U heeft het de laatste tijd vast meegekregen, de DDoS-aanvallen op ABN-Amro, ING, Rabobank en de Belastingdienst. DDoS-aanvallen zijn echter niets nieuws en zijn vaak voor veel bedrijven met omvangrijke IT-omgevingen, waaronder ook wij zelf, aan de orde van de dag.
Wat zijn DDoS-aanvallen, welke gevolgen heeft een DDoS-aanval, welke motieven zitten hier vaak achter en hoe kunt u ze voorkomen of afweren?
CEO / Founder
DDoS staat voor Distributed Denial of Service. Een DDoS-aanval heeft meestal als doel om een website of dienst onbeschikbaar maken door overbelasting van de bandbreedte of het monopoliseren van resources van een server/de infrastructuur totdat deze uitgeput zijn. Dit is te vergelijken met een toegangsdeur van een winkel. Er kunnen gemakkelijk 20 bezoekers per minuut naar binnen, maar als er ineens 20.000 bezoekers per minuut naar binnen willen dan zal er binnen enkele seconden al een situatie ontstaan dat de rij voor de winkel zo groot wordt dat er praktisch gezien niemand meer binnen komt.
Botnet
De DDoS-aanvallen worden doorgaans uitgevoerd met behulp van een botnet, dit is een (zeer grote) groep computers en servers die een aanvaller onder controle heeft en opdrachten kan laten uitvoeren. Dit betreffen vaak computers en servers van onschuldige gebruikers die geïnfecteerd zijn met een virus of gehackt zijn. Een botnet is in staat om automatisch grote hoeveelheden data (verzoeken) gelijktijdig te versturen vanaf meerdere locaties van het internet naar het doel toe. Dit gebeurt net zo lang tot het doelwit de vraag niet meer aankan en onbereikbaar wordt.
Omdat een botnet vaak bestaat uit geïnfecteerde computers en servers en de daadwerkelijke aanval zelden wordt uitgevoerd vanaf de computer van de aanvaller, maar hier vaak vele schakels tussen zitten, is het bijna onmogelijk om te achterhalen wie er achter een aanval zit.
De directe gevolgen van een DDoS-aanval zijn doorgaans dat een website of dienst onbeschikbaar raakt. De gevolgen daarvan zijn echter vaak erg groot, denk aan derving van inkomsten (bijvoorbeeld een webshop die niet kan verkopen), medewerkers die niet kunnen werken (bijvoorbeeld een intranet dat niet werkt), reputatieschade (niet bereikbaar zijn wekt wantrouwen op) et cetera. Hierdoor hebben DDoS-aanvallen vaak grote impact en kunnen er vele motieven zijn voor een aanvaller om een DDoS uit te voeren.
De schade is zelden te verhalen doordat de daadwerkelijke aanvaller vaak niet te achterhalen is, zelfs niet door politie, justitie of andere autoriteiten.
Waar het vroeger veel tijd, kennis en moeite kostte om een aanval uit te voeren kan dit tegenwoordig heel snel en zeer eenvoudig. Op het internet zijn er vele plekken waar letterlijk voor enkele euro’s een aanval kan worden gekocht. Je kiest simpelweg het doelwit, tijdsduur van de aanval en de hoeveelheid verkeer dat gegenereerd dient te worden en voltooit vervolgens de betaling. Het is binnen enkele minuten geregeld en vergt geen of zeer weinig technische kennis. Men spreekt bij dit soort aanvallen vaak over hackers, maar een DDoS-aanval wordt zeer zelden uitgevoerd door hackers maar meestal door rancuneuze personen, groepen of criminelen.
Wraak of pesterijen
Door de eenvoud en anonimiteit waarmee tegenwoordig een aanval gestart kan worden, hoeven er dus niet altijd sterke motieven aan ten grondslag liggen. Veel voorkomend zijn de zogenaamde ‘wraak of pest’ DDoS-aanvallen, bijvoorbeeld een student die de website van zijn school onbereikbaar wil maken, een ontevreden klant over de dienstverlening van een bepaald bedrijf, een organisatie die schade wil toebrengen aan zijn concurrent of een vete tussen bijvoorbeeld bepaalde groepen, verenigingen, personen, gamers et cetera. Dit soort aanvallen zijn meestal niet extreem groot, niet zeer complex en van korte duur.
Chantage
Ligt er geen wraak of pesterij ten grondslag, dan is het motief meestal chantage. Een crimineel persoon of criminele bende kondigt vooraf een aanval aan en biedt de mogelijkheid de aanval ‘af te kopen’. Hieronder een voorbeeld van een dergelijke bedreiging.
In dit geval kondigt de groepering aan wie ze zijn, wat ze eerder hebben “bereikt” en wat er zal gebeuren als u de eis niet inwilligt. Ze eisen geld in de vorm van Bitcoins en bij het niet betalen zal de aanval worden gestart, waarbij de prijs elke dag zal worden verhoogd tot aan de eis wordt voldaan. Het is niet ondenkbaar dat bij de banken die onder vuur hebben gelegen, er een soortgelijk scenario heeft afgespeeld.
Indirecte hackpoging
Een laatste motief kan het platleggen zijn van een beveiligingssysteem of misleiding waarbij men de aandacht van het daadwerkelijke doel/hack probeert af te wenden. Alleen in dit geval is er sprake van een hack(poging). Deze methodiek is meestal vergezocht. Er moet namelijk ook al een ander beveiligingsprobleem zijn en een hacker moet hierbij vaak ook zeer snel handelen en doorgaans beschikken over zeer specialistische kennis. Dit terwijl het maar de vraag is of een DDoS-misleiding überhaupt effect heeft, of het platleggen van één beveiligingssysteem voldoende is om diep genoeg binnen te dringen om iets te kunnen doen.
Er is dus geen direct gevaar dat door een DDoS-aanval een hacker ongeautoriseerd toegang krijgt tot geheime of gevoelige gegevens. Ook in geval van de recente DDoS-aanvallen op de banken is er waarschijnlijk geen moment gevaar geweest voor de veiligheid van de financiële gegevens. Bij dit soort omgevingen zijn er doorgaans ook nog meerdere beveiligingssystemen bovenop en naast elkaar actief.
Een DDoS-aanval is nooit te voorkomen en nooit gegarandeerd af te weren. Wel zijn er maatregelen te nemen om de kans op DDoS-aanvallen te verkleinen en aanvallen zo goed mogelijk af te weren om de impact te verkleinen.
Schoon netwerk
Er is een duidelijke doelgroep met een vergrote kans op DDoS-aanvallen. Door deze doelgroep niet toe te staan in een netwerk of te scheiden van het netwerk van anderen gebruikers is de kans en impact te verkleinen. Doelgroepen die een vergrote kans hebben op DDoS-aanvallen zijn bijvoorbeeld gameservers, discussieforums en websites/organisaties met politieke of ideologische standpunten.
Rate limiting, capaciteit en optimalisatie
Daarnaast zijn er veel technische mogelijkheden om een aanval af te weren en de impact te verkleinen. Kleine en middelgrote aanvallen zijn vaak goed af te weren door voldoende capaciteit beschikbaar te hebben en door ‘rate limiting’ toe te passen. Hierbij worden bij een overschrijding van een bepaald aantal aanvragen, opvolgende aanvragen automatisch geblokkeerd. Ook zorgen goede configuraties en optimalisaties op alle niveau’s ervoor dat een aanvraag zo min mogelijk resources in beslag neemt, waardoor er meer aanvragen kunnen worden verwerkt alvorens er problemen kunnen ontstaan.
De Nationale Anti-DDoS Wasstraat
Grote aanvallen zijn vaak af te weren met specialistische apparatuur en grote hoeveelheden capaciteit. Nederlandse internet providers kunnen zich aansluiten bij De Nationale anti-DDoS Wasstraat (NaWas), ook Shock Media maakt gebruik van de NaWas. Hierdoor is het mogelijk wanneer men onder een DDoS-aanval ligt, de aanval af te wenden door het verkeer door de ‘wasstraat’ te sturen. Deze zal het verkeer ‘wassen’ (filteren) en daarna alleen het ‘schone’ verkeer doorsturen. DDoS-aanvallen worden steeds groter, steeds complexer en steeds specialistischer. Hierdoor blijft er altijd een ‘wapenwedloop’ tussen de aanvallers en de initiatieven, apparatuur en capaciteit om de DDoS-aanvallen af te slaan. Helemaal voorkomen en afweren zal daarom misschien wel nooit mogelijk zijn, maar gelukkig staat de ontwikkeling ook aan de kant van de good guys niet stil.
Do not negotiate!
Dreigt iemand met een DDoS? Of ligt u zelfs al onder vuur? Ga nooit in op de eisen van een aanvaller! Geen reactie is de beste reactie. Ten eerste blijft het vaak alleen bij dreigementen. De daadwerkelijke DDoS wordt nooit uitgevoerd of is goed af te weren. Reageert u er op? Dan weten ze in ieder geval dat u er kennis van heeft genomen. Een aanval is daarmee al waarschijnlijker geworden. Gaat u zelfs in op de eisen en betaalt u om een DDoS af te weren? Dan weten criminelen vanaf dat moment dat u chantabel bent. De kans is groot dat er binnen de kortste keren een nieuw dreigement komt met nieuwe en hogere eisen.
Wat kunt u dan wel doen?
Uiteraard adviseren wij altijd om aangifte te doen bij de politie en eventueel melding te maken bij het National Cyber Security Center. Wel is het helaas een feit dat bij aanvallen die op macro-economische schaal of op het gebied van nationale veiligheid weinig impact hebben, doorgaans door gebrek aan tijd en kans op rechtsvervolging, naar ons inziens te weinig aandacht krijgen van de autoriteiten.
Kies in ieder geval voor een partij die de kennis en middelen heeft om te ondersteunen bij een eventuele aanval. De impact is hiermee vaak te verkleinen of zelfs geheel tot nul te reduceren. Een aanvaller zal immers minder snel een DDoS inzetten en doorzetten als deze weet of opmerkt dat het geen of weinig resultaat boekt.
Heeft u verdere vragen? Hulp nodig? Of twijfelt u over de veiligheid of DDoS-beveiliging van uw huidige omgevingen? Neem dan gerust vrijblijvend contact met ons op!
Afgelopen weekend was het weer zo ver: de jaarlijkse Shock Media BBQ! Een evenement waar medewerkers en familieleden altijd naar uitkijken. Het was zoals altijd weer een dag vol heerlijk eten en drinken, gezelligheid voor jong en oud, en een flinke dosis sportiviteit.
Als je ooit onze supportafdeling benaderd hebt dan is de kans groot dat je hem al eens gesproken hebt, onze altijd vrolijke Technical Support Engineer met een passie voor alles wat met Linux te maken heeft. Ik heb het natuurlijk over… Sander! In deze blog stel ik hem graag aan jullie voor.
Afgelopen vrijdag stond Shock Media in het teken van snelheid, competitie en onvergetelijk plezier! Met een adrenalinekick gingen we karten tijdens ons langverwachte personeelsfeest. De avond was gevuld met spannende races, heerlijk eten en natuurlijk veel plezier.