Wat is een DDoS-aanval?
De kans is groot dat je hebt gehoord van een website die door hackers is neergehaald of dat een populaire website is gecrasht. Het merendeel van dergelijke downtime op populaire en drukbezochte websites wordt veroorzaakt door Distributed Denial of Service (DDoS) aanvallen.
Er zijn grenzen aan de bandbreedte van verkeer die een netwerkapparaat kan verwerken. De genoemde limiet is afhankelijk van factoren zoals de verwerkingskracht van het apparaat, de datagrens van het verbindingsknooppunt (switch of router), en de maximale verbindingsnelheid en bandbreedte toegestaan door de Internet Service Provider (ISP).
Hoe leidt dit alles tot downtime op een website? Hoe vinden deze aanvallen plaats? Dit artikel zal een onthulling zijn over DDoS-aanvallen en hoe ze te vermijden of te voorkomen.
Een Uiteenzetting van een Typische DDoS-aanval
Hackers initiëren DDoS-aanvallen door eerst een leger van kwetsbare computers te rekruteren, populair aangeduid als een Botnet. Botnets zijn een reeks van onderling verbonden computers en apparaten die gecompromitteerd zijn door malware. Botnets worden vervolgens gebruikt door hackers om tegelijkertijd verzoeken om middelen te versturen die de bandbreedte van de verbinding van het slachtoffer gebruiken, waardoor legitieme externe gebruikers van diensten op het apparaat worden verhinderd toegang tot hen te krijgen.
De datapakketten die worden gebruikt bij het uitvoeren van DDoS-aanvallen zijn hetzelfde of vergelijkbaar met die gebruikt voor alledaagse communicatie over het internet, behalve dat ze gecoördineerd worden in een overweldigend grote hoeveelheid per tijdseenheid. Online servers die verkeer voor videostreaming afhandelen, kunnen een bovengrens van 20 Gigabyte per seconde aan bandbreedte toestaan. Ter vergelijking, DDoS-aanvallen kunnen een enkele server of netwerkapparaat belasten met tot 1 Terabyte per seconde aan data. Zo’n volume aan verkeer zal met succes een dienst zo groot als Google onbereikbaar maken.
Wie zijn de potentiële doelwitten van DDoS-aanvallen?
DDoS-aanvallen zijn uiterst eenvoudig uit te voeren vanwege de kwetsbaarheid van verschillende apparaten met een internetverbinding en de beschikbaarheid van botnets op het dark web voor het gebruik door beginnende hackers. Veel internetgebruikers, en verrassend genoeg sommige organisaties, implementeren technologieën die met het internet verbonden zijn zonder de standaard inloggegevens van de fabrikant, die bij het apparaat werden geleverd, te wijzigen. Hackers doorzoeken het internet op zoek naar dergelijke apparaten, krijgen toegang tot ze, en installeren malware die hen in staat stelt deze apparaten op afstand te besturen, zonder dat de daadwerkelijke eigenaren weten dat hun apparaat deel uitmaakt van een botnet.
De botnets die bestaan uit het netwerk van kwetsbare apparaten zijn hier niet de primaire slachtoffers, maar worden gebruikt om een gecoördineerde aanval uit te voeren tegen een enkele website of online dienst – deze zijn de voornaamste slachtoffers geweest van DDoS-aanvallen.
DDoS-aanvallen tegen websites en online serviceplatforms kunnen de vorm aannemen van valse pakketten, binnenkomende berichten of verzoeken om een verbinding te starten. Ze worden meestal uitgevoerd als een wraakactie om de reputatie van concurrenten te schaden en vervolgens een daling van het marktaandeel te veroorzaken, een aanval tegen politieke tegenstanders, of soms als een demoralisatie tactiek tegen mensenrechtenbewegingen en entiteiten.
Amazon Web Services (AWS) was in februari 2020 het doelwit van een van de recente DDoS-aanvallen. Een niet nader genoemde grote klant van AWS was het doelwit van de aanval, waardoor hun online diensten drie dagen lang werden getroffen. Een verkeersbandbreedte die piekte op 2,3 Terabytes per seconde deed de enorme bandbreedtecapaciteit van AWS kinderspel lijken.
Het meest populaire botnet tot nu toe – Mirai, was het middelpunt van een reeks DDoS-aanvallen in 2016. In september 2016 was het internet het toneel van het Mirai botnet in de meest massieve DDoS-aanval van die tijd, met een verkeerspiek met een bandbreedte van 620 Gbps die de blog van een cybersecurity analist trof. Nadat een fragment van de Mirai-code publiekelijk werd gemaakt tijdens een DEFCON-bijeenkomst later die maand, trof een veel grootschaligere aanval een belangrijke provider van Domain Name Service – Dyn.
Dyn was de DNS-provider voor websites zoals Netflix, GitHub, PayPal, Reddit, Airbnb en HBO ten tijde van de Mirai-aanval. De 1,5 Gigabit per seconde DDoS-aanval op Dyn’s netwerk van websites maakte hun diensten onbereikbaar zolang de aanval duurde. Er waren later in 2016 nog verschillende andere Mirai-aanvallen, sommige inclusief gekaapte IoT-apparaten zoals CCTV-camera’s, koffiezetapparaten en zelfs babyfoonmonitors.
Soorten DDoS-aanvallen
Er zijn verschillende soorten DDoS-aanvallen. Laten we hieronder enkele ervan bekijken:
Zero-Day DDoS: Zero-Day DDoS is de term die door hackers wordt gebruikt op hun geheime websites gehost op het dark web. De term verwijst naar een reeks broncodes en legers van gerekruteerde botnets die te koop zijn; dit vormt echter een niveau van kwetsbaarheid waarvoor beveiligingspatches nog moeten worden uitgebracht.
Ping of Death: Dit houdt in dat aanvallers meerdere vervalste pingpakketten naar een netwerkknooppunt sturen. De apparaten die lokale apparaten beheren (switches en routers) hebben limieten voor de pakketlengte die per seconde door hen heen mag. Daarom worden lange pakketten vaak gefragmenteerd, om door de ontvangende host te worden gereassembleerd. De gemiddelde datalengte van een IP-pakket is ongeveer 1700 bytes; hackers proberen echter een Ping of Death uit te voeren met datagroottes van tot wel 71.423 bytes wanneer ze aan het ontvangende einde worden gereassembleerd. Dit type DDoS-aanval put effectief het geheugen van de server uit en maakt het onmogelijk om te reageren op legitieme queries zolang de aanval duurt.
UDP Flood-aanval; Dit is een type DDoS-aanval dat inhoudt dat het slachtoffer wordt overspoeld met consistente stromen van User Datagram Protocol (UDP) klasse data. Bij dit type aanval worden willekeurige poorten van een externe host herhaaldelijk overspoeld met verbindingsverzoeken. Vergelijkbaar met UDP-flooding is de ICMP (ping) flood, die snel en willekeurige pingpakketten verstuurt zonder te wachten op feedback voor verbinding. De pakkettenstroom put de bronnen en bandbreedte van de host uit en maakt het soms onmogelijk om een handshake tot stand te brengen wanneer legitieme verbindingsvragen worden gedaan.
SYN Flood Aanval: Dit type aanval maakt misbruik van een kwetsbaarheid in TCP-verbindingen – De drie-staps-handdruk. Drie-staps-handdrukken houden in dat een externe computer een verbindingsverzoek naar een server stuurt; de server reageert door het verzoek te erkennen. De externe computer moet ook reageren op de erkenning door een verbindingsinitiërend pakket te sturen. Wat hackers doen om een DDoS-aanval via dit kanaal uit te voeren, is meerdere SYN-verbindingsverzoeken naar een enkele host sturen met behulp van een botnet. Servers reageren op elk knooppunt met een ACK-bericht, maar de hackers voorkomen dat de botnets reageren. Een gebrek aan reactie op het ACK-bericht laat de aangevallen server in de wacht staan, en er worden meer handdrukverzoeken gestuurd totdat alle bronnen van de slachtoffers zijn uitgeput.
HTTP Flood-aanvallen: Deze maken misbruik van legitieme verzoeken bedoeld voor de GET- en POST-activiteiten van pakketten die naar en van een website of server gaan. De aanval misleidt de externe server meestal om maximale middelen toe te wijzen aan de valse verzoeken.
Preventieve Maatregelen Tegen DDoS-aanvallen
Zoals eerder benadrukt, worden DDoS-aanvallen uitgevoerd in twee fasen: het rekruteren van de nodes die het botnet vormen en het overstromen van het netwerk van het slachtoffer met buitensporig verkeer. Dagelijkse gebruikers van thuisinternetnetwerken kunnen voorkomen dat ze deelnemen aan een botnetaanval door elke bron van kwetsbaarheid op persoonlijke apparaten te elimineren door de onderstaande stappen te volgen:
1. Wachtwoorden wijzigen op nieuwe apparaten:
Netwerkhardware zoals routers, switches, Wi-Fi hubs en IoT-apparaten worden geleverd met standaardwachtwoorden. Het wijzigen van standaardwachtwoorden is verstandig, aangezien die stap uw apparaat en alle andere apparaten die ermee verbonden zijn, verder weg brengt van een mogelijke inbreuk. Een blik op de handleiding van de gebruiker of de website van de fabrikant zou eenvoudige stappen moeten onthullen om het apparaatwachtwoord te wijzigen.
2. Gebruik actuele en betrouwbare beveiligingsbronnen:
Het updaten van de firmware van front-end apparaten, firewalls en het besturingssysteem zal de eerste beschermingslaag zijn tegen de infiltratie van malware op netwerkapparaten.
Voor organisaties die ontdekken dat hun netwerkinfrastructuur onder een DDoS-aanval ligt, zou de volgende handelswijze moeten garanderen dat de downtime en het daaruit voortvloeiende verlies minimaal is.
3. Gebruik gateway-technologie die plotselinge pieken in verkeer identificeert
Een DDoS-aanval kan gemakkelijk worden ingedamd als deze op tijd wordt opgemerkt; dit geeft genoeg tijd om contact op te nemen met de ISP van het bedrijf, die vervolgens hun beste DDoS-verdrijvingstechniek zou implementeren. Een ISP kan de impact van een DDoS-aanval stoppen of minimaliseren door het verkeer te verspreiden naar servers met beschikbare bandbreedtes of door het verkeer om te leiden naar een Sink Hole of Black Hole. Black Holes zijn echter effectiever omdat al het verkeer, zowel legitiem als illegitiem, naar een aangevallen IP-adres wordt gestuurd naar een ‘null interface’ gat. Sinkholes proberen daarentegen de datapakketten te filteren.
4. Backend herconfiguratie van netwerkbronnen
Het is mogelijk om het toegestane bandbreedtevolume te beperken door hardware zoals switches en routers, wat eveneens geldt voor firewalls. Met de verkeersbeperking wordt de enorme bandbreedte van verkeer, kenmerkend voor DDoS-aanvallen, afgeschermd, terwijl pakketten met reguliere kenmerken worden toegelaten tot het lokale netwerk.
5. Zorg dat IoT-apparaten beveiligd zijn
Een kwetsbaarheid in een koffiezetapparaat zou zijn uitgebuit om de netwerkinfrastructuur van een casino te hacken. Het eerder gegeven advies over IoT-apparaten is het benadrukken waard – verander standaardwachtwoorden zodra uw IoT-apparaten uit de doos komen, en doe moeite om de firmware van het apparaat regelmatig te updaten.
Conclusie
DDoS-aanvallen kunnen ontmoedigend en vrij ingewikkeld lijken, maar dat is nu verleden tijd. Met de nieuwe of bijgewerkte kennis over DDoS-aanvallen via dit artikel, zou het kennen van de capaciteit van een ISP om je website tegen zo’n aanval te beschermen op de lijst moeten staan van zaken om te controleren bij het kiezen van een ISP om op te abonneren.