Waarom een nieuw soort DDoS-aanval bedrijven zorgen moet baren

 
Technici van Netflix ontdekten een soort Distributed Denial of Service-aanval waarmee hackers webdiensten met een gigantische capaciteit toch kunnen neerhalen. De ‘Applicatie-DDoS’ buit de architectuur van grote diensten uit om zo een sneeuwbal te gooien die een ganse webinfrastructuur neerhaalt.
 
Een DDoS-aanval is een cyberaanval waarbij hackers de verbinding naar een website verzadigt met valse verbindingsverzoeken. Doorgaans wordt hierbij een botnet ingezet van nietsvermoedende geïnfecteerde computers die allemaal tezamen proberen te verbinden met het doelwit. Vergelijk het met de E19 naar Antwerpen waar iemand plots een half miljoen nieuwe wagens op loslaat. De snelweg raakt verzadigd en alles komt vast te zitten, zodat ook legitiem verkeer niet tot in Antwerpen raakt. Niet dat de E19 ooit probleemloos functioneert…
 

Immuun voor DDoS

Grote internetdiensten zoals Netflix, die om kunnen met enorme hoeveelheden verkeer, hebben een digitale autosnelweg ter beschikking die bijna oneindig breed is. Wie een botnet naar Netflix richt in een poging de dienst neer te halen, is er aan voor de moeite. Bedrijven die beschikken over een dergelijke infrastructuur, hoeven zich doorgaans geen zorgen te maken voor een DDoS-aanval.
 
Scott Behrens en Bryan Payne van Netflix vermoedden echter dat er wel een manier bestaat om met een variatie op een DDoS toch de hele infrastructuur neer te halen. Een application-DDoS probeert niet puur de verbindingscapaciteit te verzadigen, maar wil de interne werking van de back-end van een dienst uitbuiten om die zo te verzadigen. Een kleine minderheid (één procent) van de DDoS-aanvallen vandaag zijn al application-DDoS-aanvallen, maar de onderzoekers vrezen dat de populariteit er van zal groeien.
 
[related_article id=”171771″]  
Een application-DDoS probeert een dienst offline te halen door niet de verbinding te verzadigen, maar de rest van de hardware naar haar limieten te brengen. Als je een server zoveel werk kan laten verzetten dat de processor of de harde schijven niet meer kunnen volgen, gaat een dienst ook neer. Het basisprincipe is hetzelfde: het verzadigen van beschikbare bronnen met kwalijke requests.
 
Bij Netflix identificeerden ze een probleem waarbij een enkele application programming interface API) de verbinding van de ganse back-end infrastructuur met het internet voorziet. De bijhorende firewall beschermt de toegangspoort tot de server, maar heeft geen inspraak meer op wat er gebeurt wanneer een request door de deur is binnengeraakt. Achter de API schuilen de eigenlijke servers met hun toepassingen. De toegangspoort is breed genoeg, maar de werkkracht die er achter schuilt is niet onbeperkt.
 

Vernietigend commando

Een hacker kan zijn application-DDoS uitvoeren wanneer hij een enkel commando ontdekt om naar de API te sturen dat achterin de back-end escaleert naar tientallen, honderden en duizenden sub-commando’s die allemaal vrij intensief zijn voor een systeem. De onderzoekers geven het voorbeeld van een enkele request aan de Netflix-API met een vraag voor 1.000 objecten die niet klaarzitten in het cache-geheugen. De API stuurt die vraag verder door naar het systeem waar de ene vraag vertaald wordt in 2.000 individuele calls, twee per object. Vervolgens escaleert de aanvraag verder naar in totaal drie back-end-diensten per object, zodat één uiteindelijke vraag aan de API achter de schermen resulteert in 6.000 intensieve bewerkingen voor de server-hardware.
 
De firewall staat vrijwel machteloos, aangezien die niet kan identificeren wat de impact van een schijnbaar onschuldige call op de rest van het systeem zal zijn. De achterliggende serverinfrastructuur, die weliswaar efficiënt is voor het normaal gebruik van een dienst, zet hier een heuse lawine met potentieel catastrofale gevolgen in gang.
 

Chaos Kong

Om te ontdekken of een gigant als Netflix kwetsbaar is, isoleerden de onderzoekers een hele Netflixregio. Alle trafiek van die regio werd tijdelijk omgeleid zodat de ingenieurs een functionele zandbak hadden waarmee ze aan de slag konden. Netflix noemt zo’n tijdelijk isolement een ‘’. Tijdens de Chaos Kong haalde de onderzoekers zoals gevreesd dat deel van Netflix offline, wat aantoonde dat het potentieel van een goed uitgevoerde application-DDoS enorm is.
 
[related_article id=”171765″]  
Een application-DDoS kost meer moeite om voor te bereiden dan een klassieke DDoS. Wie een botnet ter beschikking heeft, moet voor een gewone DDoS-aanval een doelwit ingeven en afwachten. Voor een succesvolle application-DDoS moet de aanvaller weten welke eenvoudige API-calls achter de schermen erg intensief zijn. De aanvaller moet dus erg gericht te werk gaan.
 
Gelukkig kan je je perfect verdedigen tegen zo’n aanval, zolang je tenminste goed op de hoogte bent van de werking van je systeem.  Om een complexe infrastructuur immuun te maken, moet je weten welke API-calls erg intensief zijn. Vervolgens kan je aan de API een gerichtere controle uitvoeren. Verder moeten IT-beheerders activiteit dieper in het netwerk monitoren, zodat ze een eventuele aanval kunnen detecteren voor die een systeem plat legt.
 
Application-DDoS-aanvallen tonen aan dat zelfs ’s werelds grootste diensten kwetsbaar zijn voor een aanval, maar ook kleinere bedrijven rekening moeten houden met het bestaan van de aanval. Een hacker heeft immers aanzienlijk minder rekenkracht nodig om een website of dienst offline te halen met een dergelijke DDoS. In de plaats van een groot botnet, volstaat een bescheiden exemplaar dat gebruik maakt van een gewiekste aanvraag aan het adres van een openstaande internet-interface, met alle gevolgen van dien.