Ben jij de klos bij een DDoS?

De afgelopen jaren valt een exponentiële toename van het aantal Distributed Denial-of-Service-aanvallen (DDoS) waar te nemen. Het laatste half jaar is er zelfs een toename van 16%, zo blijkt uit recente cijfers van Akamai. Nederland ontkomt ook niet aan deze aanvallen. Ons land staat zelfs in de top 10 van meest bestookte landen. De afgelopen weken lag vooral DigiD (de inlogdienst van de overheid) onder vuur en deze dienst bleek door deze aanvallen regelmatig slecht bereikbaar. Eerder dit jaar lagen de Belastingdienst, diverse banken en tech-website Tweakers.net plat. Ook wij ontkwamen niet aan een aanval: 13 juli waren wij zelf het slachtoffer en was het controlepaneel tijdelijk niet bereikbaar. Zijn deze aanvallen onderdeel van de nieuwe realiteit of valt er wat aan doen? In dit artikel bespreken we de meest voorkomende soort aanvallen die momenteel plaatsvinden en op welke wijze je het best gewapend bent tegen deze vorm van online-criminaliteit.

Wat houdt een DDoS-aanval eigenlijk in?

DDoS-aanvallen worden ingezet om computernetwerken of diensten onbereikbaar te maken voor eindgebruikers. Dit gebeurt door de server van het slachtoffer met internetverkeer te overbelasten. Alhoewel een DDoS-aanval meestal het onbereikbaar maken van een website als doel heeft, komt het ook voor dat de aanval iets anders moet maskeren. Want waar het vooral vervelend is dat jouw blog of app misschien even niet werkt, is het andere koek als je phishing-mails van je bank krijgt of als kritieke infrastructuur als energiecentrales niet meer bestuurbaar blijken te zijn. De aanvallers zorgen met een DDoS-aanval voor afleiding om de echte misdaad te maskeren, die tijdens of pas na de aanval plaatsvindt.

Een klassieker onder de DDoS-aanvallen

De meeste aanvallers gebruiken een methode waarbij grote hoeveelheden dataverkeer de kant van het slachtoffer op gestuurd worden. De hoop is dat de verbinding van het slachtoffer met het internet volloopt en de aangevallen site of dienst niet meer bereikbaar is. Deze methode wordt vooral veel gebruikt omdat het redelijk makkelijk uitvoerbaar is met software als bijvoorbeeld Low Orbit Ion Cannon (LOIC), een klassieker onder de DDoS-tools.

DDoS op bestelling

Mocht een tool als LOIC niet voldoende blijken voor de aanvaller, dan is voor enkele tientjes al een DDoS-for-hire in te huren. Met dit soort diensten kan een willekeurige website worden aangevallen. Toch zitten hier voor de aanvaller ook risico’s aan. Zo is in april dit jaar door samenwerking van speciale afdelingen van de Nederlandse en Britse politie de dienst webstresser.org offline gehaald. Alle administratie, waaronder de gegevens van degenen die DDoS-aanvallen bestelden, is in beslag genomen. De dienst had maar liefst 136.000 gebruikers en is verantwoordelijk voor meer dan 4.000.000 aanvallen in de afgelopen jaren. Naar aanleiding van deze gezamenlijke actie van de hightechcrime-opsporingsdiensten zijn er in diverse landen in Europa, Azië en Noord-Amerika meerdere arrestaties verricht. Een andere trend die de laatste jaren populair blijkt, is om online testtools (ook wel stressers genoemd) in te zetten bij een aanval. Deze tools zijn in het leven geroepen om te kijken of jouw site wel bestand is tegen grote hoeveelheden verkeer, maar worden nu ingezet om DoS-aanvallen uit te voeren. Dit is voor degene die de DDoS wil uitvoeren een zeer gemakkelijke manier om jou het leven zuur te maken.

Moderne aanvalsvormen

Dit zijn natuurlijk niet de enige manieren waarop er aanvallen plaatsvinden. Iets wat de laatste maanden populair blijkt, is een memcached-aanval. Memcached-verkeer is normaal bedoeld om gegevens op de server te cachen en de druk op databases en opslagschijven te verminderen. Het protocol is nooit bedoeld geweest om contact te maken met het internet, maar volgens het laatste veiligheidsrapport van Akamai zijn er momenteel meer dan 50.000 systemen kwetsbaar. En dat zijn alleen de gevallen waarvan bekend is dat er een kwetsbaarheid is. Wat heeft een memcached-aanval dan voor gevolgen? De kwetsbaarheid kan door aanvallers worden gebruikt om DDoS-aanvallen te versterken. Een kwaadwillende stuurt een klein pakket met dataverzoeken vanaf een nagemaakt IP-adres, waarop vervolgens een groter pakket met data wordt teruggestuurd naar het IP-adres van het aan te vallen slachtoffer. Door deze versterkingsfactor neemt de aanvalskracht van de DDoS enorm toe en zijn er minder resources nodig om een grotere slagkracht te genereren. Met minimale resources wordt het zo mogelijk om een grote DDoS-aanval op te zetten. Dit is eigenlijk een variant op een klassieke aanval die gebruikmaakt van DNS. Memcached-geheugen geeft echter een veel groter pakket terug en is dus interessanter voor de aanvaller. Bij de oude methoden werd het pakketje vaak tien tot twintig keer versterkt, maar bij memcached kan dit oplopen tot ruim duizend keer. Vaak wordt er gebruikgemaakt van honderden servers tegelijk, waardoor de systemen van het slachtoffer direct door erg veel traffic worden bestookt. Het belangrijkste middel om deze aanvallen tegen te gaan is in ieder geval poort 11211 te blokkeren voor externe toegang. Daardoor wordt voorkomen dat jouw systeem wordt gebruikt als versterker voor een aanval.

Onwetende hulpjes

Toch vinden de meeste DDoS-aanvallen nog plaats door het inzetten van geïnfecteerde apparaten. Het meest bekende hulpmiddel is een botnet. Een botnet is een verzameling computers die extern kan worden ingezet. De eigenaren van deze computers zijn vaak niet op de hoogte van het feit dat hun computer onderdeel uitmaakt van het botnet, gezien de computer vaak stiekem via een trojan-horse-aanval wordt overgenomen. Op deze manier heeft de aanvaller soms wel duizenden computers ter beschikking om zo’n aanval gericht uit te voeren. De server van het slachtoffer wordt dan via speciale software door alle computers tegelijk bestookt met informatieverzoeken. Deze manier van het versterken van een aanval is nog steeds zeer populair, omdat er talloze geïnfecteerde systemen bestaan die kunnen worden ingezet. Ook de enorme toename van slecht beveiligde internet-of-things (iot)-apparaten die vaak een zwak standaardwachtwoord hebben en op verouderde software draaien, draagt bij aan de populariteit van deze methode.

Hoe wapen je jouw site hiertegen?

Gelukkig sta je niet helemaal machteloos tegenover een aanvaller! Een van de essentiële onderdelen van jouw verdediging tegen DDoS-aanvallen is het instellen van een mitigatie-tactiek. Daar zijn verschillende manieren voor mogelijk, zoals het geo-blocken van verkeer buiten een bepaalde regio. Op deze manier ontneem je helaas ook welwillende bezoekers van buiten deze regio toegang tot jouw server, maar blijft jouw site of applicatie wel in de lucht. Een andere manier om DDoS-aanvallen op te vangen, is door middel van anti-DDoS-oplossingen zoals het Nederlandse initiatief De Nationale Wasstraat en het Amerikaanse Cloudflare. Al het verkeer richting jouw servers wordt daarbij langs een anti-DDoS-service gestuurd. Daar wordt het verkeer gefilterd zodat alleen het ‘schone verkeer’ jouw kant opkomt.

Collectieve bestrijding

Sinds april zijn een aantal Nederlandse partijen een initiatief begonnen om DDoS-aanvallen op nationaal niveau aan te pakken. Zij willen graag een proactieve en collectieve DDoS-bestrijdingsstrategie. Vertegenwoordigers van SIDN, Universiteit Twente en SurfNet vinden individueel optreden niet langer verantwoordelijk voor de kritieke functie die het internet tegenwoordig in de Nederlandse infrastructuur bekleedt. Zij willen daarvoor de nationale DDoS-radar optuigen. Dit systeem moet voortdurend monitoren welke internetadressen er achter aanvallen zitten. De data van de aanvallen wordt met elkaar gedeeld. Met deze data kunnen de partijen achter de radar aan de hand van deze patronen besluiten om in actie te komen. Daarnaast krijgen ze beter inzicht in de verkeerspatronen achter de aanvallen. Zo kan bijvoorbeeld verkeer preventief worden omgeleid en kan een Internet Service Provider proactief gebruikers gaan benaderen wiens apparaat onderdeel uitmaakt van een botnet. Tijdens de pilotfase staan de servers nog bij de Universiteit Twente, maar daarna is het de bedoeling dat deze servers naar SIDN gaan.

Een collectief blok tegen DDoS

De initiatiefnemers hebben om dit te realiseren een oproep gedaan aan diverse betrokken partijen als de overheid, banken en IT-bedrijven om met elkaar om tafel te gaan zitten om een manifest op te stellen. Dit om te zorgen dat vitale infrastructuur in de lucht blijft, ook al wordt deze aangevallen. Ook minister Grapperhaus van Justitie en Veiligheid is overtuigd van de noodzaak van maatregelen. Zijn ministerie kondigde in april dit jaar aan om 95 miljoen euro per jaar extra vrij te maken voor cybersecurity. Deze investering begint haar eerste vruchten af te werpen. De Rijksoverheid kwam 6 augustus 2018 met een persbericht waarin werd aangekondigd dat de AIVD en de TU Delft samen gaan werken in een onderzoeksproject op het gebied van digitale veiligheid. Het valt niet te zeggen wanneer jij eventueel te maken krijgt met een DDoS-aanval. Toch is het goed om erover na te denken wat de beste manier is om je tegen een potentiele aanval te wapenen. Maak bijvoorbeeld gebruik van De Nationale Wasstraat. Ook de diensten van Cloudflare helpen jouw sites in de lucht houden en er zijn nieuwe initiatieven om ervoor te zorgen dat de impact van DDoS-aanvallen minder wordt zoals de DDoS-radar. Wat is jouw plan van aanpak om een potentiële aanval af te slaan?