DDoS.....Of toch niet?

Zo begon het. Dinsdag zat ik niets vermoedend in een overleg. In een van mijn browser vensters stond ook Grafana open met onze SURFnet8 verkeerstatistieken. Om 11u ging opeens ons extern Internetverkeer gigantisch omhoog! Zou er een DDoS aan de gang zijn? Doorgaans is dat wel het geval als we een dergelijke piek zien. Al gauw vroeg ik iemand van SURFcert even te kijken, of hij iets zag. Wat bleek, het zag er toch niet heel DDoS-erig uit. Hmm… Het verkeer kwam tegelijk uit verschillende content delivery networks (CDN). Akamai/Fastly/Amazon…. allemaal maakten ze zich schuldig aan grote hoeveelheden verkeer onze kant op te sturen. En waar ging het verkeer heen? Eerst leek het te gaan om de onderwijs service providers, maar later…gewoon alle leden! WTH?

Grote Windows update ofzo? Nee, dat was het ook niet. Grote voetbalfanaat als dat ik ben, viel het kwartje niet direct. Maar het bleek te gaan om de wedstrijd Argentinië – Saudi-Arabië.

Of je het nou eens bent met de WK in Qatar of niet. Voetbal is een dingetje. Want waar we normaal op piekmomenten rond de 300Gb/s aan verkeer hebben als inkomend SURFinternetverkeer, zaten we tijdens de wedstrijd boven de 450Gb/s. Dus een toename van 50% over het normale verkeer!!! Een flink verschil.

Hoe ziet dat er nu uit? Hieronder zie je het verkeer van dinsdag een week eerder. Rond 11u in de ochtend zit het verkeer doorgaans op zijn maximum met een piek rond de 300Gb/s. Boven de Y-as (Blauw) is wat wij versturen naar de instellingen onder de Y-as (Groen) is wat de instellingen naar ons versturen. Verder kun je ook redelijk goed zien wanneer groot deel van onderzoekend en studerend Nederland luncht. Iedere dag heeft een beetje dit patroon. In de vakanties/weekenden zijn eigenlijk enkel de niveaus anders.

En dan het verkeer van 22 november, dat ziet er toch wat anders uit. Om 11u startte de wedstrijd. 45 minuten later is duidelijk de rust, kennelijk zetten mensen massaal hun streams uit, en gaan lunchen? Vreemd genoeg lijkt de tweede helft minder interessant. De wedstrijd om 14u lijkt minder druk bezocht maar is toch wel zichtbaar.

Impact

Hoewel we er toch door verrast waren is de impact van de plotselinge toename beperkt. We hebben genoeg capaciteit in het netwerk, en genoeg capaciteit in de externe connectiviteit om deze klap op te vangen. Als onderzoeksnetwerk richten wij ons op grote hoeveelheden data (in tegenstelling tot een commerciele ISP). Maar we hebben wel moeten tweaken.

AMS-IX NL-IX (Internet Exchanges)

We hebben connectie met meerdere Internet Exchanges. We prefereerden altijd verkeer van de AMS-IX over die van de NL-IX. Tijdens de wedstrijden zagen we dat een van de 100Gb/s verbindingen met de AMS-IX op 92% belasting zat. Door de prioriteit gelijk te trekken hebben we verkeer kunnen verschuiven naar de NL-IX waardoor AMS-IX wat meer lucht kreeg. Daarnaast hebben we over de Exchanges met verschillende partijen directe peerings aangegaan waardoor we meer controle hebben over waar het verkeer ons netwerk binnenkomt.

Liberty-Global (Vodafone-Ziggo)

Ook hebben we een directe verbinding met Service Provider Liberty Global (Vodafone/Ziggo). Deze stuurde al hun verkeer (waarschijnlijk ZiggoGo) over slechts twee van de vier 10Gb/s verbindingen. Welke dan ook vol raakten. De volgende dag zagen we dat ze dit zelf verbeterd hadden, door het verkeer over alle beschikbare verbindingen te balanceren.

Wie kijken er vooral naar het WK?

Wat opvallend is, is dat de voetbal bits voornamelijk naar de Onderwijs Service Providers (OSP’s), ROC’s en Hogescholen gaan. Het verkeer van de grootste OSP verdubbelde zelfs bijna, wat ik wel opvallend vond. Ook was er een ROC waarvan de IP-aansluiting vol raakte door dit extra verkeer. Bij de universiteiten en onderzoeksinstellingen was nauwelijks een verschil te bespeuren. Blijkbaar daar wat minder voetbalfans.