In 2018 zag GitHub een van de grootste DDoS-aanvallen ooit geregistreerd. Volgens Wired werd bij de aanval 1,35 terabits aan data per seconde gemeten, en GitHub had te kampen met uitval als gevolg. Gelukkig had het bedrijf een mitigatiestrategie op zijn plaats en schakelde het snel over op het routeren van verkeer door zijn DDoS-beschermingsdienst, waardoor de aanval werd verijdeld.
Volgens Netscout, wiens dochteronderneming Arbor Networks een kaart heeft gemaakt waarop dagelijkse DDoS-aanvallen te zien zijn, detecteerde het bedrijf in 2019 gemiddeld 23.000 aanvallen per dag. Haar jaarlijkse dreigingsrapport waarschuwt dat de opkomst van IoT, dat dit jaar naar schatting 20 miljard verbonden apparaten zal opleveren, de risico’s van DDoS-aanvallen, die in frequentie en intensiteit zijn toegenomen, sterk verhoogt.
Maar zoals de ervaring van GitHub laat zien, is het mogelijk om een plan te hebben dat de schade kan beperken en zelfs DDoS-aanvallen kan afweren wanneer ze zich voordoen. Bedrijven kunnen technische voorzorgsmaatregelen nemen, DDoS-beschermingsdiensten gebruiken en duidelijke bedrijfsplannen opstellen in afwachting van een aanval.
Wat is een gedistribueerde denial-of-service (DDoS)-aanval?
MORE ON CYBERSECURITYPolice Radio Apps Are Surging in Popularity. There’s Just One Problem.
Hoe ziet Denial of Service eruit?
Instructeur Tom Scott legt op Computerphile uit dat de kwaadaardige kern van een DDoS-aanval denial of service is, een aanvalsvorm die voor het eerst werd gezien in de jaren negentig, toen de meeste mensen met computers het internet opgingen met een inbelverbinding. Een inbelverbinding is traag – ze tikt af met 56.000 bits per seconde, minder dan 1 procent van de snelheid van moderne breedbandverbindingen. Volgens een blogpost van SolarWinds is het met deze snelheden onmogelijk om video’s in realtime te bekijken, en duurt het laden van een enkele pagina op een moderne website gemiddeld meer dan een minuut.
In de video van Computerphile legt Scott uit dat aanvallers die toegang hadden tot snellere internetsnelheden, zoals de breedband die beschikbaar is voor computers in bedrijven en universiteiten, een doelwit uitkozen en er een stortvloed aan gegevens op af stuurden, waardoor het doelwit niet in staat was om extra verbindingen te maken. De belangrijkste factor voor een succesvolle aanval was een snellere internetverbinding dan het doelwit, zodat het doelwit geen bandbreedte meer had om andere verzoeken te verwerken.
Scott zegt dat, hoewel dit type cyberaanval geen informatie steelt of systemen permanent beschadigt, het een probleem vormt voor websites, die hun gebruikers niet meer van dienst kunnen zijn omdat de aanvallers alle legitieme verzoeken verdringen. Voor een gebruiker die naar een website probeert te navigeren die wordt aangevallen via een denial-of-service aanval, zou de pagina nooit laden – hij zou lange tijd blijven hangen en dan gewoon time-out gaan.
Dezer dagen, zegt Scott, is dit type denial-of-service flood aanval minder populair, omdat het moeilijk is om één computer te hebben met genoeg bandbreedte om in zijn eentje een website plat te leggen. Maar aanvallers zijn behoorlijk creatief, en er zijn varianten van denial of service die dat probleem omzeilen.
Een interessante variant staat bekend als Slowloris, die instructeur Mike Pound beschrijft in een video van Computerphile. In plaats van zoveel mogelijk gegevens via de computer van de aanvaller te versturen, verlengt de Slowloris-aanval de duur van elk verzoek tot in het oneindige door gebruik te maken van de manier waarop webservers en -clients communiceren. Deze methode vertraagt de verbindingen naar de server en monopoliseert uiteindelijk al het verkeer naar de beoogde server. Voor aanvallers is het voordeel van Slowloris-aanvallen dat ze niet veel bandbreedte kosten, maar de aanval is alleen effectief op servers die moeite hebben om een groot aantal gelijktijdige verbindingen te verwerken.
Typen DDoS-aanvallen
DDoS – wat staat voor distributed denial of service – is een van de populairste versies van denial-of-service-aanvallen. Cloudflare, een bedrijf dat DDoS-beschermingsdiensten biedt, samen met andere webinfrastructuur- en beveiligingsproducten, legt de aanvalsstrategie uit op haar website. In plaats van de aanval vanaf een enkele computer uit te voeren, gebruiken aanvallers een groot aantal gedistribueerde machines op verschillende locaties die samenwerken om het doelwit te overrompelen. De gedistribueerde machines zijn vaak computers, of zelfs slimme apparaten zoals babyfoons, die heimelijk zijn geïnfecteerd met malware en onder controle van de aanvaller in een botnet zijn ingelijfd. De aanvaller kan de gedistribueerde machines – of bots – vervolgens gebruiken om verkeer te sturen waar het maar nodig is om een DDoS-aanval uit te voeren.
Volgens Cloudflare CTO John Graham-Cumming is het tegenwoordig gebruikelijk dat aanvallen meerdere DDoS-typen gebruiken in één enkele aanval: “Het is gewoon een poging om het netwerk te overweldigen, dus ze zullen proberen om zoveel mogelijk verschillende dingen te verzenden,” vertelde hij aan Built In.
Dat gezegd hebbende, de aanvallen hebben de neiging om in drie categorieën te vallen.
Het eerste type DDoS-aanval, bekend als een applicatielaag aanval, werkt als denial-of-service flood aanvallen, alleen op een grotere schaal, volgens de website van Cloudflare. Bots sturen een stortvloed van verkeer naar een doelwit, waardoor andere gebruikers die toegang proberen te krijgen tot de doelserver worden overstemd. Aanvallers sturen het verkeer meestal naar tijdintensieve eindpunten op het doelwit – denk aan verzoeken die grote databasequery’s vereisen of grote bestanden genereren. Dit soort eindpunten vereist niet veel middelen van de aanvaller om te raken, maar ze zijn bandbreedte-intensief voor het doelwit om op te reageren.
“Het is gewoon een poging om het netwerk te overweldigen, dus proberen ze zoveel mogelijk verschillende dingen te verzenden.”
Een ander type DDoS-aanval richt zich op de manier waarop internetprotocollen – de regels die ervoor zorgen dat computers via internet met elkaar kunnen communiceren – zouden moeten werken. Een voorbeeld dat door Cloudflare wordt beschreven, is de SYN-floodaanval, die gericht is op het transmissiecontroleprotocol (TCP). Bij een normale TCP-transactie maken de client en de server een verbinding door een gestandaardiseerde reeks berichten uit te wisselen die bekend staat als een “handshake”, vergelijkbaar met de manier waarop bij bergbeklimmen de klimmer communiceert met de gordelman met gestandaardiseerde bevestigingen. Deze handdruk laat beide partijen weten dat de verbinding tot stand is gebracht.
Een SYN-floodaanval heeft enkele overeenkomsten met een Slowloris denial of service. Bij deze aanval stuurt de aanvaller alleen de eerste van de driedelige handshake naar de doelserver. De server antwoordt dan met de tweede, maar de aanvaller stuurt de laatste bevestiging niet, waardoor de server een tijdlang wacht en niet in staat is om die verbinding te gebruiken om te antwoorden op bijkomende verzoeken. Als een botnet dit doet, wordt het effect op het doelwit vermenigvuldigd.
Het derde type DDoS-aanval is de amplificatie-aanval. Volgens Cloudflare maken deze aanvallen gebruik van verschillende internetprotocollen om de omvang van elk verzoek van een aanvaller te vermenigvuldigen. De domeinnaamsysteem (DNS) amplificatieaanval gebruikt bijvoorbeeld het DNS-protocol, dat computers normaal gebruiken om het IP-adres op te zoeken dat overeenkomt met een bepaalde website-URL, een stap die het navigeren op het internet mogelijk maakt. Clients sturen normaal gesproken een verzoek met de website-URL die ze willen opzoeken naar een DNS-server, en krijgen een antwoord terug met het bijbehorende IP-adres.
Cloudflare legt uit dat de aanvaller DNS-versterking uitvoert door te “spoofen” waar het verzoek vandaan kwam – de DNS-server te laten denken dat het verzoek van het doelwit afkomstig is en niet van de aanvaller. Het verzoek vraagt de DNS-server meestal om een grote hoeveelheid gegevens, die de DNS-server vervolgens doorstuurt naar het doelwit. Het versterkingseffect is het gevolg van de relatief kleine bandbreedte die de aanvaller nodig heeft om het verzoek te verzenden, in verhouding tot de bandbreedte die het doelwit nodig heeft om het antwoord te ontvangen, en van de mogelijkheid van de aanvaller om verzoeken naar meerdere DNS-servers te verzenden. Zoals bij alle gedistribueerde aanvallen wordt dit vermenigvuldigd met het aantal bots in het botnet dat de aanval uitvoert.
Vermindering van de gevolgen van DDoS
DoS-aanvallen zijn, net als andere cyberaanvallen, illegaal volgens de Amerikaanse Computer Fraud and Abuse Act, maar dat heeft mensen er niet van weerhouden er gebruik van te maken. Activisten hebben DDoS gebruikt als een vorm van online protest, en het hackerscollectief Anonymous heeft zelfs een petitie ingediend om DDoS legaal te maken, met het argument dat het een vorm van vrije meningsuiting is, vergelijkbaar met het in persoon de toegang tot een gebouw ontzeggen van demonstranten. Aanvallen tegen online gamers zijn zo wijdverbreid dat gamebedrijven zelfs gidsen met preventiestrategieën publiceren. Ook regeringen zijn doelwit en dader van DDoS-aanvallen geweest.
Om te voorkomen dat ze het volgende slachtoffer worden, kunnen bedrijven preventieve maatregelen nemen. In de Pluralsight-cursus “Ethisch hacken: Denial of Service” legt docent Troy Hunt uit dat DDoS zijn schade aanricht door alle netwerkverbindingen of bandbreedte in beslag te nemen die het bedrijf zou moeten besteden aan legitieme gebruikers. Het snel opschalen van servers om meer verbindingen en bandbreedte aan te kunnen kan het probleem beperken – maar kan ook duur zijn. Bedrijven die hun sites hosten bij cloudproviders hebben meestal gemakkelijk toegang tot deze optie.
Hunt legt in zijn cursus uit dat een andere strategie voor bedrijven is om eindpunten die resource-intensieve functies uitvoeren achter een soort bescherming te plaatsen, waardoor het moeilijk wordt voor bots om erbij te komen. Bedrijven kunnen bijvoorbeeld voorkomen dat bots snel serverresources in beslag nemen door endpoints met intensieve databasequery’s of grote bestandsdownloads achter loginpagina’s te plaatsen. De alomtegenwoordige test, met zijn golvende woorden of afbeeldingen die gebruikers moeten ontcijferen, is een andere manier om eindpunten die veel bronnen gebruiken te beschermen tegen bots.
De manier waarop bedrijven hun websites ontwerpen is ook belangrijk, zegt Hunt. Door een website te coderen als onderling verbonden onderdelen, in plaats van als een onderling afhankelijke monoliet, kunnen andere delen van een site functioneel blijven, zelfs als een deel wordt getroffen door een DDoS-aanval.
Hoe DDoS-beschermingsdiensten werken
Vandaag de dag bieden veel bedrijven DDoS-bescherming als een dienst aan.
Cloudflare is een van de grootste van deze DDoS-beschermingsdiensten. Het gebruikt een aantal van dezelfde technieken die individuele bedrijven gebruiken om zich tegen DDoS te beschermen, maar volgens de blog van het bedrijf is zijn grootste wapen een groot netwerk van servers over de hele wereld die namens klanten het webverkeer onderscheppen.
Het netwerk van Cloudflare zit tussen de servers van een klant en de rest van het internet, accepteert inkomende verzoeken van klanten en geeft deze door aan de servers van de klant. Als tussenpersoon kan Cloudflare verdachte activiteiten opsporen en kwaadaardige verzoeken eruit filteren, zodat ze worden genegeerd voordat ze bij de klant aankomen.
Zelfs wanneer een DDoS-aanval op een klant is gericht, kan Cloudflare de stortvloed aan gegevens opvangen door deze over Cloudflare’s netwerk te verspreiden en het werk over veel servers te verdelen. Op elke server controleert Cloudflare op elk type DDoS-aanval en filtert de verzoeken dienovereenkomstig.
“Al deze verschillende soorten aanvallen, wat je wilt doen is ze opsplitsen zodat ze naar zoveel mogelijk verschillende steden gaan,” vertelde Graham-Cumming aan Built In. “Binnen elk datacenter identificeer je dan wat slecht is en haal je het weg. Dus of het nu gaat om een SYN flood, een ACK-aanval of iets dat DNS-versterking gebruikt, het is in veel opzichten hetzelfde.”
“Letterlijk kun je naar het patroon van gegevens in het pakket kijken en zeggen: ‘Dat is een SYN flood.
Het kan voor individuele bedrijven moeilijk zijn om aanvallen met meerdere DDoS-typen op te vangen, vooral omdat sommige typen moeilijker te detecteren zijn dan andere. Graham-Cumming zei dat de moeilijkst te detecteren soorten voor bedrijven aanvallen op de toepassingslaag zijn, waarbij DDoS-aanvallen op gewone verzoeken kunnen lijken, afgezien van het volume.
Cloudflare gaat om met aanvallen op de toepassingslaag door te analyseren op tekenen van kwaadaardige opzet. Een deel van deze analyse wordt ondersteund door machine learning, aldus Graham-Cumming.
“Vanwege de schaal van een cloud-first-netwerk – met zo’n groot aantal gebruikers die Cloudflare gebruiken, verkeer dat via ons loopt – kunnen we daadwerkelijk zoeken naar afwijkend gedrag op ons netwerk, wat zou duiden op een soort aanval, en dan kunnen we dat gebruiken om andere gebruikers te beschermen,” zei hij. “Het gaat meer om het kijken naar het verkeer, het kijken naar de pakketten die naar je toe komen, er een vingerafdruk van maken en zeggen: ‘We weten dat dit pakket, eigenlijk, deelneemt aan een DDoS vanwege een kenmerk van het pakket zelf.'”
De vingerafdrukken die Cloudflare heeft ontwikkeld om aanvalspatronen te herkennen, zijn behoorlijk gevoelig, zei hij.
“Letterlijk, je kunt naar het patroon van gegevens in het pakket kijken en zeggen: ‘Dat is een SYN flood,'” zei Graham-Cummings.
Maar bedrijven die DDoS-beschermingsdiensten gebruiken, moeten nog steeds waakzaam zijn.
“Aanvallers proberen dan om de dienst heen te gaan,” zei hij. “
Graham-Cumming raadt klanten die DDoS-beschermingsdiensten gebruiken aan om filters op hun verkeer in te stellen – zodat hun servers alleen verkeer accepteren dat afkomstig is van het IP-adres van de dienst – om dit probleem op te lossen.
Wat elk bedrijf nodig heeft in het geval van een DDoS-aanval
DoS kan de reputatie van een bedrijf schaden, de inkomsten negatief beïnvloeden en aanzienlijke kosten met zich meebrengen om de aanval te verhelpen. Hunt legt in zijn Pluralsight-cursus uit dat legitieme gebruikers en klanten geen toegang kunnen krijgen tot de beoogde site, waardoor het bedrijf niet normaal kan functioneren en aankopen en advertentie-inkomsten van de site worden afgesneden.
DDoS-aanvallen kunnen niet direct informatie van een doelwit stelen, maar aanvallers gebruiken DDoS om bedrijven af te leiden van gelijktijdige cyberaanvallen – terwijl de organisatie druk bezig is met het beheersen van de DDoS, gaan aanvallers achter hun echte doelen aan. En DDoS-aanvallen die langere tijd duren, kunnen worden gebruikt om hun doelwitten af te persen, vergelijkbaar met ransomware-aanvallen.
Hunt legt in zijn cursus uit dat de beste manier om op een DDoS-aanval te reageren, is om al een plan klaar te hebben liggen op het moment dat de aanval plaatsvindt. Het is een goed idee om een bedrijfsverklaring op te stellen die in het geval van een aanval aan het publiek wordt vrijgegeven. Bedrijven moeten ook nadenken over de kosten die gepaard gaan met een DDoS-aanval op hun specifieke sites en op basis daarvan bepalen wat ze bereid zijn te betalen om een aanval op te lossen.
Ter midden van een crisis een kosten-batenberekening proberen te maken is geen goed idee, zegt Hunt, vooral niet als de aanval het bedrijf elke minuut inkomsten kost. Maar met vooraf voorbereide bedrijfsstrategieën en technische beschermingsmaatregelen zullen bedrijven niet voor verrassingen komen te staan en kunnen ze een DDoS-aanval overleven.
MER OVER CYBERSECURITYHier ziet u wat er gebeurt nadat een bedrijf wordt gehackt