De impact van ddos-aanvallen (distributed denial of service) uitgevoerd met honderdduizenden of zelfs miljoenen gekaapte computers neemt toe. Steeds meer organisaties worden voor hun functioneren afhankelijk van een website of van internetinfrastructuur. Een inbreuk op die diensten kost veel geld.
De meeste Nederlandse isp’s en hostingbedrijven zijn goed voorbereid op het verwerken en afslaan van een grootschalige ddos-aanval”, zegt Tames van der Does, system engineer bij Cisco. Van der Does was een van de sprekers op het Megabit-evenement dat begin augustus in Ede plaatsvond. “De netwerkvoorzieningen van de isp-netwerken zijn in Nederland zo goed dat zelfs de zwaarste ddos-aanvallen te verwerken zijn. Verbindingen van 10 Gbps zijn geen uitzondering meer. Een zware ddos-aanval genereert hoogstens 1 Gbps aan verkeer.” In het aantal aanvallen en de omvang zit de laatste tijd weinig stijging. Hij schrijft dat voor een belangrijk deel toe aan de komst van Windows XP SP 2. Deze opwaardering van het veel gebruikte besturingssysteem zet de firewall op computers aan en dwingt gebruikers om antivirusdefinities bij te houden.
De via isp’s of hostingbedrijven aangesloten organisaties kunnen wel aanzienlijke schade oplopen door een ddos-aanval doordat hun netwerkcapaciteit te laag is om een grote aanval te verstouwen. “Ook al groeien botnets niet meer, het betekent wel dat bedrijven met een aanzienlijke onderbreking van hun dienstverlening geconfronteerd kunnen worden. Dat komt harder aan naarmate je afhankelijker bent van het goed functioneren van je internetinfrastructuur. Dat is vandaag de dag steeds meer het geval”, meent Van der Does. Hij schat dat de helft van de Nederlandse internetaanbieders inmiddels gespecialiseerde software en apparatuur gebruikt om ddos-aanvallen af te slaan door het nepverkeer uit het netwerk te filteren. Dat vormt de basis voor speciale diensten die het effect van een ddos-aanval moeten minimaliseren.
Technieken
Dergelijke apparatuur functioneert als een router die er bij een aanval in eerste instantie vanuit gaat dat al het verkeer onbetrouwbaar is. Met verschillende technieken, waaronder een herstart van de tcp-sessie of het toesturen van url-direct, wordt bij de bron nagegaan of het om regulier verkeer gaat of om nepverkeer dat gegenereerd is door een geïnfecteerde computer. “De meeste kwaadaardige software is klein in omvang en niet geavanceerd genoeg om dit soort verificatieverzoeken goed af te handelen. Het verkeer van die geïnfecteerde bronnen wordt vervolgens tegengehouden door de router. Op deze manier is 90 tot 95 procent van de aanval af te slaan”, aldus Van der Does. De Netflow-software van Cisco, die deels ‘open source’ is, is het meest gebruikte filterprogramma. Arbor Networks heeft een gespecialiseerd apparaat ontwikkeld met deze software aan boord die geautomatiseerd ddos-aanvallen bestrijdt.
