Distributed Denial-of-Service (DDoS) is een type cyberaanval die een massale verstoring van de dienstverlening veroorzaakt. Het is in internettermen een stokoud fenomeen: al in 1996 zagen we de eerste aanval. Maar de tijden zijn veranderd. Waar DDoS voornamelijk werd ingezet uit politiek-sociaal protest of puur ter zelfpromotie, zit er volgens recent onderzoek van Infoblox tegenwoordig voornamelijk een financieel motief achter aanvallen (lees: afpersing). Dat is zorgelijk, want Bulletproof schatte reeds in 2019 dat een DDoS-aanval een MKB-bedrijf tot 120 duizend dollar kan kosten en een groot bedrijf tot 2 miljoen dollar – en dat zijn slechts de operationele kosten! En het aantal aanvallen neemt toe. In 2018 werden zo’n 7,9 miljoen DDoS-aanvallen gerapporteerd, maar tegen 2023 worden er zo’n 15 miljoen aanvallen verwacht. Hoog tijd dus om in te zoomen op deze groeiende dreiging.

DDoS-aanvallen kun je globaal indelen in verschillende typen: volumetrische aanvallen, aanvallen op applicatielagen en aanvallen op basis van netwerk- en transportprotocollen.

Volumetrische DDoS-aanvallen maken doorgaans gebruik van applicatie-protocollen zoals DNS en NTP en hebben als doel de bandbreedtecapaciteit van een netwerk te verminderen door het netwerk te overspoelen met zwaar verkeer of grote aantallen verzoeken. Omdat het aanmaken van een groot aantal verzoeken relatief eenvoudig is, zijn volumetrische aanvallen erg populair onder aanvallers.

Net als volumetrische aanvallen, richten DDoS-aanvallen op applicatielagen zich op dezelfde type protocollen. Maar dit type aanval probeert juist de server resources uit te putten door backend-processen van applicaties aan te vallen die veel rekenkracht vereisen. Zij genereren minder verkeer en gebruiken minder totale bandbreedte, maar kunnen minstens zoveel schade aanrichten.

Tot slot heb je DDoS-aanvallen via netwerk- en transportprotocollen. In dit type aanval sturen aanvallers bij een initieel verzoek van een ACK-pakket aaneenvolgende SYN-pakketten totdat de server alle beschikbare poorten heeft uitgeput. Dit belemmert verdere legitieme verzoeken en andere taken. Deze aanvallen zijn moeilijk te mitigeren, omdat verreweg de meeste online devices vertrouwen op deze protocollen. Zelfs als leveranciers relatief snel patches uitbrengen, kan het lang duren voordat bedrijven deze implementeren – bijvoorbeeld omdat de patches niet compatibel zijn met bestaande systemen. Een van de oudste (vanaf 2014) en meest voorkomende soorten protocolgebaseerde DDoS-aanvallen is een SYN flood.

DDoS en DNS: een haat-liefdeverhouding

DNS is een favoriete aanvalsvector voor DDoS-aanvallen. Als DNS niet beschikbaar is, worden bijna alle systemen getroffen, van websites tot interne- en cloudapplicaties. En hoewel cloud-hosted anti-DDoS-tools volumetrische bescherming bieden, zijn nieuwe ‘innovaties’ in staat deze bescherming te omzeilen. De meeste cloud-hosted anti-DDoS-tools richten zich op het vaststellen van baselines van normaal netwerkgedrag. In het geval van DNS zijn baselines gebaseerd op de monitoring van het profiel van verzoeken aan domeinen die door de DNS-server worden opgelost. Maar recentelijk zie je dat aanvallers pseudo-willekeurige DNS-query’s naar DNS-servers sturen. Cloud-hosted tools weten meestal niet welke domeinen legitiem zijn en welke illegaal. Ze kunnen geen onderscheid maken tussen de twee, waardoor een effectieve baseline onmogelijk is. Het is cruciaal dat bij iedere gezaghebbende DNS-server native DDOS-mitigatie is ingebakken om heeft om tegen deze specifieke aanval te beschermen.

Twee DDoS-scenario’s

DDoS-campagnes verlopen doorgaans volgens een van twee scenario’s.

In het eerste scenario beginnen de aanvallers met een DDoS-demonstratie, waar ze laten zien wat ze in petto hebben in een poging om een organisatie ervan te overtuigen dat de dreiging reëel is. De criminelen richten zich daarbij op een specifieke resource binnen de webdienst of netwerkinfrastructuur van de aangevallen organisatie. Deze demonstratie is groot genoeg om de diensten van de organisatie te vertragen, maar niet groot genoeg om ze offline te halen. Na of tijdens de demonstratie sturen de actoren een mail waarin ze dreigen een grotere DDoS-aanval uit te voeren als de organisatie geen (crypto)betaling doet. Als de organisatie de betaling niet binnen de gestelde termijn doet, volgen de criminelen op met een grotere DDoS-aanval en verhogen ze het afpersingsbedrag dagelijks totdat ze de volledige betaling hebben ontvangen.

In het tweede scenario sturen de criminelen hun verzoek om losgeld vóór de aanval. De e-mail bevat de losgeldeis, het adres van de cryptoportemonnee, de deadline, de capaciteit van de aanval en andere details. Ze kunnen daarbij opscheppen over hun vermogen om meerdere terabytes aan datapakketten per seconde te versturen – en in de meeste gevallen zijn deze dreigementen geen bluf en worden ze daadwerkelijk opgevolgd door grootschalige aanvallen.

Mitigeren van DDoS-aanvallen

In DDoS-risicobeperking moeten organisaties niet alleen rekening houden met hun zakelijke verplichtingen (zoals SLA’s) om diensten draaiende te houden, maar ook met de mate waarin zij en hun klanten verstoring van de dienstverlening kunnen tolereren. Door een aantal basisrichtlijnen te volgen, kunnen organisaties het risico op én de potentiële impact van een DDoS-aanval beperken.

Bepaal ten eerste welke functionaliteiten daadwerkelijk kritiek zijn voor de activiteiten van een organisatie. Maak alle back-ups die nodig zijn om deze functionaliteiten ondanks de aanval draaiende te houden, en wijs voldoende middelen toe (zo nodig door ze te verplaatsen van niet-kritieke functionaliteit) om deze functionaliteiten tijdens de aanval in stand te houden en te herstellen zodra de aanval is afgewend.

  1. Bespreek DDoS-preventie en -mitigatie met je leveranciers. Richt je daarbij op:
    1. de capaciteit om aanvallen te weerstaan;
    2. De mogelijke kosten van een verstoring in de dienstverlening;
    3. Acties die in het geval van een aanval kunnen worden ondernomen
    4. Afspraken met upstream leveranciers om kwaadaardig verkeer verderop in de waardeketen te blokkeren
  2. Bescherm de domeinnamen van een organisatie met behulp van registrar locking en door registratiegegevens te verifiëren.
  3. Zorg ervoor dat klanten contactgegevens bijhouden van hun dienstverleners en vice versa. Zorg ook voor extra contactgegevens buiten de organisatie, zoals mobiele telefoonnummers en e-mailadressen, die je kunt gebruiken als normale communicatiekanalen uitvallen.
  4. Monitor doorlopend de beschikbaarheid van diensten en zet real-time alerts op.
  5. Maak een statische versie van de bedrijfswebsite die minimale bandbreedte vereist.
  6. Gebruik cloud-based hosting van betrouwbare grote providers in combinatie met CDN’s. Voorkom bij het gebruik van een CDN dat je het IP-adres van de webserver van de organisatie bekend maakt en gebruik een firewall om ervoor te zorgen dat alleen het CDN toegang heeft tot deze webserver.
  7. Zorg tenslotte voor een DDoS-mitigatiedienst die diepteverdediging gebruikt om de infrastructuur en de verschillende applicatielagen beschermen.

Een effectieve anti-DDoS-strategie houdt rekening met alle vereisten en beperkingen van een organisatie. Als algemene regel geldt: hoe complexer het mitigatiesysteem, hoe groter de kans dat het faalt als gevolg van verkeerde configuraties of integraties. Organisaties die zich voor het eerst aan anti-DDoS wagen, kunnen het beste beginnen met eenvoudige en overzichtelijke systemen. En hou altijd in het achterhoofd dat DDoS-aanvallen net als andere soorten cyberaanvallen voortdurend complexer en effectiever worden. Constante evaluatie en verbetering blijft dus nodig, zowel in onderhoud van beveiligingssystemen als de omringende processen.

Dit is een ingezonden bijdrage van Craig Sanderson, VP of Product Management bij Infoblox. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.