DDoS-aanvallen: antwoord op veelgestelde vragen

Netwerk Solutions Providers zoals signetbreedband hebben dagelijks te maken met een (Distributed) Denial-of-Service-aanval (DDoS-aanval). Hierbij wordt de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur aangevallen. Het resultaat van deze aanval is dat diensten slecht of helemaal niet meer bereikbaar zijn voor medewerkers of klanten. Dit kan leiden tot grote (imago)schade. Het vormt een reële dreiging voor alle organisaties met onlinedienstverlening, zoals websites, waarvan de continuïteit van belang is (zie ook: https://www.ncsc.nl/onderwerpen/ddos).

Met onze maatregelen zijn we gelukkig in staat de meeste aanvallen in een vroeg stadium te detecteren en af te vangen zodat je hier als klant niets van merkt. Bovendien bieden we onze klanten standaard DDoS-bescherming aan bij het afnemen van een internetverbinding. Op deze manier kunnen we ons netwerk zo goed mogelijk wapenen tegen DDoS-aanvallen. Helaas is het nooit helemaal uit te sluiten dat je als klant hinder ondervindt van een grootschalige aanval. Welke type DDoS-aanvallen zijn er? Wat kun je er zelf tegen doen en wat doet signetbreedband om je hiertegen te beschermen? In dit artikel geven we antwoord op veelgestelde vragen over dit onderwerp.

Wat is een DDoS-aanval?

Het verschil tussen een 'gewone' DoS-aanval en een Distributed DoS-aanval is dat in het laatste geval meerdere systemen tegelijk worden ingezet om de aanval op hun doelwit uit te voeren.

DDoS-aanvallen worden ingezet om computernetwerken of diensten onbereikbaar te maken voor eindgebruikers. Dit gebeurt door de infrastructuur van het slachtoffer met internetverkeer te overbelasten. Alhoewel een DDoS-aanval meestal het onbereikbaar maken van een website als doel heeft, komt het ook voor dat de aanval iets anders moet maskeren. Want waar het vooral vervelend is dat u tijdelijk offline bent, is het van een andere orde als kritieke infrastructuren als energiecentrales niet meer bestuurbaar blijken te zijn. De aanvallers kunnen met een DDoS-aanval voor afleiding zorgen om de echte misdaad te maskeren, die tijdens of pas na de aanval plaatsvindt. 

Er zijn veel verschillende redenen voor criminelen om dit soort aanvallen uit te voeren. Soms worden DDoS-aanvallen uitgevoerd enkel en alleen voor de lol, de aanvallers willen hiermee hun krachten laten zien of het gebeurt uit wraak. Maar een van de meest voorkomende motieven is afpersing. 

Hoe werkt een DDoS-aanval?

Bij een DDoS-aanval wordt er gebruikgemaakt van specifieke software (flooders en bots) om snel achter elkaar veel verkeer te sturen naar een bepaalde doellocatie. Een dergelijke aanval wordt uitgevoerd door software op vele, vaak duizenden, "gehackte" servers en onveilige randapparatuur die veelal niet terug te herleiden zijn naar een enkel punt. Wanneer er miljoenen simultane verbindingen gemaakt worden, is het een kwestie van tijd voordat de bestemming het aantal verzoeken niet meer aan kan.

Welke type DDoS-aanvallen zijn er?

Er zijn veel typen DDoS-aanvallen en elk type aanval kent zijn eigen specifieke aanvalsmethode. In de praktijk kun je de meeste aanvallen ruwweg verdelen in drie categorieën. Zie ook de informatie hierover op tweakers.net.)

1. Op volume gebaseerde aanvallen, die de bandbreedte van de infrastructuur opslokt.
2. Protocolaanvallen, die zich vooral richten op hard- en software die op servers draait, zoals firewalls of load balancers.
3. Aanvallen op de application layer.

Volumetrische aanval
De meeste aanvallers gebruiken een methode waarbij grote hoeveelheden dataverkeer de kant van het slachtoffer op gestuurd worden. De hoop is dat de verbinding van het slachtoffer met het internet volloopt en de aangevallen site of dienst niet meer te gebruiken is. De meeste DDoS-aanvallen vinden plaats door het inzetten van geïnfecteerde apparatuur. Het meest bekende hulpmiddel hierbij is een botnet. Een botnet is een verzameling computers die op afstand kan worden ingezet. De eigenaren van deze computers zijn vaak niet op de hoogte van het feit dat hun computer onderdeel uitmaakt van het botnet, gezien de computer vaak stiekem via een trojanhorse-aanval wordt geïnfecteerd.

Op deze manier heeft de aanvaller soms wel duizenden computers ter beschikking om een DDoS-aanval gericht uit te voeren. De omgeving van het slachtoffer wordt dan via speciale software door alle computers tegelijk bestookt met ongewenst dataverkeer. Deze manier van het versterken van een aanval is nog steeds zeer populair, omdat er talloze geïnfecteerde systemen bestaan die kunnen worden ingezet. Ook de enorme toename van slecht beveiligde randapparatuur zoals routers of internet-of-things-apparaten die vaak een zwak standaardwachtwoord hebben en op verouderde software draaien, draagt bij aan de populariteit van deze methode.

Amplificationaanval
Een speciaal type binnen deze categorie die we steeds vaker zien is de amplificationaanval. Veruit de meeste volumetrische DDoS-aanvallen worden uitgevoerd door gebruik te maken van een zogenaamde amplification attack. Deze aanvallen richten zich met name op de vitale infrastructuur van organisaties en maken gebruik van standaard UDP-floodtechnieken. 

DNS-amplificatie is een soort reflectieaanval die publiekelijk toegankelijke domeinnaamsystemen manipuleert, waardoor ze een doelwit overspoelen met grote hoeveelheden UDP-pakketten. Door verschillende versterkingstechnieken te gebruiken, kunnen daders de omvang van deze UDP-pakketten "opblazen", waardoor de aanval zo krachtig wordt dat zelfs de meest robuuste internetinfrastructuur wordt neergehaald.

Het inzetten van een set van meerdere amplificatiefactoren heeft vanuit het oogpunt van de aanvaller twee voordelen:

1. Het is makkelijker om een grote hoeveelheid kwetsbare servers te vinden, waardoor de aanvallen groter worden.
2. DDoS-filtering vindt (gechargeerd) plaats door per type verkeer aan te geven wat de thresholds zijn. Zet je die te laag, dan heb je de kans dat je legitiem verkeer blokkeert, en zet je die te hoog, dan ondervind je last van de aanvallen. Door heel veel verschillende soorten verkeer te gebruiken, kunnen ze grotere aanvallen uitvoeren, terwijl ze minder kans hebben om de thresholds te overstijgen.

Protocolaanval
Dit type aanval is met name bedoeld om bronnen van een aangesloten apparaat te verbruiken. Denk daarbij bijvoorbeeld aan de state table van een firewall; hierin worden alle connecties vanuit het internet naar het interne netwerk in de gaten gehouden. Zodra het aantal connecties buitensporig toeneemt, zal de firewall deze niet meer af kunnen handelen of nieuwe accepteren. Dit leidt tot een blokkade van het verkeer. Dit type aanval is dus met name gericht op zwakke plekken in de protocolstack van apparatuur zoals firewalls, routers en servers. Onder dit soort aanvallen vallen onder andere SYN floods en ICMP floods.

Application-layeraanval
In het geval van application-layer aanvallen wordt een applicatie direct aangevallen. Vaak wordt er in dit geval gebruikgemaakt van een misconfiguratie, bug of functie die veel rekenkracht kost, waardoor een request resulteert in een grote hoeveelheid resourcegebruik door de applicatie. Door deze kwetsbaarheid veelvuldig aan te roepen kan de applicatie of de server vastlopen, of soms volledig crashen. Vaak zijn deze aanvallen minder groot in volume, waardoor ze op netwerkniveau moeilijker te detecteren of blokkeren zijn. Het oplossen van de problemen in de functie en rate limiting zijn mogelijkheden om dergelijke aanvallen te mitigeren.
 

Wat kun je doen tegen DDoS-aanvallen?

Als je wil voorkomen dat jouw bedrijf slachtoffer wordt van een DDoS-aanval, of om de gevolgen hiervan zoveel mogelijk wilt beperken, stem dan je beveiligingsmaatregelen af met uw systeembeheerder, serviceprovider of een extern ICT-bedrijf.

• Ga bij alle interne infrastructuur na welke maatregelen al genomen zijn en pas indien nodig technische maatregelen toe.
• Zorg dat er naast de primaire internetbron een out-of-bandverbinding naar het datacenter is geopend zodat u passende anti-DDoS-maatregelen kan blijven treffen.
• Bereid een incidentresponsplan voor en denk na over failoverscenario's van je onlinediensten. Zorg dat de relevante scenario’s zijn voorbereid en zorg dat de relevante contactpersonen bereikbaar zijn.
• Onderzoek of mitigatie via een wasstraat zoals de NaWas-straat van Nationale Beheersorganisatie Internet Providers (NBIP) mogelijk is.
• Voor de bescherming van een enkele website kan eventueel een dienst als Cloudflare een oplossing bieden.

Zie ook de factsheet die het Nationaal Cyber Security Centrum (NCSC) hiertoe ter beschikking heeft gesteld.

Wat doet signetbreedband tegen DDos-aanvallen?

Gelukkig sta je niet helemaal machteloos tegenover een aanvaller. signetbreedband stelt alles in het werk om mogelijke aanvallen te detecteren en af te vangen. We maken hierbij gebruik van een netwerkdata-analysecluster, welke (metadata van) het binnenkomende verkeer analyseert om afwijkende patronen te herkennen. Op het moment dat er een aanval of bedreiging wordt gesignaleerd, grijpt ons Anti-DDoS-platform in (zie figuur 1 voor een schematische weergave van de werking). We leiden dan al het verkeer om naar de Nationale Wasstraat (NaWas). Hier wordt het ‘vuile’ verkeer weggespoeld en wordt het legitieme verkeer bij uw server of netwerk afgeleverd. Hierdoor blijft jullie site of dienst in de meeste gevallen online ondanks een aanval. 

We zien het ook als onze verantwoordelijkheid om de risico’s tot een minimum te beperken. Zo zorgen we ervoor dat onze internetverbinding(en) voldoende groot zijn en dat onze netwerken dit verkeer ook daadwerkelijk kunnen verwerken. We hebben daarom ook onze belangrijke netwerken gescheiden. Onze beheernetwerken zijn bijvoorbeeld fysiek gescheiden van de productienetwerken. Op het moment dat er een DDoS-aanval plaatsvindt op het productienetwerk, interfereert deze niet met ons beheer. Hierdoor kunnen wij tijdens een aanval gewoon doorgaan om deze aanval af te slaan zodat de gevolgen voor jou als klant tot een minimum worden beperkt. 

Null routing of blackholing

Als een aanval veel 'collateral damage' geeft aan andere klanten kunnen we ook overgaan op null routing, of blackholing. Net als bij de NaWas, sturen we een bericht naar de isp, maar in plaats van omleiden, geven we aan dat al het verkeer weggegooid (drop) moet worden.

Ik neem een anti-DDoS-dienst af maar ben toch geraakt?

Internetserviceproviders, waaronder signetbreedband, worden dagelijks geconfronteerd met DDoS- aanvallen, gericht op klanten. Wij bieden standaard DDoS-bescherming aan. Deze dienst beschermt tegen aanvallen waardoor je in de meeste gevallen geen hinder ondervindt.

Een grootschalige DDoS-aanval, gericht op de infrastructuur van de internetserviceprovider, met een extreme schaal heeft impact op de gehele dienstverlening van de isp. Wij doen ons uiterste best om ons netwerk hiertegen te wapenen maar helaas is dit nooit uit te sluiten. 

Wat is het verschil tussen een standaard-DDoS-bescherming en DDoS-scrubbing?

Onze standaard-DDoS-bescherming bestaat uit het detecteren op basis van analyse op dataverkeer door middel van complexe, zelflerende algoritmes. Indien een DDoS-aanval zich richt op u als klant, zal de standaard-DDoS-bescherming het doel-IP-adres filteren, waardoor deze onbereikbaar wordt voor het internet. Uw overige IP-adressen blijven daardoor bereikbaar.

Afhankelijk van het type aanval en (met name) het volume hiervan, zijn we in staat om specifiek verkeer te filteren op ons core-netwerk en de rest door te laten. Dit is echter enkel mogelijk bij specifieke protocolgebaseerde aanvallen en niet bij volumetrische aanvallen. Voor die laatste categorie hebben we onze uitgebreide anti-DDoS-dienst. Onze specialisten vertellen je hier graag meer over.

Collectieve bestrijding

Met deze maatregelen zijn we in staat om de aanvallen in de meeste gevallen af te slaan zodat onze klanten geen of nauwelijks hinder ondervinden. Vanwege de omvang van de aanvallen op ons en de impact op de gehele Nederlandse internetinfrastructuur, werken verschillende disciplines samen en delen we onze kennis met de Nederlandse politie en het Nationaal Cyber Security Centrum (NCSC) die verder onderzoek doen.

Alleen door veel informatie te verzamelen en met elkaar te delen kunnen we dit soort aanvallen de kop indrukken. Een mooi initiatief hierin is De nationale anti-DDoS-coalitie. Het samenwerkingsverband tegen DDoS-aanvallen bestaat uit zeventien organisaties waaronder overheden, internetproviders, internet exchanges, academische instanties, non-profitorganisaties en banken. De coalitie heeft als doel om DDoS vanuit verschillende hoeken te onderzoeken en bestrijden.

Naast het informatie verzamelen is kennisoverdracht essentieel. SIDN Labs en SURF hebben onlangs een nieuwe versie uitgebracht van de DDoS Clearinghouse-in-a-Box, een systeem waarmee netwerkoperators door middel van ‘DDoS fingerprints’ automatisch informatie kunnen delen over de DDoS-aanvallen die ze te verwerken krijgen.

Door samen te werken moet het lukken om uiteindelijk DDoS-aanvallen terug te dringen of te stoppen.

Blijf alert!

Veel DDoS-aanvallen worden voorafgegaan door een afpersingsmail. Uit naam van een statelijke actor (bijvoorbeeld Armada Collective, CozyBear, Fancy Bear, Lizard Squad, Lazarus Group) wordt een e-mail gestuurd waarin Bitcoins worden geëist in ruil voor veiligheidsgarantie. Als je zo’n mail ontvangt neem dan direct contact op met je serviceprovider en reageer niet op het dreigement. Bij twijfel, neem gerust contact met ons op.

Heb je nog vragen? Onze experts staan voor je klaar met deskundig advies.