DDoS-aanvallen: waar komen ze vandaan en hoe kan je ze stoppen?

Een DDoS-aanval is geen hack, maar dat is een schrale troost wanneer je website uren of zelfs dagenlang onbereikbaar is. Waar komen zo’n aanvallen vandaan, wie zit erachter, maar vooral: hoe kan je bedrijf zich ertegen wapenen?

“Het opzet van een DDoS-aanval is om een dienst onbereikbaar te maken en economische schade aan te brengen”, zegt Wesley Hof, CTO bij hostingspecialist Combell. Zijn bedrijf heeft de complexe opdracht om websites van klanten toegankelijk te houden, ook als ze getroffen worden door zo’n Distributed Denial of Service-aanval.

DDoS-aanvallen worden populairder, maar wat is een DDoS-aanval nu precies? Hof wijst eerst en vooral op het belangrijke verschil tussen DDoS en een klassieke hack. “Bij een gewone hack breekt iemand met slechte bedoelingen binnen met een bepaald doel. Vaak is dat om op de één of andere manier aan de gevoelige data te geraken van een bedrijf. Hackers kunnen dan de data stelen, of versleutelen en en dan losgeld vragen om dat weer ongedaan te maken.”

Wie het slachtoffer wordt van malware en hackers, heeft te maken met een echte digitale inbraak. Iets of iemand is voorbij de beveiliging geraakt via een bug of een menselijke fout en verwierf zo toegang tot bepaalde systemen. Dat staat in contrast met een DDoS-aanval, die je eigenlijk geen hack mag noemen.

File op de snelweg

Een DDoS-aanval raakt niet aan de integriteit van onlinediensten zelf, maar blokkeert de weg ernaartoe. Hof verduidelijkt met een analogie. “Stel dat klanten je bedrijf fysiek via de weg willen bezoeken. Je kantoor is bijvoorbeeld bereikbaar via de autosnelweg. Wanneer er te veel verkeer op die snelweg is, raakt die verzadigd, vormt er file en staat het verkeer uiteindelijk muurvast. De klant raakt er niet meer door en komt niet tot aan je bedrijf.”

Digitaal is de situatie gelijkaardig. Onlinediensten zijn met elkaar verbonden via connecties met een variabele capaciteit: wegen en snelwegen. DDoS-aanvallen hebben als opzet om de connectie naar een dienst te verzadigen met nutteloze verzoeken, zodat een legitieme bezoeker er evenmin doorgeraakt. Om je een idee te geven: recent blokkeerde Akamai de grootste DDoS-aanval ooit in Europa. Die genereerde zo’n 853 Gbps aan dataverkeer in een poging de connectie naar het doelwit onbereikbaar te maken.

Schieten met een botnet

Om een DDoS-aanval uit te voeren, heeft een aanvaller dus geen toegang nodig tot de systemen van het doelwit. Wel moeten criminelen voldoende capaciteit hebben om de snelweg naar hun slachtoffer te verzadigen. “Dat krijgen ze via wat in de volksmond een botnet heet”, weet Hof. “’Dat is een zombienetwerk bestaande uit toestellen, zoals computers en servers, die wel gehackt zijn maar zonder dat de eigenaar dat beseft. Op commando sturen duizenden of zelfs miljoenen gehackte toestellen hun connectieverzoeken naar het doelwit van een aanval, dat zo onbereikbaar wordt.”

Omdat de aanval van verschillende toestellen over de hele wereld komt, spreken we van een gedistribueerde aanval. “Gewone DoS-aanvallen komen eigenlijk niet meer voor”, stelt Hof vast. “Het is al decennia geleden dat ik er nog één gezien heb. Niet-gedistribueerde aanvallen komen moeilijk aan voldoende capaciteit om succes te boeken, en zijn bovendien eenvoudiger te traceren.”

Ideologie boven geldgewin

Omdat DDoS-aanvallen geen kwetsbaarheid bij het doelwit zelf uitbuiten, kan iedereen in theorie slachtoffer zijn. Toch ziet Hof een patroon: “DDoS-aanvallen worden meer vanuit een ideologische overtuiging uitgevoerd, in contrast met een klassiek hack waar een crimineel geld wil verdienen. Als resultaat daarvan zien we een toegenomen DDoS-risico voor extremere politieke partijen aan beide kanten van het spectrum, zaken die met religie te maken hebben of andere uitgesproken meningen.”

DDoS-aanvallen worden meer vanuit een ideologische overtuiging uitgevoerd.

Wesley Hof, CTO Combell

Dat wil niet zeggen dat er nooit een economische drijfveer is voor aanvallers. Zij kunnen een dwangsom eisen van slachtoffers om de DDoS-aanval te laten ophouden. “Dat gebeurt voornamelijk bij grotere bedrijven waar de aanvallers het gevoel hebben dat het slachtoffer snel zou overgaan tot betaling, zoals verzekeringsmaatschappijen of banken.”

Beschermen of isoleren?

Snel patchen en een goed beveiligingsbeleid beschermen je tegen klassieke hacks, maar wat kan je nu doen tegen een DDoS-aanval? “Eerst en vooral moet je toegang naar het internet breed genoeg zijn”, zegt Hof. “Op een smalle autosnelweg zit het verkeer snel vast.” De connectiviteit naar het internet heb je als bedrijf doorgaans niet in eigen beheer, wat meteen de reden is waarom we met de CTO van Combell op de digitale koffie gaan. DDoS-mitigatie gebeurt immers voor een groot stuk bij de hostingprovider.

“Sommige providers kiezen ervoor om tijdens een DDoS-aanval het slachtoffer tijdelijk te isoleren”, weet Hof. Zo ondervinden andere klanten van dezelfde provider geen hinder, maar is het doelwit wel digitaal onbereikbaar wat natuurlijk het doel van de aanvallers is.” Combell probeert klanten steeds toegankelijk te houden en gebruikt daarvoor een set aan tools die meteen duiden hoe je een DDoS-aanval kan overwinnen.

Privésnelweg

De grote internetpijp neemt voor de provider de vorm aan van een backbone onder eigen beheer met peering naar grote spelers. Hof: “Bij een grote DDoS-aanval vanop het internet ondervindt het verkeer tussen ons en grote Belgische providers geen impact. We hebben een soort privé-snelweg, peering genaamd, die niet afhankelijk is van het internet.” Die grote capaciteit met alternatieve routes maakt het al moeilijk voor DDoS-aanvallers om websites onderuit te halen. Ze hebben wel erg veel auto’s nodig om het verkeer naar klanten op de knieën te krijgen.

Verder heeft Combell een grote zichtbaarheid over zijn netwerk. “Wanneer netwerkverkeer onregelmatig toeneemt, hebben we dat meteen gezien en kunnen we direct actie ondernemen.” Filters in dat eigen netwerk blokkeren dan het DDoS-verkeer zodat die de eindklant niet bereikt. Daardoor is een DDoS-aanval op een klant van Combell in essentie een aanval op de provider zelf. Het is de capaciteit van de hostingpartij die een aanvaller onderuit moet krijgen. Dat kost wat: Combell investeert de facto in een enorm overschot aan netwerkcapaciteit om enorme pieken door DDoS-aanvallen de baas te kunnen.

Tijdelijke omleiding

Natuurlijk is ook die capaciteit niet oneindig. Wordt de stortvloed aan pakketjes te groot, dan activeert Combell zijn scrubbing service. In dat geval wordt het verkeer richting het slachtoffer opnieuw gerouteerd langs een gespecialiseerde partner met een enorme doorvoercapaciteit. Die haalt de slechte pakketjes eruit en laat de goede door.

Het verkeer wordt al op providerniveau omgeleid naar de enorme snelweg van de scrubbing-partner, zodat Combell zelf gevrijwaard blijft. Op die manier lukt het steeds om geviseerde partijen online te houden. “Al is de realiteit wel dat we nooit honderd procent zeker kunnen zijn”, zegt Hof nederig. De DDoS-bescherming verloopt automatisch en proactief, en is tot op een zeker niveau inbegrepen. “Dagelijks zien we meerdere DDoS-aanvallen, van klein tot middelgroot. Daarvoor moeten we geen actie ondernemen. Niet alles moet gescrubd worden.”

Dagelijks zien we meerdere DDoS-aanvallen, van klein tot middelgroot.

Wesley Hof, CTO Combell

Scrubbing is wel een betaalde dienst, al is het niet zo dat Combell een klant zal laten verkommeren bij een eerste aanval. “Wanneer nodig activeren we de dienst en zorgen we dat alles in orde is. Als de aanvallen blijven duren, zitten we wel samen met de klant.”

Als eindgebruiker kan je ook je steentje bijdragen. “Next-gen firewalls en webapplicatie-firewalls helpen bij de afhandeling van een DDoS-aanval. Bescherming gebeurt altijd over meerdere lagen.”

Storm om te trotseren

Uiteindelijk kan iedereen geviseerd worden door DDoS-aanvallen, ongeacht de grootte van je bedrijf. Wat er dan gebeurt, hangt voor een groot stuk af van de partij die je connectie met het internet verzekert. In het slechtste geval wordt je website tijdelijk offline gehaald om partijen te beschermen die dezelfde hostingprovider delen. Daar staat Hof zelf zoals gezegd niet achter, omdat het in de kaarten speelt van de aanvallers. In het beste geval gebeurt er helemaal niets, met dank aan mitigatie, een grote digitale snelwegcapaciteit en scrubbing via gespecialiseerde partijen.

Een DDoS-aanval stoppen, dat kan helaas niet. De DDoS-aanval zelf is een storm, al wat je kan doen is je best doen om het hoofd boven water te houden. Vroeg of laat gaat de storm immers liggen. Hof: “Aanvallers nemen zelf ook een risico door een groot botnet op een slachtoffer af te sturen.” Grote en gevaarlijke botnets worden immers actief gezocht en indien mogelijk geneutraliseerd. Dat gebeurde vorig jaar nog met het Emotet-botnet.”

Stijgend gevaar

In de praktijk zijn Belgische hostingproviders en hun klanten daarom niet de voorkeursdoelwitten van de gevaarlijkste organisaties. “Wij zitten niet in de doelgroep”, ziet Hof. “Onze klanten zijn niet attractief genoeg voor de aanvallers. Facebook en Microsoft zijn dat misschien wel.”

Langs de andere kant worden aanvallen steeds groter. Net als in alle andere vlakken van security is DDoS-beveiliging een kat- en muisspel. De capaciteit van DDoS-aanvallen neemt alsmaar toe, dus moet de capaciteit van de verdedigingsmechanismen er ook op vooruitgaan. Voorlopig lijkt dat aardig te lukken.

Bron

Dit artikel werd geschreven door ITdaily en verscheen eerst op hun blog.