signON

Blog overzicht

/ Maatregelen tegen DDoS-aanvallen

De afgelopen tijd valt een explosieve toename van het aantal Distributed Denial-of-Service-aanvallen (DDoS) waar te nemen. Het aantal DDoS-aanvallen is zelfs in de eerste helft van 2020 met 151% gestegen ten opzichte van dezelfde periode in 2019, zo blijkt uit recente cijfers van Neustar. Nederland ontkomt ook niet aan deze aanvallen. 

Sinds augustus worden verschillende organisaties in Nederland getroffen door DDoS-aanvallen die in sommige gevallen hebben geleid tot verstoring van online dienstverlening. De DDoS-aanvallen richten zich met name op vitale infrastructuur, zo meldt ook het NCSC. De impact van de aanvallen kan dus potentieel groot zijn doordat de netwerken van isp’s worden geraakt en zowel de isp’s als de eindgebruikers hier last van ondervinden. 

Ook Signet is begin september getroffen door een aanval waarbij bepaalde diensten tijdelijk niet bereikbaar waren. Naast het feit dat het steeds vaker voorkomt, is er ook een toename in de grootte van de aanvallen. Het NCSC heeft meldingen ontvangen van aanvallen die oplopen tot 250 Gigabit per seconde. Ter indicatie, in 2019 werden slechts 11 aanvallen boven de 40 Gbps waargenomen, waarvan de grootste 124 Gbps.

Zijn deze DDoS-aanvallen onderdeel van de nieuwe realiteit en wat valt eraan te doen? In dit artikel geven we antwoord op veelgestelde vragen over dit onderwerp.

1. Wat is een DDoS-aanval? 

Het verschil tussen een 'gewone' DoS-aanval en een Distributed DoS-aanval is dat in het laatste geval meerdere systemen tegelijk worden ingezet om de aanval op hun doelwit uit te voeren.

DDoS-aanvallen worden ingezet om computernetwerken of diensten onbereikbaar te maken voor eindgebruikers. Dit gebeurt door de infrastructuur van het slachtoffer met internetverkeer te overbelasten. Alhoewel een DDoS-aanval meestal het onbereikbaar maken van een website als doel heeft, komt het ook voor dat de aanval iets anders moet maskeren. Want waar het vooral vervelend is dat u tijdelijk offline bent, is het van een andere orde als kritieke infrastructuren als energiecentrales niet meer bestuurbaar blijken te zijn. De aanvallers kunnen met een DDoS-aanval voor afleiding zorgen om de echte misdaad te maskeren, die tijdens of pas na de aanval plaatsvindt. 

Er zijn veel verschillende redenen voor criminelen om dit soort aanvallen uit te voeren. Soms worden DDoS-aanvallen uitgevoerd enkel en alleen voor de lol, de aanvallers willen hiermee hun krachten laten zien of het gebeurt uit wraak. Maar een van de meest voorkomende motieven, en wat we ook terugzien in de aanvallen van de afgelopen tijd, is afpersing. 

2. Hoe werkt een DDoS-aanval?

Bij een DDoS-aanval wordt er gebruikgemaakt van specifieke software (flooders en bots) om snel achter elkaar veel verkeer te sturen naar een bepaalde doellocatie. Een dergelijke aanval wordt uitgevoerd door software op vele, vaak duizenden, "gehackte" servers en onveilige randapparatuur die veelal niet terug te herleiden zijn naar een enkel punt. Wanneer er miljoenen simultane verbindingen gemaakt worden, is het een kwestie van tijd voordat de bestemming het aantal verzoeken niet meer aan kan.

3. Welke typen DDoS-aanvallen zijn er?

Er zijn veel typen DDoS-aanvallen en elk type aanval kent zijn eigen specifieke aanvalsmethode. In de praktijk kun je de meeste aanvallen ruwweg verdelen in drie categorieën. Zie ook de informatie hierover op tweakers.net.

  1. Op volume gebaseerde aanvallen, die de bandbreedte van de infrastructuur opslokt.
  2. Protocolaanvallen, die zich vooral richten op hard- en software die op servers draait, zoals firewalls of load balancers.
  3. Aanvallen op de application layer.

Volumetrische aanval
De meeste aanvallers gebruiken een methode waarbij grote hoeveelheden dataverkeer de kant van het slachtoffer op gestuurd worden. De hoop is dat de verbinding van het slachtoffer met het internet volloopt en de aangevallen site of dienst niet meer te gebruiken is. De meeste DDoS-aanvallen vinden plaats door het inzetten van geïnfecteerde apparatuur. Het meest bekende hulpmiddel hierbij is een botnet. Een botnet is een verzameling computers die op afstand kan worden ingezet. De eigenaren van deze computers zijn vaak niet op de hoogte van het feit dat hun computer onderdeel uitmaakt van het botnet, gezien de computer vaak stiekem via een trojanhorse-aanval wordt geïnfecteerd.

Op deze manier heeft de aanvaller soms wel duizenden computers ter beschikking om een DDoS-aanval gericht uit te voeren. De omgeving van het slachtoffer wordt dan via speciale software door alle computers tegelijk bestookt met ongewenst dataverkeer. Deze manier van het versterken van een aanval is nog steeds zeer populair, omdat er talloze geïnfecteerde systemen bestaan die kunnen worden ingezet. Ook de enorme toename van slecht beveiligde randapparatuur zoals routers of internet-of-things-apparaten die vaak een zwak standaardwachtwoord hebben en op verouderde software draaien, draagt bij aan de populariteit van deze methode.

Amplificationaanval
Een speciaal type binnen deze categorie die we steeds vaker zien is de amplificationaanval. Veruit de meeste volumetrische DDoS-aanvallen worden uitgevoerd door gebruik te maken van een zogenaamde amplification attack. Deze aanvallen richten zich met name op de vitale infrastructuur van organisaties en maken gebruik van standaard UDP-floodtechnieken. 

DNS-amplificatie is een soort reflectieaanval die publiekelijk toegankelijke domeinnaamsystemen manipuleert, waardoor ze een doelwit overspoelen met grote hoeveelheden UDP-pakketten. Door verschillende versterkingstechnieken te gebruiken, kunnen daders de omvang van deze UDP-pakketten "opblazen", waardoor de aanval zo krachtig wordt dat zelfs de meest robuuste internetinfrastructuur wordt neergehaald.

Het inzetten van een set van meerdere amplificatiefactoren heeft vanuit het oogpunt van de aanvaller twee voordelen:

  1. Het is makkelijker om een grote hoeveelheid kwetsbare servers te vinden, waardoor de aanvallen groter worden.
  2. DDoS-filtering vindt (gechargeerd) plaats door per type verkeer aan te geven wat de thresholds zijn. Zet je die te laag, dan heb je de kans dat je legitiem verkeer blokkeert, en zet je die te hoog, dan ondervind je last van de aanvallen. Door heel veel verschillende soorten verkeer te gebruiken, kunnen ze grotere aanvallen uitvoeren, terwijl ze minder kans hebben om de thresholds te overstijgen.

Protocolaanval
Dit type aanval is met name bedoeld om bronnen van een aangesloten apparaat te verbruiken. Denk daarbij bijvoorbeeld aan de state table van een firewall; hierin worden alle connecties vanuit het internet naar het interne netwerk in de gaten gehouden. Zodra het aantal connecties buitensporig toeneemt, zal de firewall deze niet meer af kunnen handelen of nieuwe accepteren. Dit leidt tot een blokkade van het verkeer. Dit type aanval is dus met name gericht op zwakke plekken in de protocolstack van apparatuur zoals firewalls, routers en servers. Onder dit soort aanvallen vallen onder andere SYN floods en ICMP floods.

Application-layeraanval
In het geval van application-layer aanvallen wordt een applicatie direct aangevallen. Vaak wordt er in dit geval gebruikgemaakt van een misconfiguratie, bug of functie die veel rekenkracht kost, waardoor een request resulteert in een grote hoeveelheid resourcegebruik door de applicatie. Door deze kwetsbaarheid veelvuldig aan te roepen kan de applicatie of de server vastlopen, of soms volledig crashen. Vaak zijn deze aanvallen minder groot in volume, waardoor ze op netwerkniveau moeilijker te detecteren of blokkeren zijn. Het oplossen van de problemen in de functie en rate limiting zijn mogelijkheden om dergelijke aanvallen te mitigeren.

4. Wat kunt u doen tegen DDoS-aanvallen?

Als u wilt voorkomen dat uw bedrijf slachtoffer wordt van een DDoS-aanval, of om de gevolgen hiervan zoveel mogelijk wilt beperken, stem dan uw beveiligingsmaatregelen af met uw systeembeheerder, serviceprovider of een extern ICT-bedrijf.

  • Ga bij alle interne infrastructuur na welke maatregelen al genomen zijn en pas indien nodig technische maatregelen toe.
  • Zorg dat er naast de primaire internetbron een out-of-bandverbinding naar het datacenter is geopend zodat u passende anti-DDoS-maatregelen kan blijven treffen.
  • Bereid uw incidentresponsplan voor en denk na over failoverscenario's van uw onlinediensten. Zorg dat de relevante scenario’s zijn voorbereid en zorg dat de relevante contactpersonen bereikbaar zijn.
  • Onderzoek of mitigatie via een wasstraat zoals de NaWas-straat van Nationale Beheersorganisatie Internet Providers (NBIP) mogelijk is.
  • Voor de bescherming van een enkele website kan eventueel een dienst als Cloudflare een oplossing bieden.

Zie ook de factsheet die het Nationaal Cyber Security Centrum (NCSC) hiertoe ter beschikking heeft gesteld.

5. Wat doet Signet tegen DDoS-aanvallen?

Gelukkig staat u niet helemaal machteloos tegenover een aanvaller. Signet stelt alles in het werk om mogelijke aanvallen te detecteren en af te vangen. Signet heeft een netwerkdata-analysecluster, welke (metadata van) het binnenkomende verkeer analyseert om afwijkende patronen te herkennen. Op het moment dat er een aanval of bedreiging wordt gesignaleerd, grijpt ons Anti-DDoS-platform in (zie figuur 1 voor een schematische weergave van de werking). We leiden dan al het verkeer om naar de Nationale Wasstraat (NaWas). Hier wordt het ‘vuile’ verkeer weggespoeld en wordt het legitieme verkeer bij uw server of netwerk afgeleverd. Hierdoor blijft uw site of dienst in de meeste gevallen online ondanks een aanval. 

We zien het ook als onze verantwoordelijkheid om de risico’s tot een minimum te beperken. Zo zorgen we ervoor dat onze internetverbinding(en) voldoende groot zijn en dat onze netwerken dit verkeer ook daadwerkelijk kunnen verwerken. We hebben daarom ook onze belangrijke netwerken gescheiden. Onze beheernetwerken zijn bijvoorbeeld fysiek gescheiden van de productienetwerken. Op het moment dat er een DDoS-aanval plaatsvindt op het productienetwerk, interfereert deze niet met ons beheer. Hierdoor kunnen wij tijdens een aanval gewoon doorgaan om deze aanval af te slaan zodat de gevolgen voor u tot een minimum worden beperkt. 

Null routing of blackholing

Als een aanval veel 'collateral damage' geeft aan andere klanten kunnen we ook overgaan op null routing, of blackholing. Net als bij de NaWas, sturen we een bericht naar de isp, maar in plaats van omleiden, geven we aan dat al het verkeer weggegooid (drop) moet worden.

Anti-DDOS Access Platform Signet

6. Ik heb neem een anti-DDoS-dienst af maar ben toch geraakt? 

Internetserviceproviders, waaronder Signet, worden dagelijks geconfronteerd met DDoS- aanvallen, gericht op klanten. Signet biedt standaard DDoS-bescherming aan. Deze dienst beschermt tegen aanvallen waardoor u in de meeste gevallen geen hinder ondervindt.

Een grootschalige DDoS-aanval, gericht op de infrastructuur van de internetserviceprovider, met een extreme schaal zoals we die nu zien heeft impact op de gehele dienstverlening van de isp. Wij doen ons uiterste best om ons netwerk hiertegen te wapenen maar helaas is dit nooit uit te sluiten.

7. Wat is het verschil tussen een standaard-DDoS-bescherming en DDoS-scrubbing?

Onze standaard-DDoS-bescherming bestaat uit het detecteren op basis van analyse op dataverkeer door middel van complexe, zelflerende algoritmes. Indien een DDoS-aanval zich richt op u als klant, zal de standaard-DDoS-bescherming het doel-IP-adres filteren, waardoor deze onbereikbaar wordt voor het internet. Uw overige IP-adressen blijven daardoor bereikbaar.

Afhankelijk van het type aanval en (met name) het volume hiervan, zijn we in staat om specifiek verkeer te filteren op ons core-netwerk en de rest door te laten. Dit is echter enkel mogelijk bij specifieke protocolgebaseerde aanvallen en niet bij volumetrische aanvallen. Voor die laatste categorie hebben we onze uitgebreide anti-DDoS-dienst. Onze specialisten vertellen u hier graag meer over.

Collectieve bestrijding

Met deze maatregelen zijn we in staat om de aanvallen in de meeste gevallen af te slaan zodat onze klanten geen of nauwelijks hinder ondervinden. Vanwege de omvang van de aanvallen op ons en de impact op de gehele Nederlandse internetinfrastructuur, werken verschillende disciplines samen en delen we onze kennis met de Nederlandse politie en het Nationaal Cyber Security Centrum (NCSC) die verder onderzoek doen.

Alleen door veel informatie te verzamelen en met elkaar te delen kunnen we dit soort aanvallen de kop indrukken. Een mooi initiatief hierin is De nationale anti-DDoS-coalitie. Het samenwerkingsverband tegen DDoS-aanvallen bestaat uit zeventien organisaties waaronder overheden, internetproviders, internet exchanges, academische instanties, non-profitorganisaties en banken. De coalitie heeft als doel om DDoS vanuit verschillende hoeken te onderzoeken en bestrijden.

Naast het informatie verzamelen is kennisoverdracht essentieel. SIDN Labs en SURF hebben onlangs een nieuwe versie uitgebracht van de DDoS Clearinghouse-in-a-Box, een systeem waarmee netwerkoperators door middel van ‘DDoS fingerprints’ automatisch informatie kunnen delen over de DDoS-aanvallen die ze te verwerken krijgen.

Door samen te werken moet het lukken om uiteindelijk DDoS-aanvallen terug te dringen of te stoppen.

Blijf alert

Veel DDoS-aanvallen worden voorafgegaan door een afpersingsmail. Uit naam van een statelijke actor (bijvoorbeeld Armada Collective, CozyBear, Fancy Bear, Lizard Squad, Lazarus Group) wordt een e-mail gestuurd waarin Bitcoins worden geëist in ruil voor veiligheidsgarantie. Als u zo’n mail ontvangt neem dan direct contact op met uw serviceprovider en reageer niet op het dreigement. Bij twijfel, neem gerust contact met ons op.

Heeft u nog vragen? Onze experts staan voor u klaar met deskundig advies


Deel dit artikel

Gerelateerde artikelen

Blog overzicht

Auteur: Signet-redactie

Is de auteursnaam die we gebruiken wanneer een blogpost in teamverband is samengesteld.