In deze blogpost willen we wat dieper ingaan op de impact van DDoS-aanvallen op uptime. Als we spreken over veiligheid en uptime, is de DDoS-aanval immers een van de grootste problemen. Net omdat het enige doel is om een website gedurende een bepaalde periode offline te halen.<\/p>\n
Dat kan door het slachtoffer \u2013 vaak een bepaalde webserver<\/a>, router of firewall \u2013 zoveel (crimineel) verkeer te laten verwerken dat hij zijn normale taak niet meer kan vervullen en uiteindelijk offline gaat.\u00a0 Vergelijk het met het bewust cre\u00ebren van een file op een snelweg, waarbij de bestemming (tijdelijk) onbereikbaar is omdat de weg ernaar toe hopeloos volzet is.<\/p>\n Ze kunnen onderdeel uitmaken van een afpersingsplan waarbij de misdadigers ervoor zorgen dat je website of netwerk (regelmatig) onbereikbaar is zolang je geen losgeld betaalt.<\/p>\n Maar DDoS-aanvallen worden soms ook gebruikt als afleiding. Een DDoS-aanval is het ideale moment voor hackers om zich een weg naar binnen te forceren, omdat de aandacht vooral gaat naar het voorkomen van de aanval.<\/p>\n Sommige DDoS-aanvallen gebeuren dan weer op bestelling. Bepaalde organisaties of bedrijven hebben er immers voordeel mee dat andere bedrijven of organisaties (tijdelijk) onbereikbaar zijn. Misdadigers spelen daar graag op in en bieden via duistere websites hun diensten aan. Een DDoS-aanval bestellen is niet moeilijk en zelfs niet duur.<\/p>\n En tenslotte zijn er de scriptkiddies: misnoegde tieners, actiegroepen, protestbewegingen, enz. die een script downloaden of een duistere organisatie enkele tientallen euro\u2019s betalen om een uur lang eender welke website neer te halen.<\/p>\n Lees ook:<\/strong> Het economisch model en de geschiedenis achter een DDoS-aanval<\/a><\/p>\n<\/div>\n DDoS-bescherming moet intelligent zijn, omdat het meeste DDoS-verkeer amper te onderscheiden is van legitiem verkeer. Het is dus geen zwart-wit keuze, maar een speelveld met meer dan 50 tinten grijs. Om je te beschermen tegen DDoS-aanvallen is een heuristieke aanpak nodig, waarbij je werkt met patroonherkenning.<\/p>\n Een bepaald aantal\u00a0ping requests<\/em>\u00a0naar een server is bijvoorbeeld normaal, maar vanaf een hoger aan wordt het verdacht. Omdat de meeste van die grenzen relatief zijn, vergt het dus ingewikkelde software om de juiste beslissingen te nemen. Bovendien moet die software deze ingewikkelde beslissingen nemen tijdens een stortvloed van verkeer.<\/p>\n Tegelijk moet ook het netwerk enorm uitgebouwd zijn. Wat baat het immers om aan jouw kant van de lijn werkende DDoS-bescherming te hebben, als er op je 1 Gbps- lijn 40 Gbps staat de drummen om binnen te mogen? Uit onze eigen cijfers bij Nucleus blijkt dat ongeveer 80% van de aanvallen kleiner is dan 5 Gbps. Maar we zien wel een groeicurve. Vandaag is een 10 Gbps-aanval geen uitzondering meer. Er zijn wereldwijd zelfs al aanvallen van 400 Gbps gemeld.<\/p>\n De combinatie van complexe heuristische software met een nood aan rekenkracht en de uitbouw van een supernetwerk, maakt dat anti-DDoS tools niet goedkoop zijn.<\/p>\n De vraag is dan ook vooral hoe ver je wil gaan in je bescherming tegen DDoS-aanvallen. De kenmerken van een DDoS-aanval zorgen er immers voor dat er geen echt sluitende oplossing is. Wat is dan beter? Je met een beperkt budget 95% van de tijd beschermen? Of een enorm budget besteden aan veiligheid tijdens 99,99% van de tijd. Een overzicht van enkele alternatieven\u2026<\/p>\n De makkelijkste oplossing is blackholing. Blackholing<\/em> is de meest gebruikte \u2018bescherming\u2019 tegen DDoS-aanvallen. Daarbij haal je het IP-adres dat aangevallen wordt tijdelijk offline. Alle verkeer naar het slachtoffer wordt op dat moment in een \u2018zwart gat\u2019 gestopt. Zo maak je het doel onbereikbaar, waardoor de aanval in de meeste gevallen vanzelf stopt. Na de aanval kan je dan het IP-adres meteen terug online brengen.<\/p>\n Blackholing betekent dus dat we de aanvaller zijn zin geven en zijn doel onbereikbaar maken. Dit gebeurt in de hoop dat hij daardoor voldoende pluimen op zijn hoed kan steken en stopt met de aanval. Aangezien de meeste DDoS-aanvallen het werk zijn van\u00a0script kiddies<\/em>, is dit vaak effectief. Daarnaast probeer je via blackholing de aanvaller zelf in zijn portemonee te raken: een botnet gebruiken kost immers geld. De vraag is dus hoeveel geld de tegenpartij kan en wil blijven spenderen om je aan te vallen.<\/p>\n Blackholing is de zwakste vorm van \u2018bescherming, want als de aanvaller koppig is en voldoende middelen heeft, blijf je lange tijd offline. Dat is geen bescherming in de strikte zin van het woord, maar het kan vaak de downtime toch beperken. Wil je echt bescherming tegen DDoS-aanvallen, dan moet je kiezen voor mitigation.<\/p>\n Een betere vorm van DDoS-bescherming is\u00a0mitigation<\/em>. Mitigation maakt gebruik van een reeks filters die het normale verkeer scheidt van verkeer afkomstig van botnets en gekaapte browsers. Dat gebeurt door de vergelijking van signatures en een grondig onderzoek van de verschillende onderdelen van het verkeer, zoals IP-adressen, cookie-variaties, HTTP headers en Javascript footprints.<\/p>\n Vergelijk het met een carwash: al het verkeer gaat de wasstraat in en al het vuil wordt weggespoeld. Enkel het propere verkeer komt de carwash uit. Dat gebeurt dus middels de eerder besproken heuristische software, die bliksemsnel op basis van patronen intelligente beslissingen neemt over al dan niet legitiem verkeer. Vandaag zijn er al gespecialiseerde aanbieders als\u00a0Incapsula<\/a>\u00a0en\u00a0Akamai<\/a>\u00a0die mitigation-as-a-service aanbieden. Zij spelen als het ware carwash voor het \u2018propere\u2019 verkeer jouw richting uit gestuurd wordt.<\/p>\n Kies bij mitigation best voor een in-line oplossing waarbij alle verkeer via de filters passeert. Veel oplossingen gebruiken immers een systeem waarbij af en toe een deel van het verkeer gerouteerd wordt naar een externe server voor een steekproef. Het grote pluspunt van een in-line oplossing is dat DDoS-aanvallen sneller gedetecteerd worden en je verkeer nooit gerouteerd wordt naar een onbekende server. Vergeet ook niet te checken of een oplossing ook applicatielaag-aanvallen (op laag 7) kan opsporen, want die zijn vaak klein en moeilijk vindbaar. Daarom houden ze een flink veiligheidsrisico in.<\/p>\n Er wordt ook vaak gesuggereerd dat Content Delivery Networks (CDN) een oplossing vormen tegen DDoS-aanvallen. CDN zijn immers ontworpen om wereldwijd een netwerk aan proxies te beheren, zodat zeer druk bezochte websites permanent online blijven. Aangezien CDN ontworpen zijn om zeer veel verkeer aan te kunnen, kunnen ze dus een hulp vormen in de strijd tegen DDoS.<\/p>\n Maar CDN bestaan in heel wat vormen en enkele kenmerken van CDN\u2019s zorgen ervoor dat ook zij kwetsbaar blijven voor DDoS-aanvallen. Stel dat je bijvoorbeeld een CDN hebt dat enkel de statische content van je website in de cache houdt en de dynamische onderdelen toch real time van je webserver haalt. Dan blijft het vrij simpel om een aanval op te zetten die zich net op die stukken richt die niet door het CDN worden afgehandeld.<\/p>\n CDN kunnen het aanvallers dus moeilijker maken, maar het ziijn geen anti-DDoS oplossingen.<\/p>\n Bij de meeste oplossingen kies je zelf voor welk volume van bandbreedte je je wil beveiligen. Je bepaalt dus zelf \u2013 op basis van je budget en een risicoanalyse \u2013 hoe sterk je DDoS-bescherming moet zijn.<\/p>\nWaarom DDos?<\/strong><\/h2>\n
![\"Waarom](\"https:\/\/www.combell.com\/nl\/blog\/files\/Waarom-DDoS-aanvallen.png\" "\\"Waarom")
DDoS-aanvallen zijn om een aantal andere redenen interessant voor degenen die ze uitvoeren.<\/p>\nBescherming tegen DDos?<\/strong><\/h2>\n
![\"Hoe-beschermen-tegen-DDoS\"](\"https:\/\/www.combell.com\/nl\/blog\/files\/Hoe-beschermen-tegen-DDoS.jpg\" "\\"Hoe-beschermen-tegen-DDoS\\"")
Het grote probleem bij elke DDoS-aanval is dat er met relatief weinig middelen grote schade kan aangericht worden. Niet enkel door de tijdelijke onbeschikbaarheid door de aanval zelf, maar ook door de kosten van de bescherming tegen DDoS-aanvallen. Die kost ligt vrij hoog \u2013 denk aan enkele duizenden euro per maand \u2013 simpelweg omdat het technisch niet eenvoudig is om je te beschermen tegen DDoS-aanvallen.<\/p>\nHeuristische software<\/h3>\n
Netwerkcapaciteit<\/h3>\n
Geen sluitende oplossing?<\/h3>\n
1. Blackholing<\/strong><\/h3>\n
2. Mitigation<\/strong><\/h3>\n
3. CDN versus DDoS?<\/h3>\n
Budget & risico-analyse<\/strong><\/h2>\n