Select Page

DDoS aanval

DDoS-aanvallen worden al meer dan 20 jaar door criminelen gebruikt om bedrijven en instellingen doelgericht schade toe te brengen. Hun enorme uitwerking invloed maakt hen een onberekenbaar, ernstig gevaar. Met DDoS-bescherming van Myra is uw IT-infrastructuur veilig.

In één
oogopslag


01

Wat is “DDoS”?

Een DDoS-aanval is een bijzondere vorm van cybercriminaliteit. De Distributed Denial of Service (DDoS)-aanval is een “gedistribueerde” Denial-of-Service-(DoS)-aanval, wat blokkade van diensten betekent. Dit is het geval wanneer een verlangde dienst niet meer of slechts in zeer beperkte mate beschikbaar is. In de meeste gevallen wordt dit veroorzaakt door een opzettelijke overbelasting van de IT-infrastructuur. Aanvallers gebruiken deze vorm van cybercriminaliteit om losgeld af te persen van onbeschermde organisaties, of om andere criminele handelingen uit te voeren, te verhullen of voor te bereiden.

02

Hoe ziet een DDoS-aanval er uit?

Bij een DDoS-aanval veroorzaken aanvallers opzettelijk de onbeschikbaarheid van een dienst of server. Een van de manieren is het infecteren van meerdere computers met malware, waarmee ze ongemerkt de controle over deze computers overnemen. De aanvallers misbruiken dit geïnfecteerde computernetwerk, ook wel een botnet genoemd, op afstand voor hun DDoS-aanvallen. Met het botnet vallen ze hun doelwit parallel aan, waarbij ze de infrastructuur bombarderen met ontelbare verzoeken.

Hoe meer computers met elkaar verbonden zijn, hoe krachtiger de aanval. Aangevallen servers zonder DDoS-bescherming worden overstelpt met het enorme aantal verzoeken, hun internetleiding wordt overbelast. Websites worden slechts zeer langzaam opgebouwd of zijn helemaal niet meer beschikbaar.

03

Distributed-Reflected-Denial-of-Service-aanval (gedistribueerde, geweerspiegelde ontzegging van dienst, DRDoS)

Een gedistribueerde gereflecteerde Denial of Service-aanval is een speciale vorm van DoS. De kwaadaardige verzoeken zijn niet afkomstig van een botnet, maar van gewone internetdiensten. Door middel van IP-spoofing (het verzenden van IP-pakketten met een vervalst IP-afzenderadres) manipuleren aanvallers deze diensten om verkeer naar het betreffende doelwit te leiden. Deze procedure maakt het mogelijk de aanval te verhullen. DRDoS-aanvallen vinden bijvoorbeeld plaats via DNS-diensten als een zogenaamde DNS-versterkingsaanval, waarbij massale datastromen naar het slachtoffer gaan. Bij een aanval op de anti-spam organisatie spamhaus.org leidde een dergelijke DNS-versterkingsaanval tot belastingspieken van 300 GBit/s.

04

Wie zijn de aanvallers?

Hun motieven voor een DDoS-aanval zijn ook divers: Chantage, het schaden van de concurrentie, afgunst of politiek protest. Het doel is echter altijd hetzelfde: Het doel is om zoveel mogelijk schade toe te brengen aan de ermee verbonden organisatie.

Individuele misdadigers of groepen

Politieke activisten

Concurrenten

Ontevreden gebruikers

05

Welke methoden gebruiken aanvallers?

Cybercriminelen gebruiken verschillende soorten DDoS-aanvallen. De methoden kunnen worden gerangschikt volgens de betreffende lagen (volgens het Open Systems Interconnection-model voor netwerkprotocollen, afgekort OSI-model) waarop de aanval is gericht.

Een van de meest voorkomende methoden is het overbelasten van systeembronnen of netwerkbandbreedtes (layers 3 en 4). Een trend die zich de laatste jaren onder cybercriminelen heeft voorgedaan, is het verschuiven van aanvallen naar het toepassingsniveau (layer 7). De patronen en bandbreedten van DDoS-aanvallen veranderen echter dagelijks. Met DDoS-bescherming van Myra bent u beschermd tegen alle aanvalspatronen.

DDoS-aanvallen op layers 3 en 4

De meest voorkomende aanvallen op de netwerk- en transportlaag (layers 3 en 4) zijn TCP SYN floods en DRDoS-aanvallen op basis van UDP. Andere typische aanvalsvarianten zijn ICMP flood, UDP fragmentatie, UDP amplificatie via DNS, NTP, rpcbind, SSDP, ACK flood en RST flood. Al deze aanvallen belasten het doelwit met ofwel zeer hoge bandbreedtes ofwel immense pakketsnelheden. Legitieme toegangen vinden dus niet langer een datakanaal om communicatie tot stand te brengen.

Bij een SYN/ACK-aanval (of SYN- en ACK-floods) bijvoorbeeld, bestookt een door een aanvaller gecontroleerd botnet een server met SYN-pakketten. Deze maken gewoonlijk deel uit van de zogenaamde drieweg handdruk (three-way handshake) die plaatsvindt wanneer een TCP-verbinding tot stand wordt gebracht tussen client en server. Een SYN/ACK aanval provoceert massaal half-open verbindingen door veel SYN maar geen ACK pakketten te sturen die nodig zijn om de verbinding te voltooien. Het gevolg: Er kunnen geen nieuwe verbindingen meer worden gemaakt en de website is niet langer toegankelijk.

Myra DDoS BGP Protection beschermt IT-infrastructuren tegen dergelijke volumetrische aanvallen op de netwerk- en transportlaag. Gedetailleerde verkeersanalyses zijn mogelijk via automatische monitoring van de verkeersstromen. De omschakeling van de getroffen netwerken gebeurt bij een aanval volledig automatisch.

DDoS-aanvallen op laag 7

DDoS-aanvallen op de toepassingslaag (Layer 7) zijn gebaseerd op reeds tot stand gebrachte verbindingen en zijn een van de meest voorkomende aanvalsvormen geworden. Met name HTTP GET, POST en andere flood-aanvallen, alsmede low- en slow-aanvallen zijn populair bij cybercriminelen. Zij hebben tot doel door te dringen tot de zwakste component van een infrastructuur en zo een overbelasting van de webapplicatie te veroorzaken.

Bij een HTTP GET flood-aanval bijvoorbeeld, overspoelen aanvallers een webserver met HTTP-verzoeken die specifiek pagina’s met een groot laadvolume oproepen. Hierdoor wordt de server overbelast en kan hij niet langer legitieme verzoeken verwerken. Het gevolg: De website is niet langer toegankelijk voor gebruikers.

Aanvallen op het toepassingsniveau worden gewoonlijk niet opgemerkt door de sensoren van een beveiliging voor de netwerk- en transportlaag. Omdat het standaard URL-verzoeken zijn, zijn flood-aanvallen moeilijk te onderscheiden van gewoon verkeer. Beveiligingssystemen voor layers 3 en 4 herkennen bijvoorbeeld geen verschil tussen een HTTP GET flood-aanval en een geldige download. De beveiliging van een webtoepassing vereist dan ook DDoS-bescherming op alle relevante layers. Met name aanvallen die gericht zijn op het afluisteren van gevoelige gegevens kunnen alleen worden opgespoord en tegengegaan door layer 7-bescherming.

Myra DDoS Website Protection beschermt web applicaties op Layer 7 volledig automatisch. Dankzij de honderd procent zichtbaarheid van het verkeer, maakt Myra intelligente load balancing mogelijk, evenals site failover met hoge betrouwbaarheid en minimale responstijden.

06

In hoeverre is DoS/DDoS strafbaar?

In het algemeen worden DoS/DDoS-aanvallen op een dienst op het internet in Duitsland beschouwd als computersabotage volgens § 303b StGB (Duits wetboek van strafrecht) en worden zij derhalve ook vervolgd. Het maakt niet uit of de aanval een criminele achtergrond heeft (zoals voor losgeld-eisen) of deel uitmaakt van een politiek gemotiveerde protestactie. In sommige landen is men al strafbaar voor het downloaden of bezitten van DoS- of DDoS-software. Wettelijk mogen dergelijke aanvallen meestal alleen worden toegepast op de eigen hardware in het eigen netwerk. Uitzonderingen gelden voor specifieke veiligheidsinspecteurs in het kader van zogenaamde penetratietests.

07

Wat zijn de gevolgen van een aanval?

Een aanval schaadt getroffen bedrijven en instellingen altijd, ongeacht de gekozen methode. Getroffen organisaties ondervinden jaren later nog steeds de gevolgen. Efficiënte DDoS-bescherming is daarom uiterst belangrijk.

Economische schade

Een paar minuten offline kost al gauw enkele duizenden euro’s. Gederfde winst en verspilde marketingbudgetten zijn slechts een deel van de financiële schade.

Image-schade

Na een succesvolle DDoS-aanval is het reputatieverlies onberekenbaar groot. De wederopbouw kost veel middelen en kan jaren duren.

Gegevensdiefstal

Tijdens een DDoS-aanval functioneren de systemen niet meer op de gebruikelijke manier. Onder hoge of overbelasting worden sommige systemen plotseling kwetsbaar en openen zich nieuwe aanvalsvectoren.

08

Waarom het IoT een DDoS-brandversneller is

De verzamelterm IoT (Internet of Things, internet van dingen) omvat een verscheidenheid aan netwerkapparaten die afkomstig zijn van particuliere huishoudens, bijvoorbeeld IP-camera’s, of in een netwerk ingebonden productie-installaties in de industrie, alsmede intelligente bedieningselementen in de openbare infrastructuur. Deze op het internet aangesloten apparaten zijn een aantrekkelijk doelwit voor cybercriminelen omdat ze kunnen worden gebruikt als instrumenten voor DDoS-aanvallen en andere aanvallen. Om controle te krijgen over IoT-apparaten, gebruiken cybercriminelen speciale malware die zich onafhankelijk in netwerken verspreidt. Het doel is meestal om zoveel mogelijk systemen te corrumperen om ze te gebruiken voor een botnetaanval. Een populair voorbeeld van zo’n malware is de Mirai-malware, die door cybercriminelen wordt gebruikt om botnets op te bouwen. Mirai wordt bijvoorbeeld in verband gebracht met de aanval op de internetprovider Dyn in 2016. Een netwerk van duizenden en duizenden IP-camera’s, printers, smart-tv’s en andere apparaten had de aanval uitgevoerd als een DDoS-netwerk en de Dyn-servers urenlang lamgelegd.

09

Welke sectoren worden getroffen?

Elke bedrijfstak en elk bedrijf, ongeacht de grootte, kan het slachtoffer worden van een DDoS-aanval. De vraag is niet óf, maar wannéér een aanval op het eigen bedrijf plaatsvindt en hoe snel deze wordt ontdekt. Cybercriminelen en afpersers richten zich op e-commercebedrijven, banken, FinTech-bedrijven en verzekeringsmaatschappijen, productiebedrijven, de media of de zorgsector. Datacentra en organisaties in de publieke sector zijn ook populaire doelwitten voor DDoS-aanvallers. De motieven van de criminelen gaan veel verder dan losgeld eisen: Met hun aanvallen willen zij fabrieken en productieprocessen lamleggen, de stroom- of energievoorziening onderbreken en de berichtgeving beïnvloeden.

10

Zo kun je verdedigen tegen DDoS-aanvallen

DDoS-mitigatie of DDoS-bescherming vereist het gebruik van speciale beschermingstechnologieën. Deze zijn zowel beschikbaar als toepassing voor gebruik op locatie, als ook als een SECaaS-dienst. De laatste variant wordt niet beperkt door de beschikbare bandbreedte van de eigen verbinding en kan dus veel flexibeler worden toegepast. DDoS-beschermingsoplossingen reinigen het inkomende verkeer en maken zo onderscheid tussen geldige verzoeken en kwaadaardige toegang. Bedrijven die bijzonder vaak door DDoS-aanvallen worden getroffen, laten hun DDoS-bescherming permanent actief – andere gebruiken de oplossingen alleen wanneer dat nodig is om de inspanningen en de kosten te beperken.
11

Evolutie van DDoS-aanvallen

De frequentie en de kracht van DDoS-aanvallen zijn de afgelopen 10 jaar exponentieel toegenomen. Vooral in 2013 was de aanvalssterkte enorm toegenomen, omdat toen DNS-servers voor het eerst veelvuldig voor DRDoS-aanvallen werden gebruikt. Zo leidde een aanval op de anti-spam organisatie spamhaus.org tot belastingspieken van 300 GBit/s. In het daaropvolgende jaar bereikten de eerste aanvallen reeds de grens van 500 GBit/s. in 2016 veroorzaakte de Mirai-malware een nieuwe recordaanval. De malware spon een botnet van meer dan 100.000 IoT-apparaten, die samen een aanval van 1,2 TBit/s op serviceprovider Dyn lanceerden. De sterkste DDoS-aanvallen die tot nu toe zijn gemeten, vonden plaats in 2018. Er werd toen het coderingsplatform GitHub overbelast door verkeerspieken van 1,35 TBit/s. In datzelfde jaar registreerden beveiligingsonderzoekers ook een aanval met meer dan 1,7 TBit/s op een Amerikaans bedrijf. Ondertussen is ook de frequentie van DDoS-aanvallen in de loop der jaren gestaag toegenomen. Zo is de frequentie van DDoS-aanvallen alleen al tussen 2014 en 2017 met meer dan 2,5 keer toegenomen.