DDos protectie

Het niet beschikbaar zijn van jouw website, platform of netwerk kan behoorlijke gevolgen hebben. Naast het feit dat klanten geen gebruik kunnen maken van jouw diensten of bestellingen kunnen plaatsen en je inkomsten kunt mislopen, kan een onbereikbaar netwerk of platform ook imagoschade opleveren. Wanneer je doelwit wordt van een DDoS-aanval (Distributed Denial of Service), probeert de aanvaller jouw netwerk of website te overspoelen met verkeer waardoor er een verkeersopstopping ontstaat en legitieme gebruikers je niet kunnen bereiken. Gelukkig kun je jezelf beschermen met DDoS protectie.

DDos bescherming door Signetbreedband

Gelukkig sta je niet helemaal machteloos tegenover een aanvaller. signetbreedband stelt alles in het werk om mogelijke aanvallen te detecteren en af te vangen. We maken hierbij gebruik van een netwerkdata-analysecluster, welke (metadata van) het binnenkomende verkeer analyseert om afwijkende patronen te herkennen. Op het moment dat er een aanval of bedreiging wordt gesignaleerd, grijpt ons Anti-DDoS-platform in (zie figuur 1 voor een schematische weergave van de werking). We leiden dan al het verkeer om naar de Nationale Wasstraat (NaWas). Hier wordt het ‘vuile’ verkeer weggespoeld en wordt het legitieme verkeer bij uw server of netwerk afgeleverd. Hierdoor blijft jullie site of dienst in de meeste gevallen online ondanks een aanval. 

We zien het ook als onze verantwoordelijkheid om de risico’s tot een minimum te beperken. Zo zorgen we ervoor dat onze internetverbinding(en) voldoende groot zijn en dat onze netwerken dit verkeer ook daadwerkelijk kunnen verwerken. We hebben daarom ook onze belangrijke netwerken gescheiden. Onze beheernetwerken zijn bijvoorbeeld fysiek gescheiden van de productienetwerken. Op het moment dat er een DDoS-aanval plaatsvindt op het productienetwerk, interfereert deze niet met ons beheer. Hierdoor kunnen wij tijdens een aanval gewoon doorgaan om deze aanval af te slaan zodat de gevolgen voor jou als klant tot een minimum worden beperkt. 

Null routing of blackholing

Als een aanval veel 'collateral damage' geeft aan andere klanten kunnen we ook overgaan op null routing, of blackholing. Net als bij de NaWas, sturen we een bericht naar de isp, maar in plaats van omleiden, geven we aan dat al het verkeer weggegooid (drop) moet worden.

Wat is het verschil tussen een standaard-DDoS-bescherming en DDoS-scrubbing?

Onze standaard-DDoS-bescherming bestaat uit het detecteren op basis van analyse op dataverkeer door middel van complexe, zelflerende algoritmes. Indien een DDoS-aanval zich richt op u als klant, zal de standaard-DDoS-bescherming het doel-IP-adres filteren, waardoor deze onbereikbaar wordt voor het internet. Uw overige IP-adressen blijven daardoor bereikbaar.

Afhankelijk van het type aanval en (met name) het volume hiervan, zijn we in staat om specifiek verkeer te filteren op ons core-netwerk en de rest door te laten. Dit is echter enkel mogelijk bij specifieke protocolgebaseerde aanvallen en niet bij volumetrische aanvallen. Voor die laatste categorie hebben we onze uitgebreide anti-DDoS-dienst. Onze specialisten vertellen je hier graag meer over.

Collectieve bestrijding

Met deze maatregelen zijn we in staat om de aanvallen in de meeste gevallen af te slaan zodat onze klanten geen of nauwelijks hinder ondervinden. Vanwege de omvang van de aanvallen op ons en de impact op de gehele Nederlandse internetinfrastructuur, werken verschillende disciplines samen en delen we onze kennis met de Nederlandse politie en het Nationaal Cyber Security Centrum (NCSC) die verder onderzoek doen.

Alleen door veel informatie te verzamelen en met elkaar te delen kunnen we dit soort aanvallen de kop indrukken. Een mooi initiatief hierin is De nationale anti-DDoS-coalitie. Het samenwerkingsverband tegen DDoS-aanvallen bestaat uit zeventien organisaties waaronder overheden, internetproviders, internet exchanges, academische instanties, non-profitorganisaties en banken. De coalitie heeft als doel om DDoS vanuit verschillende hoeken te onderzoeken en bestrijden.

Naast het informatie verzamelen is kennisoverdracht essentieel. SIDN Labs en SURF hebben onlangs een nieuwe versie uitgebracht van de DDoS Clearinghouse-in-a-Box, een systeem waarmee netwerkoperators door middel van ‘DDoS fingerprints’ automatisch informatie kunnen delen over de DDoS-aanvallen die ze te verwerken krijgen.

Door samen te werken moet het lukken om uiteindelijk DDoS-aanvallen terug te dringen of te stoppen.

Heb je nog vragen? Onze experts staan voor je klaar met deskundig advies.