Wat is een DDoS-aanval, en hoe bescherm je jezelf?
In 2017 vonden er volgens beveiligingsbedrijf Netscout 7,5 miljoen distributed denial of service-aanvallen plaats. Een jaar eerder waren dat er nog maar 6,8 miljoen. Een distributed denial of service of DDoS-aanval is een speciale cyberaanval waarmee een cybercrimineel een website of online dienst offline kan halen, zonder dat hij of zij de dienst daarvoor hoeft te hacken. Zelfs een volledig geüpdatete en goed beveiligde bedrijfswebsite is dus kwetsbaar. Om je te beschermen tegen een DDoS-aanval heb je hulp van buitenaf nodig.
Vloedgolf
Bij een denial of service aanval probeert een hacker de toegang tot een website onbereikbaar te maken door die te overspoelen met valse trafiek. Een analogie verduidelijkt. Vergelijk je website met je fysieke kantoor. Dat kantoor heeft een adres, en is aan een weg gelegen. Die weg heeft een bepaalde capaciteit. Ligt je kantoor naast de autosnelweg, dan kunnen heel veel wagens heel snel hun weg vinden naar je parkeerplaats. Is je werkplek echter naast een zandweg buiten een klein dorp gelegen, dan is het een stuk moeilijker voor een groot volume aan potentiële klanten om tot voor je deur te raken. Online is hetzelfde waar: de server waarop de site gehost wordt, is verbonden met de rest van het internet via een verbinding met een bepaalde capaciteit. Voor een kleine website volstaat een relatief lage capaciteit, grote spelers zoals Netflix hebben hun digitale kantoor dan weer naast een superautosnelweg gebouwd.
Verkeersopstopping
Wanneer een klant je site probeert te bezoeken, genereert hij trafiek in de vorm van pakketjes. Die pakketjes zijn als de wagens op de fysieke toegangsweg. Beeld je nu in dat een crimineel je bedrijf wil schaden door je klanten de toegang tot je kantoor te ontzeggen. In dit ietwat karikaturale voorbeeld haalt hij daarvoor een leger handlangers boven, allen voorzien van hun eigen knalrode Fiat Panda. Hij stuurt honderden auto’s de baan op met als enige doel om naar je kantoor te rijden, even op de deur te kloppen, en terug huiswaarts te keren. Ligt je bedrijf aan een bescheiden toegangsweg, dan zit die binnen de kortste keren verstopt met Fiat Panda’s. Een echte klant raakt niet tot aan je voordeur omwille van de verkeerschaos.
Met een autosnelweg ter beschikking moet onze crimineel al aanzienlijk meer handlangers en wagens hebben, wat zijn aanval een stuk moeilijker maakt. Met de juiste middelen is het theoretisch echter mogelijk om ook die toegangsweg te verzadigen met mensen die op je voordeur willen komen bonzen.
Virtuele auto’s
In de fysieke wereld is het geen realistische optie om voldoende handlangers en auto’s te voorzien om zo de toegang naar je kantoor plat te leggen, op het internet kan dat wel. Pakketjes genereren is immers helemaal niet zo moeilijk. Typ via de opdrachtprompt in Windows ‘Ping’ gevolgd door een website, en je pc zal automatisch even op de deur van die site kloppen om te zien of die bereikbaar is.
Een crimineel met voldoende bandbreedte ter beschikking, kan gelijkaardige verbindingsverzoeken spammen naar een specifiek gekozen doelwit. Zodra de stortvloed van pakketjes de capaciteit van de digitale toegangsweg naar de website overschrijdt, wordt het voor gewone bezoekers onmogelijk om de site nog te bereiken. Hun koosjere verbindingsverzoeken verdwijnen immers in de massa DoS-trafiek.
In de praktijk is het zeker voor grotere websites niet zo eenvoudig om vanop één locatie genoeg pakketjes te genereren om de capaciteit van de verbinding van het doelwit te verzadigen. Door de krachten van meerdere computers op verschillende locaties te bundelen, vergroot de capaciteit van de aanval natuurlijk. Zodra dat gebeurt, spreken we van een distributed denial of service-aanval, of DDoS.
Botnet en DDoS
Soms bundelen criminelen gewillig hun krachten. Op online fora zoals 4Chan kunnen bezoekers die om de één of andere reden kwaad zijn op een bepaalde organisatie, kompanen vinden om die samen aan te vallen. Eenvoudige tooltjes zoals het Low Orbit Ion Cannon stellen hen in staat om zonder enige technische kennis pakketjes op een doelwit af te sturen. Nemen genoeg mensen deel, dan is de DDoS-aanval groot genoeg om een site offline te halen.
Dergelijke gewillige participatie is echter zeldzaam. Doorgaans lijven criminelen ongewillige computers in. Besmette systemen die deel uitmaken van een botnet, kunnen allemaal tezamen ingezet worden om een DDoS-aanval uit te voeren. Heel grote botnets kunnen een extreem volume aan pakketjes genereren waardoor zelfs de grootste digitale autosnelweg verstopt raakt. In 2016 gebruikten hackers zo het Mirai-botnet om Dyn aan te vallen. Dyn beheert een heleboel domain name system (DNS)-servers. Die DNS-servers doen dienst als een soort digitaal telefoonboek: ze vertellen je pc waar de server van www.smartbiz.be te vinden is, zodat jij de website kan bezoeken.
De Mirai-aanval was groot genoeg om de verbindingen van Dyn te verzadigen, waardoor de DNS-servers van het bedrijf onbereikbaar werden. Dat zorgde voor een domino-effect: zonder DNS-server zijn de websites waarvan de DNS het adres kent, in de praktijk immers ook ontoegankelijk. Mastodonten zoals Twitter, Netflix, CNN, Reddit en The Guardian warden zo onbereikbaar voor grote delen van de wereld. De aanval bereikte een kracht van 1,2 terabit aan malafide data per seconde, wat meteen een record is. De hele situatie was des te opvallender omdat het Mirai-botnet niet uit pc’s bestond, maar uit slecht beveiligde IoT-toestellen zoals webcams en routers.
Slimme aanval
Niet alle DDoS-aanvallen zijn volumetrisch, zoals hierboven beschreven. Sommige aanvallen maken geen gebruik van een enorm volume aan pakketjes, maar stellen de online dienst of website een vraag die een groot verbruik aan systeembronnen teweeg brengt in de backend.
Een nieuwe analogie verduidelijkt. Stel dat je een kleine winkel bezit met één kassa. Bij een volumetrische aanval raken klanten zoals gezegd niet meer tot aan je winkel. Bij een zogenaamde applicatieve aanval komen criminele handlangers je winkel binnen, nemen ze een product mee naar de kassa, en proberen ze in rosse muntjes te betalen. De kassier spendeert heel veel tijd in het natellen van de muntjes, en constateert uiteindelijk dat de crimineel te weinig geld bij heeft. Hij verlaat de winkel zonder iets te kopen, maar de rij aan de kassa is intussen wel vertienvoudigd. Twee echte klanten later komt een nieuwe handlanger hetzelfde doen. Voor je het weet is de rij aan de kassa zo lang dat de winkel uit z’n voegen barst en niet meer functioneert.
Bij een applicatieve aanval probeert een hacker een request te vinden die heel veel werk vraagt achter de schermen, zodat slechts enkele pakketjes volstaan om een website offline te halen. Dergelijke aanvallen moeten gerichter zijn, maar ze vereisen niet de capaciteit van een groot botnet om succesvol te zijn.
Accidentele DDoS
Soms gebeurt een DDoS-aanval ook per ongeluk. Denk aan een kleine website waar iemand iets op post dat plots tegen alle verwachtingen in viraal gaat. De spontane interesse van mensen over de hele wereld volstaat in dat geval om de verbinding te verzadigen.
In het laatste scenario is de oplossing eenvoudig: bel naar je hostingprovider en verhoog tijdelijk de bandbreedte. Bij grote DDoS-aanvallen is dat geen optie. Een firewall of antivirusprogramma staan in dit geval machteloos. De firewall zal misschien wel detecteren dat de DDoS-trafiek malafide van aard is, maar daarmee geraakt de verbinding van het internet tot aan jouw website niet opgeklaard.
Bescherming
De oplossing: DDoS-mitigatie. Om je tegen een applicatieve aanval te beschermen, heb je hardware nodig die bliksemsnel pakketjes kan analyseren, en malafide requests de vuilbak in kan sturen voor ze de server al te veel belasten. In het voorbeeld van de winkel mag je denken aan een portier die in staat is de criminelen bij de kraag te vatten voor ze de tijd van de kassierster kunnen verprutsen. Zo’n bescherming kan je on premise installeren.
Jezelf beschermen tegen een volumetrische DDoS-aanval is moeilijker. Zodra de aanval je server heeft bereikt, is de verbinding immers al verzadigd. Volumetrische DDoS-mitigatie gebeurt upstream. Partijen met een enorme bandbreedte ter beschikking kunnen trafiek naar je website zelf analyseren, en volumetrische DDoS-pakketjes blokkeren voor ze de verbinding naar jouw site satureren. Voor een dergelijke bescherming moet je aankloppen bij gespecialiseerde partijen zoals Akamai, Cloudflare of dichter bij huis Telenet.
De prijs van een dergelijke bescherming varieert, en zal afhankelijk zijn van jouw specifieke situatie, het formaat van je website of dienst, en de bandbreedte die daarmee gepaard gaat. Voor persoonlijke websites of blogs kan je doorgaans een gratis bescherming op de kop tikken. Voor basisbescherming van een professionele website betaal je al naargelang de provider van je keuze ongeveer 20 euro per maand. Run je een webwinkel en zoek je geavanceerde bescherming, dan wordt dat al snel 200 euro. Voor de bescherming van een enterprise-omgeving, klopt je best aan bij de mitigatie-expert die je voorkeur geniet.