vr 21 dec. 2018 om 11:31 schreef Jurrian van Iersel <
jurrian at vaniersel.net>:

> Beste NLNOG-leden,
>
> Met het einde van het jaar in zicht is het weer de periode van
> jaaroverzichten en cijfertjes. Dit keer wou ik ook graag een duit in het
> zakje doen. De meesten van jullie zullen weten dat ik hobby-project heb
> waarbij ik abuse-informatie verzamel en meldt bij de betreffende ISP (zo
> niet, kijk de presentatie op NLNOG-dag 2017 even terug:
> https://youtu.be/Mt-KfNQG1oQ). Hoewel de statistici het dataset vast te
> klein en onbetrouwbaar vinden, wil ik hier toch een klein overzicht over
> 2018 voor Nederland maken.
>
> In onderstaande overzichten wordt naar incidenten gekeken waar het
> ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN
> wordt de gene gebruikt die de IP-range op dat moment adverteerde. Ik
> noem bewust geen namen of ASN, zodat niemand zich persoonlijk
> aangesproken hoeft te voelen.
> Als we naar het aantal incidenten per ASN kijken, zal het niemand
> verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster.
> Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg
> bestaat de rest van de top 10 alleen uit hostingproviders (shared
> hosting, VPS en colocatie). De eerste accessprovider treffen we pas op
> de elfde plaats.
>
> Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette
> PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn,
> maar dat slecht beveiligde servers (zowel virtueel als fysiek) een
> grotere bedreiging op vormen.
> Als we naar het type incidenten over het totaal (hosting + access)
> kijken, dan springen er 4 types bovenuit: opeenvolgend zijn dat
> SSH-login pogingen, SMTP-authenticatie pogingen, pogingen SIP te
> misbruiken en portscans. Met name TCP-poorten 7000 en 6666 zijn populair
> bij de portscans.
>
> Kijken we alleen naar de hosting-aanbieders uit de top 10
> (bulletproof-partijen uitgesloten), dan is de volgorde SSH-login
> pogingen, pogingen SIP te misbruiken, Portscans en SMTP-authenticatie
> pogingen.
> Overigens moet bij het SIP-verkeer opgemerkt worden dat het UDP-verkeer
> is, waarbij het source-address eenvoudig te spoofen is. Anderzijds
> levert SIP-communicatie niet veel verkeer op, waardoor het niet
> interessant is voor een DDoS en is het misbruiken voor telefonie-fraude
> waarschijnlijker omdat dit veel lucratiever is.
>
> Concluderend zouden we kunnen stellen dat het goed gaat met de
> beveiliging door thuisgebruikers, waar adequaat handelen door de
> accessproviders een belangrijk onderdeel is. Voor de hosters is een
> belerend vingertje meer op de plaats; misbruik en gecompromitteerde
> servers zouden makkelijk gedetecteerd kunnen worden met de juiste
> beveiligingstools. Misschien moet de branche hier in 2019 eens
> (gezamenlijk) nadenken over een handelswijze bij incidenten. Waar
> accessproviders vaak vrij snel overgaan tot blokkades tot de problemen
> zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het
> probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode
> het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij
> verstandiger sneller tot blokkade over te gaan als derden controle
> hebben over systemen met gegevens.
>
> Ik wens iedereen fijne feestdagen en een goed, gezond abuse-vrij 2019!
>
> Jurrian van Iersel
> _______________________________________________
> NLNOG mailing list
> NLNOG at nlnog.net
> http://mailman.nlnog.net/listinfo/nlnog
>


-- 
With enthusiastic greetings,

Marco van den Akker
VP of nearly everything

TiNC Works!
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20181221/5ea851d8/attachment.html>


More information about the NLNOG mailing list