Terug naar overzicht

Laat jouw bedrijf niet lamleggen door een DDos-aanval!

DDos aanvallen

Tegenwoordig hoor je het om de haverklap in het nieuws: websites die offline zijn gehaald door een DDoS-aanval. In oktober is er een aanval geweest op een grote DNS-provider waardoor New York Times, Twitter, Spotify en PayPal slachtoffers werden van deze DDoS.. Ook op eigen bodem gebeurt het met grote regelmaat: Tax-on-web, BNP Fortis, VTM, De cyberaanval tijdens de finale van Mijn Pop-uprestaurant. Maar ook kleinere organisaties worden geconfronteerd met DDoS-aanvallen: 12% van de Belgische KMO’s zou al eens geconfronteerd zijn met een DDoS-aanval, volgens een onderzoek van Kaspersky Labs. Gemiddeld wordt de schade geschat op 40.000€ per aanval

Wat is een DDoS-aanval?

Een DoS (Denial of Service) of een DDoS (Distributed Denial of Service) heeft de bedoeling om online services buiten dienst te stellen. Er wordt zoveel mogelijk random data naar de beoogde website of service gestuurd, dat er geen bronnen meer beschikbaar zijn voor een normale werking. 

Een DDoS-aanval gebeurt, in tegenstelling tot een DoS-aanval, vanaf verschillende computers en vaak wordt er van een botnet-virus gebruik gemaakt. Hierdoor is het bij een DDoS-aanval ook vrijwel onmogelijk om de persoon die achter de aanval zit te traceren. De bron van de aanval is immers afkomstig van duizenden besmette computers, of beter gezegd “devices”. Want door de komst van IoT (Internet of Things) weet het botnet-virus zich ook te installeren op slecht beveiligde devices. 
Enkele voorbeelden van IoT-devices zijn slimme thermostaten, domoticasystemen, camera’s, ..

Omdat server resources of internetbandbreedte volledig in gebruik worden genomen door data afkomstig van de DDoS-aanval, zijn de webservices verschrikkelijk traag of gewoon volledig onbereikbaar voor de legitieme gebruikers. DDoS is dus geen hacking. Het moet niet binnen breken in het systeem om te slagen, waardoor het zeer moeilijk is om een serverinfrastructuur te wapenen tegen een DDoS-aanval. Zelfs met perfect onderhouden systemen ben je nog steeds kwetsbaar.

Daarbij moet de cybercrimineel ook geen vergaande informatica kennis hebben om een DDoS-aanval uit te voeren; in de duistere hoeken van het internet kan je voor een klein bedrag een botnet-virus inhuren.Dat botnet-virus gebruikt dan wereldwijd duizenden besmette systemen om de aanval te starten.

Er worden verschillende technologieën gebruikt om een DDoS-aanval op te zetten. Dikwijls wordt ook een combinatie van de verschillende technologieën gebruikt.

Er kan een onderverdeling gemaakt worden in 3 soorten aanvallen.

Volumegebaseerde aanvallen
Deze gebruiken UDP floods, ICMP floods, en ander spoofed-packet floods om de volledige bandbreedte van een site te gebruiken, zodat er geen bandbreedte meer beschikbaar is voor het normale verkeer. 
Protocol-aanvallen
Deze gebruiken SYN floods, fragmented packet attacks, Ping of Death, Smurf DDoS en meer. Deze aanval verbruikt alle resources van de server of van het tussenliggende device (load balancer, firewall, ..), zodat deze vertraagt of crasht
Applicatie-aanvallen (Layer 7 DDoS attacks)
Dit is de meest geavanceerde vorm en dus het moeilijkste om te beveiligen. Dit type is gericht op het aanvallen van bepaalde server-applicaties.

Omdat het zo makkelijk is om een DDoS te initialiseren en zo moeilijk om je er tegen te wapenen, wordt een DDoS-aanval gezien als een van de grootste bedreigingen van dit moment voor een IT-omgeving. 

Het is een mythe dat je met enkel een goede firewall een DDoS-aanval kan afweren. Een firewall met een actieve IPS bezit de technologie om data afkomstig van een DDoS-aanval te blokkeren, maar dit is geen first line defense. Zelfs als de firewall de data blokkeert, kan een DDoS nog steeds de internetlijn verzadigen en is het opzet van de aanval alsnog geslaagd. Voor een effectieve afwering van een DDoS moet er dus een beveiligingslaag zijn om te voorkomen dat de data binnenkomt op je internetaansluiting. Deze beveiligingslaag filtert het internetverkeer en stuurt enkel legitieme data door naar je webservices. 

Wat kan er gedaan worden tegen een DDoS-aanval?

Wat is uw plan?

Gezien er verschillende soorten DDoS zijn, gaan er ook verschillende lagen nodig zijn om een effectieve beveiliging te kunnen hebben..

DDoS-aanvallen kunnen beveiligd worden door je internetprovider. 
Het is dus belangrijk om te kiezen voor een provider die hier een oplossing voor heeft. De provider onderschept dan de DDoS-aanval en stuurt enkel het normale verkeer door naar je netwerk. 

Er zijn cloudsystemen die je beschermen tegen een DDoS-aanval. 
Deze diensten zijn onafhankelijk van de provider. Als er gebruik gemaakt wordt van cloudbescherming verwijzen de DNS-records van de webservices naar de clouddienst en niet meer rechtstreeks naar de WAN IP van de internetconnectie voor de webservices. Deze clouddiensten hebben voldoende capaciteit om een DDoS-aanval tegen te houden en sturen enkel legitieme data door naar de webservices.

Gezien het bij applicatie-gebaseerde aanvallen veel moeilijker is om het verkeer van de aanval te filteren is hier ook een geavanceerde DDoS mitigation oplossing voor nodig. Deze oplossing monitort het verkeer en aan de hand van het internetgedrag wordt het verkeer gefilterd.

Beveiliging tegen DDoS is een zeer complexe zaak en ook sterk afhankelijk van de aard van het netwerk. Best kan er steeds een voorafgaande security audit plaatsvinden om een breder beeld te krijgen van de potentiële bedreigingen. Geef ons gerust een seintje indien je interesse of vragen hebt over onze security audits en/of anti-DDoS oplossingen. 

Kristof Haesevoets 
Expert System Engineer - Teamleader
 
linkedin kristof haesevoets