DDoS-aanval

Bij een (Distributed) Denial-of-Service-aanval (DDoS-aanval) wordt de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur aangevallen. Het resultaat van deze aanval is dat diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten. Dit kan leiden tot grote (imago)schade. Het vormt een reële dreiging voor alle organisaties met onlinedienstverlening, zoals websites, waarvan de continuïteit van belang is (zie ook: https://www.ncsc.nl/onderwerpen/ddos).

Het netwerk van signetbreedband is beschermd tegen deze aanvallen. Dankzij onze maatregelen zijn we in staat aanvallen in een vroeg stadium te detecteren en af te vangen. Bovendien bieden we onze klanten standaard DDoS-bescherming aan bij het afnemen van een internetverbinding. Op deze manier wordt het netwerk zo goed mogelijk gewapend tegen DDoS-aanvallen.

Ondanks alle maatregelen, zijn DDoS-aanvallen helaas nooit helemaal volledig uit te sluiten. We vertellen je daarom meer over dit onderwerp.
Welke type DDoS-aanvallen zijn er? Wat kun je er zelf tegen doen en wat doet signetbreedband om je hiertegen te beschermen? In dit artikel geven we antwoord op veelgestelde vragen over dit onderwerp.

Wat is een DDoS-aanval?

Het verschil tussen een 'gewone' DoS-aanval en een Distributed DoS-aanval is dat in het laatste geval meerdere systemen tegelijk worden ingezet om de aanval op hun doelwit uit te voeren.

DDoS-aanvallen worden ingezet om computernetwerken of diensten onbereikbaar te maken voor eindgebruikers. Dit gebeurt door de infrastructuur van het slachtoffer met internetverkeer te overbelasten. Alhoewel een DDoS-aanval meestal het onbereikbaar maken van een website als doel heeft, komt het ook voor dat de aanval iets anders moet maskeren. Want waar het vooral vervelend is dat u tijdelijk offline bent, is het van een andere orde als kritieke infrastructuren als energiecentrales niet meer bestuurbaar blijken te zijn. De aanvallers kunnen met een DDoS-aanval voor afleiding zorgen om de echte misdaad te maskeren, die tijdens of pas na de aanval plaatsvindt. 

Er zijn veel verschillende redenen voor criminelen om dit soort aanvallen uit te voeren. Soms worden DDoS-aanvallen uitgevoerd enkel en alleen voor de lol, de aanvallers willen hiermee hun krachten laten zien of het gebeurt uit wraak. Maar een van de meest voorkomende motieven is afpersing. 

Hoe werkt een DDoS-aanval?

Bij een DDoS-aanval wordt er gebruikgemaakt van specifieke software (flooders en bots) om snel achter elkaar veel verkeer te sturen naar een bepaalde doellocatie. Een dergelijke aanval wordt uitgevoerd door software op vele, vaak duizenden, "gehackte" servers en onveilige randapparatuur die veelal niet terug te herleiden zijn naar een enkel punt. Wanneer er miljoenen simultane verbindingen gemaakt worden, is het een kwestie van tijd voordat de bestemming het aantal verzoeken niet meer aan kan.

Welke type DDoS-aanvallen zijn er?

Er zijn veel typen DDoS-aanvallen en elk type aanval kent zijn eigen specifieke aanvalsmethode. In de praktijk kun je de meeste aanvallen ruwweg verdelen in drie categorieën. Zie ook de informatie hierover op tweakers.net.)

1. Op volume gebaseerde aanvallen, die de bandbreedte van de infrastructuur opslokt.
2. Protocolaanvallen, die zich vooral richten op hard- en software die op servers draait, zoals firewalls of load balancers.
3. Aanvallen op de application layer.

Volumetrische aanval
De meeste aanvallers gebruiken een methode waarbij grote hoeveelheden dataverkeer de kant van het slachtoffer op gestuurd worden. De hoop is dat de verbinding van het slachtoffer met het internet volloopt en de aangevallen site of dienst niet meer te gebruiken is. De meeste DDoS-aanvallen vinden plaats door het inzetten van geïnfecteerde apparatuur. Het meest bekende hulpmiddel hierbij is een botnet. Een botnet is een verzameling computers die op afstand kan worden ingezet. De eigenaren van deze computers zijn vaak niet op de hoogte van het feit dat hun computer onderdeel uitmaakt van het botnet, gezien de computer vaak stiekem via een trojanhorse-aanval wordt geïnfecteerd.

Op deze manier heeft de aanvaller soms wel duizenden computers ter beschikking om een DDoS-aanval gericht uit te voeren. De omgeving van het slachtoffer wordt dan via speciale software door alle computers tegelijk bestookt met ongewenst dataverkeer. Deze manier van het versterken van een aanval is nog steeds zeer populair, omdat er talloze geïnfecteerde systemen bestaan die kunnen worden ingezet. Ook de enorme toename van slecht beveiligde randapparatuur zoals routers of internet-of-things-apparaten die vaak een zwak standaardwachtwoord hebben en op verouderde software draaien, draagt bij aan de populariteit van deze methode.

Amplificationaanval
Een speciaal type binnen deze categorie die we steeds vaker zien is de amplificationaanval. Veruit de meeste volumetrische DDoS-aanvallen worden uitgevoerd door gebruik te maken van een zogenaamde amplification attack. Deze aanvallen richten zich met name op de vitale infrastructuur van organisaties en maken gebruik van standaard UDP-floodtechnieken. 

DNS-amplificatie is een soort reflectieaanval die publiekelijk toegankelijke domeinnaamsystemen manipuleert, waardoor ze een doelwit overspoelen met grote hoeveelheden UDP-pakketten. Door verschillende versterkingstechnieken te gebruiken, kunnen daders de omvang van deze UDP-pakketten "opblazen", waardoor de aanval zo krachtig wordt dat zelfs de meest robuuste internetinfrastructuur wordt neergehaald.

Het inzetten van een set van meerdere amplificatiefactoren heeft vanuit het oogpunt van de aanvaller twee voordelen:

1. Het is makkelijker om een grote hoeveelheid kwetsbare servers te vinden, waardoor de aanvallen groter worden.
2. DDoS-filtering vindt (gechargeerd) plaats door per type verkeer aan te geven wat de thresholds zijn. Zet je die te laag, dan heb je de kans dat je legitiem verkeer blokkeert, en zet je die te hoog, dan ondervind je last van de aanvallen. Door heel veel verschillende soorten verkeer te gebruiken, kunnen ze grotere aanvallen uitvoeren, terwijl ze minder kans hebben om de thresholds te overstijgen.

Protocolaanval
Dit type aanval is met name bedoeld om bronnen van een aangesloten apparaat te verbruiken. Denk daarbij bijvoorbeeld aan de state table van een firewall; hierin worden alle connecties vanuit het internet naar het interne netwerk in de gaten gehouden. Zodra het aantal connecties buitensporig toeneemt, zal de firewall deze niet meer af kunnen handelen of nieuwe accepteren. Dit leidt tot een blokkade van het verkeer. Dit type aanval is dus met name gericht op zwakke plekken in de protocolstack van apparatuur zoals firewalls, routers en servers. Onder dit soort aanvallen vallen onder andere SYN floods en ICMP floods.

Application-layeraanval
In het geval van application-layer aanvallen wordt een applicatie direct aangevallen. Vaak wordt er in dit geval gebruikgemaakt van een misconfiguratie, bug of functie die veel rekenkracht kost, waardoor een request resulteert in een grote hoeveelheid resourcegebruik door de applicatie. Door deze kwetsbaarheid veelvuldig aan te roepen kan de applicatie of de server vastlopen, of soms volledig crashen. Vaak zijn deze aanvallen minder groot in volume, waardoor ze op netwerkniveau moeilijker te detecteren of blokkeren zijn. Het oplossen van de problemen in de functie en rate limiting zijn mogelijkheden om dergelijke aanvallen te mitigeren.
 

DDoS-aanval voorkomen?

Als je wil voorkomen dat jouw bedrijf slachtoffer wordt van een DDoS-aanval, of om de gevolgen hiervan zoveel mogelijk wilt beperken, stem dan je beveiligingsmaatregelen af met uw systeembeheerder, serviceprovider of een extern ICT-bedrijf.

• Ga bij alle interne infrastructuur na welke maatregelen al genomen zijn en pas indien nodig technische maatregelen toe.
• Zorg dat er naast de primaire internetbron een out-of-bandverbinding naar het datacenter is geopend zodat u passende anti-DDoS-maatregelen kan blijven treffen.
• Bereid een incidentresponsplan voor en denk na over failoverscenario's van je onlinediensten. Zorg dat de relevante scenario’s zijn voorbereid en zorg dat de relevante contactpersonen bereikbaar zijn.
• Onderzoek of mitigatie via een wasstraat zoals de NaWas-straat van Nationale Beheersorganisatie Internet Providers (NBIP) mogelijk is.
• Voor de bescherming van een enkele website kan eventueel een dienst als Cloudflare een oplossing bieden.

Lees hier het artikel over DDos protectie door signetbreedband.

Zie ook de factsheet die het Nationaal Cyber Security Centrum (NCSC) hiertoe ter beschikking heeft gesteld.

Blijf alert!

Veel DDoS-aanvallen worden voorafgegaan door een afpersingsmail. Uit naam van een statelijke actor (bijvoorbeeld Armada Collective, CozyBear, Fancy Bear, Lizard Squad, Lazarus Group) wordt een e-mail gestuurd waarin Bitcoins worden geëist in ruil voor veiligheidsgarantie. Als je zo’n mail ontvangt neem dan direct contact op met je serviceprovider en reageer niet op het dreigement. Bij twijfel, neem gerust contact met ons op.

Heb je nog vragen? Onze experts staan voor je klaar met deskundig advies.