DDoS: iedereen kan het!

DDoS: iedereen kan het!

DearBytesBlogDDoS: iedereen kan het!

Deze dagen is er veel aandacht voor een reeks DDoS-aanvallen die op de internetprovider Ziggo uitgevoerd worden. Door de DDoS bij Ziggo hadden bijna twee miljoen mensen internetproblemen. In het verleden zijn er meerdere periodes geweest waarin bepaalde organisaties, zoals banken, slachtoffer waren van een reeks DDoS-aanvallen. Dit blog beschrijft hoe laagdrempelig het uitvoeren van DDoS-aanvallen tegenwoordig is en waarom het voorkomen van DDoS-aanvallen lastig kan zijn.

Hoe makkelijk is het uitvoeren van een DDoS-aanval?

De afgelopen jaren is er een toename in diensten die de mogelijkheid bieden om een DDoS-aanval uit te voeren. Deze diensten maken zo’n DDoS-aanval kinderlijk eenvoudig. Voor een klein bedrag is het mogelijk om een account te kopen op een website, waarmee vervolgens DDoS-aanvallen uitgevoerd kunnen worden. Hoe meer iemand betaalt, hoe frequenter en krachtiger de DDoS-aanvallen. Er zijn duizenden van dit soort websites: de keuze is enorm. Sommige van deze sites presenteren zichzelf als “stress-test”-dienst voor systeembeheerders, waarmee een organisatie haar eigen netwerk kan testen. Natuurlijk weet de oprichter van zo’n dienst dat deze in werkelijkheid zonder toestemming op andere netwerken gebruikt wordt.

De onderstaande schermafdruk toont het gebruik van zo’n website die DDoS-diensten levert:

hoeveelheid

Deze website heeft zo’n 4952 gebruikers, waarvan er 787 op dit moment actief zijn. In totaal zijn er 14.502 aanvallen geïnitieerd en zijn er op dit moment 24 actief. Deze statistieken zijn dus afkomstig van slechts één van de duizenden beschikbare websites.

Op de website is een formulier beschikbaar, waar slechts enkele instellingen hoeven te worden ingevuld om een DDoS-aanval te initiëren:

bestellene

Op het formulier moet het IP-adres van een slachtoffer ingevuld worden, de poort en de tijd die de aanval moet duren. Daarnaast zijn er verschillende methodes te kiezen. Na het klikken op “Launch Test” wordt een DDoS-aanval geïnitieerd.

Wat is een DDoS-aanval?

Er zijn verschillende typen DDoS-aanvallen. Een van de meest effectieve is een “amplification attack”. Hierbij worden meerdere slecht geconfigureerde servers misbruikt om van een kleine hoeveelheid data een grote hoeveelheid data te maken en deze door te sturen naar het slachtoffer. Zo kan een aanvaller met een beperkte hoeveelheid data een soms wel meer dan 100 maal zo sterke reactie versturen naar het slachtoffer.

Onderstaande afbeelding illustreert de methodiek van deze “Amplification attack”:

DDoS aanval

  1. Aanvaller bestelt een DDoS aanval.
  2. DDoS-site instrueert eigen masterservers om een aanval te starten.
  3. De masterservers verzenden vele aanvragen naar kwetsbare serversystemen waarbij ze zich voordoen als slachtoffer.
  4. De kwetsbare serversystemen sturen vervolgens de vele malen grotere reactie naar het slachtoffer in plaats van de masterservers.

Een organisatie heeft een bepaalde capaciteit op de internetverbinding, bijvoorbeeld 1 GBps. Als een aanvaller meer verkeer genereert dan deze 1 GBps, is het netwerk niet meer in staat om valide verkeer af te handelen. Normaal verkeer kan dan niet meer plaatsvinden, waardoor de diensten die de organisatie aanbiedt, ontoegankelijk worden voor eindgebruikers.

Hoe voorkom ik dat mijn netwerk gebruikt wordt voor zo’n aanval?

Om te voorkomen dat uw infrastructuur misbruikt wordt voor het uitvoeren van DDoS-aanvallen, moeten diensten die een “amplification attack” kunnen veroorzaken, op een juiste manier worden geconfigureerd. Populaire services die misbruikt worden zijn:

  • NTP
  • DNS
  • CharGEN
  • SNMP
  • QOTD

Iedere service moet op een specifieke manier geconfigureerd worden om misbruik te voorkomen. Het belangrijkste hierbij is om goed na te gaan of het noodzakelijk is dat dergelijke services direct met internet verbonden zijn. Meestal is dit niet nodig of kan er gebruik worden gemaakt van een IP whitelist om toegang te reguleren.

Het voorkomen van DDoS-aanvallen

Mensen denken bij een DDoS-aanval vaak dat de organisatie haar IT-infrastructuur niet op orde heeft. Het is echter zeer lastig om DDoS-aanvallen te voorkomen. Op het moment dat de aanvaller meer verkeer verstuurt dan de verbinding aankan, is de DDoS-aanval per definitie geslaagd.

Er zijn diensten beschikbaar die DDoS-mitigatie aanbieden. Vaak zijn deze diensten, waarmee een geheel netwerk wordt beschermd, erg kostbaar en voor de gemiddelde organisatie te duur om te implementeren. De kosten-batenanalyse wijst vaak uit dat de kosten om het DDoS-risico te beperken te hoog zijn.