Afweren aanvallen op websites en internetdiensten kostbare zaak

02 december 2004 - 23:008 minuten leestijdAchtergrondCloud & Infrastructuur
Sytse van der Schaaf
Sytse van der Schaaf

Aanvallen op websites met honderden gekraakte computers zijn moeilijk af te slaan. De technische en organisatorische maatregelen die internetaanbieders treffen zijn van een stevig prijskaartje voorzien.

Aanvalssoorten
Bij veel ddos-aanvallen (distributed denial of service) wordt handig misbruik gemaakt van de verschillende protocollen en onderdelen in tcp/ip, het basisprotocol voor communicatie op internet. In een zogenaamde syn-attack wordt een grote hoeveelheid synchronisatiepakketten uitgestuurd naar de ontvangende toepassing. Deze applicatie wil deze pakketten beantwoorden met bevestigingsberichten dat dit verzoek ontvangen is. Omdat het retouradres van de syn-pakketjes nep is, worden er zoveel bevestigingsberichten teruggestuurd dat het systeem verstopt raakt. Er zijn ook soortgelijke aanvallen met udp, een ander populair protocol op internet.
Ddos-aanvallen (distributed denial of service) zijn in aantal en impact toegenomen. Belangrijke redenen voor deze groei zijn de netwerken met zombiecomputer die op commando een website of dienst op internet plat kunnen leggen. De middelen om een netwerk van zombiecomputers op te bouwen zijn in een jaar tijd een stuk geavanceerder geworden. “Het Trojaanse paard Agobot bijvoorbeeld bevat geavanceerde methodes om op verschillende manieren computers binnen te dringen”, zegt Carol Overes, één van de leden van het ict-calamiteitenteam van de rijksoverheid Govcert.nl. Als het programma zich eenmaal op de computer genesteld heeft, kan het op commando ingezet worden bij een ddos-aanval, het versturen van spam of het uitproberen van experimentele computervirussen.

Verzonnen adressen

De aanvaller achter dit netwerk van gekraakte computers is moeilijk te achterhalen. Kenmerkend voor dit soort netwerkaanvallen is dat de systemen die de massa nepaanvragen op een belaagde applicatie of site afsturen, met verzonnen ip-adressen werken. De hacker die de aanval inzet kan zich hierachter verschuilen. Hij bedient de heimelijk geïnstalleerde software op de zombiecomputers door opdrachten via een chat-kanaal. Het commando dat hij daarin intikt, wordt vervolgens door de in dit net verstrikte computers opgepakt en uitgevoerd. Die nepadressen zorgen er tegelijkertijd ook voor dat de belaagde site of applicatie verstopt raakt. De server die de verzoeken verwerkt kan de antwoorden niet kwijt. Een gekraakte computer die het ene moment gebruikt wordt voor een aanval met syn-pakketjes wordt een minuut later ingezet voor het versturen van nepaanvragen naar een andere site.
Door de snelle opkomst en verspreiding van kwaadaardige code die misbruik maakt van de kwetsbaarheden in besturingssystemen en andere populaire software op internet, zijn de middelen om zo’n netwerk op te bouwen flink gegroeid. Een belangrijke maatregel is volgens Carol dan ook om internetters erop te wijzen hun systemen goed te beveiligen. “Regelmatig patches aanbrengen in het besturingssysteem en het bijhouden van antivirus-software zijn belangrijke stappen om het kraken van computers in de eigen netwerken te voorkomen”, vervolgt Overes. Govcert.nl houdt goed in de gaten of er zich gekraakte systemen bevinden binnen de netwerken van rijksoverheden en andere aangesloten instanties. Ook internetaanbieders houden de vinger aan de pols en informeren elkaar over de aanwezigheid van gekraakte systemen in de netwerken.

Analyseren

Het is lastig om een aanval op een website of dienst te ontwaren. Punt is dat de zware belasting van een website of server ook kan liggen aan uitzonderlijk veel bezoekers. “Het is heel belangrijk om een goed beeld te hebben van de basissituatie in het netwerk en van het verkeer voor websites. Door het verkeer, de belasting van processoren en geheugen in de systemen van een gemiddelde dag als referentiekader te gebruiken, vallen afwijkingen daarvan sneller op”, aldus Overes. Bij een aanval zijn systemen niet goed bereikbaar, waardoor er minder gebruikers of bezoekers zijn dan gebruikelijk. Het netwerkverkeer zal alleen wel veel hoger liggen dan gemiddeld.
Internetaanbieders spelen een cruciale rol bij de maatregelen tegen het platleggen van websites. Zij constateren als eerste afwijkingen in het netwerkverkeer. Daarnaast is het volgens Overes belangrijk om precies in kaart te hebben welke personen actie ondernemen. “Er moet een directe lijn zijn tussen de directie en de systeembeheerder die maatregelen neemt”, zegt zij. Veel van die maatregelen zijn niet door de eigenaar van de website of server te nemen, maar moeten in het netwerk door de internetaanbieder in gang gezet worden. Daarom is een telefoonnummer of contactpersoon voor deze noodgevallen een absolute vereiste.
De internetaanbieder zal bij een aanval nagaan waar deze vandaan komt. Als de bron van één specifiek netwerkadres afkomstig is, is een filter op de router voldoende om een limiet op verkeer vanaf dit adres te plaatsen om overbelasting tegen te gaan. Internetaanbieder BIT, die een aantal chatservers in zijn netwerk opgenomen heeft, pakt aanvallen op deze machines ook met een filter aan. Het plaatst een limiet op het aantal verzoeken voor toegang tot de chatserver. Met deze limiet filtert de aanbieder de nepaanvragen voor toegang eruit. Chatsoftware werkt met lange sessies. De mensen die zijn ingelogd bij de server kunnen doorwerken.
De chatservers zijn inmiddels zo’n populair doelwit geworden, dat BIT deze in een aparte ip-reeks heeft geplaatst. Bij een zware aanval geeft het via zijn routers door dat de ip-reeks vervallen is. Al het netwerkverkeer, inclusief de aanval naar de servers, komt daarmee te vervallen. “Het is de enige manier om betalende klanten van BIT geen last te laten ondervinden van de gratis chatdienst”, zegt Alex Bik, technisch directeur bij de aanbieder. Bij hele grote aanvallen zou al het verkeer bij de aanbieder en de websites die erbij ondergebracht zijn, trager worden.
Volgens Overes verdient het aanbeveling om routers in het netwerk van een standaardfilter te voorzien dat netwerkverkeer van ongebruikelijke ip-adressen tegenhoudt. “Een belangrijke eigenschap van ddos-aanvallen is het werken met nepadressen. De Iana heeft een standaardlijst met dit soort ip-adressen die in een filter te stoppen zijn. Het is geen wondermiddel, maar het kan het effect van zo’n aanval wel tegengaan”, aldus Overes. Om met dit soort filters te kunnen werken, is wel een geavanceerde router vereist. “Als je het filteren in zo’n apparaat niet in de hardware kunt uitvoeren, loop je al snel tegen grenzen aan. Niet iedere router is er dus geschikt voor”, meent Bik.

Verderop in het netwerk

Als het nepverkeer niet vanaf één specifiek netwerkadres afkomstig is, kan de aanbieder de verkeersstromen binnen een router analyseren met een applicatie als Netflow. Deze applicatie geeft zicht op een mogelijke aanval door de netwerkpakketjes in het geheugen van dit apparaat op afwijkingen te controleren. Op die manier is te achterhalen vanaf welk netwerk de aanval afkomstig is en wat voor techniek er voor gebruikt wordt. Deze informatie speelt de aanbieder door aan zijn leverancier van netwerkcapaciteit.
Als het grootste deel van de aanval van dat netwerk vandaan komt, dan kan met een filter het aanvalsverkeer naar het doelwit bij de aanbieder gestopt worden. “Carriers die de netwerkverbindingen met internet voor internetaanbieders verzorgen, reageren doorgaans heel snel op meldingen van dit soort misbruik”, zegt Jim Segrave, netwerkbeheerder bij internetaanbieder Demon. “Als het moet, plaatst Abovenet bijvoorbeeld in een half uur een filter op een router in San Francisco om een aanval op een site die daar begint te stoppen.” Op deze manier proberen internetaanbieders de aanvalsstroom al te stoppen voordat deze het eigen netwerk kan bereiken. Ook XB Networks, Xs4all en Luna noemen deze filters aan de rand van hun netwerk een belangrijk instrument om de impact van ddos-aanvallen te verminderen.

Overeind houden

Internetaanbieders verhogen daarnaast hun verbindingen met internet om overbelasting door ddos-aanvallen te voorkomen. “Het is belangrijk om een website niet te laten bezwijken bij een aanval, ook al gaat het om honderden Mb’s aan netwerkverkeer. Gebeurt het wel, dan laat het zien dat websites die bij deze aanbieder zijn ondergebracht, een gemakkelijke prooi zijn voor aanvallen”, zegt Bik. Het netwerk van BIT krijgt eens in de maand een aanval van rond de 200 Mb te verduren, maar daar zit een stijgende lijn in. Het wil bij één van zijn drie leveranciers voor de verbinding van internet de 100 Mb-connectie verhogen tot 1 Gb. XB Networks zegt twee keer zoveel netwerkcapaciteit aangeschaft te hebben als het daadwerkelijk verbruikt om pieken bij bijvoorbeeld een aanval te kunnen verstouwen.
Een andere maatregel die BIT heeft genomen is de werklast voor de servers waar de websites zich op bevinden over een poel te verdelen. De traditionele manier van websites hosten is deze informatie op afzonderlijke machines te plaatsen en een nieuw apparaat bij te plaatsen als deze vol is. Als een website op zo’n server doelwit wordt van een aanval, krijgt deze machine heel veel informatie te verwerken. Door de werklast over een groep van servers te verdelen, bezwijkt de machine minder snel. Internetaanbieder Luna werkt momenteel aan een voorziening die meerdere kopieën van websites op verschillende locaties beschikbaar stelt. “De websites zullen hierdoor langer bereikbaar blijven. Het is een belangrijke stap in de controle van Luna op mogelijke punten in de bedrijfsvoering waar het mis zou kunnen gaan”, zegt Kostas van Goor van Luna.< BR>

Meer lezen

Geef een reactie

Footer