Het doel van een Denial-of-Service-aanval, kortweg een DoS, is het onbruikbaar maken van een service, zoals een applicatie, website of een webwinkel. Bij een succesvolle DoS-aanval wordt het netwerk, systeem of applicatie overbelast waardoor (web)applicaties gedurende de aanval niet meer bereikbaar zijn voor legitieme bezoekers. Een dergelijke aanval kan leiden tot enorme hinder voor uw klanten en aanzienlijke omzetderving. Bovendien kan een DoS-aanval ook nog eens heel goed gebruikt worden om de it-afdeling bezig te houden tijdens de aanval om via een achterdeurtje ondertussen een digitale inbraak te plegen.
Bij een DDoS-aanval maakt een groot aantal computers, vaak enkele duizenden vanaf veel verschillende locaties ter wereld, verbinding met één enkele server (of platform). De server is het doelwit: de daders proberen deze server traag te maken of in het ergste geval onbereikbaar te maken. Een dergelijke aanval veroorzaakt men door een server te overspoelen met webverkeer. Om dit voor elkaar te krijgen zet men vaak botnets in. Botnets kunt u zien als een verzameling van softwarerobots, die automatisch en zelfstandig kunnen opereren. Meestal zijn dit geïnfecteerde computers met software welke ongemerkt geïnstalleerd is door een computervirus of zogenaamd Trojaans paard.
Waarom zou u zich zorgen maken?
In 2016 werd een recordaantal DoS-aanvallen uitgevoerd, en de voortekenen lijken op nog meer groei te wijzen. Bovendien worden de DoS-aanvallen steeds groter, complexer én goedkoper. U kunt nu voor de prijs van een krant een uur lang een botnet huren. Een hacker kan tegenwoordig tegen zeer geringe kosten uw website permanent uit de lucht halen. En hoe groter uw bedrijf is, des te groter de kans dat u wordt getroffen. Gezien deze trends is de vraag niet of u wordt aangevallen, maar wanneer.
Wat niet werkt:
Om deze aanvallen tegen te gaan wordt vaak gebruik gemaakt van enkele standaard methoden. Maar deze zijn niet helemaal toereikend.
- Blackholing of sinkholing
Hierbij wordt u uit uw netwerk verwijderd, waardoor de rest van het netwerk tegen aanvallen wordt beschermd. Hierdoor krijgen aanvallers geen toegang tot uw netwerk. Maar uw website gaat nog steeds offline. Geen ideale oplossing. - Firewalls
Firewalls zijn de standaardoplossing om uw netwerk tegen indringers te beschermen. Maar firewalls zijn bedoeld om kleine aantallen illegale entiteiten te weren. DoS-aanvallen zijn echter bestaande entiteiten die worden verstuurd in aantallen die groot genoeg zijn om een netwerk te overspoelen. Deze tegenstrijdigheid houdt in dat firewalls vaak hoofdzakelijk als bottleneck functioneren en uw website alleen maar trager maken. - Intrusion Prevention Systems (IPS)
Een IPS voert een ‘deep packet inspection’ (DPI) uit die de databestanden van pakketten screent als ze uw netwerk binnenkomen. Maar als een IPS grote hoeveelheden verkeer wil analyseren, zoals bij een DoS-aanval, ontstaat er alleen maar een extra bottleneck. Bovendien laten IPS’en alleen verkeer door waarvan ze zeker weten dat het onschadelijk is. Dit kan bij grote druk op het IPS leiden tot fout-positieven. Daarbij komt nog dat ze handmatig moeten worden geüpdatet om te beschermen tegen de nieuwste beveiligingsproblemen en dat ze, als ze niet constant worden beheerd, een systeem onnodig kwetsbaar kunnen maken.
Het probleem met de hierboven genoemde methoden is dat ze niet bedoeld zijn om DoS-aanvallen te stoppen. Ze zijn slechts ontwikkeld om afzonderlijke sessies te screenen en zijn niet bedoeld voor situaties waarin tegelijkertijd miljoenen legitieme sessies worden gestart. Deze methoden zijn vervolgens als bescherming tegen DoS-aanvallen ingezet omdat er geen specifiek ontwikkelde bescherming beschikbaar was. Het gevolg is dat het aantal succesvolle DoS-aanvallen elk jaar toeneemt.
De oplossing? DoS-mitigatie
Bij DoS-mitigatie wordt uw verkeer omgeleid via een speciaal hiervoor gebouwd DoS-beschermingsplatform dat de webverkeerpatronen in realtime monitort en analyseert. Als een DoS-aanval wordt waargenomen, wordt het verkeer naar het dichtstbijzijnde ‘scrubbing center’ geleid waar het ‘goede’ verkeer van het ‘slechte’ verkeer wordt gescheiden en vervolgens wordt doorgestuurd om de gevolgen van de DoS-aanval tot een minimum te beperken. Het schone verkeer wordt vervolgens teruggeleid naar het netwerk of platform van de klant. Deze techniek is niet alleen zeer effectief, maar hierdoor is ook minder dure hardware nodig en hoeft u geen tijd te besteden aan het configureren van ingewikkelde instrumenten als routers en firewalls.
Bigger is better!
En met een provider die toegang heeft tot een groot netwerk verspreid over meerdere belangrijke netwerkknooppunten, waarmee meer verkeer verwerkt kan worden, kunt u beschermd worden tegen veel grotere DoS-aanvallen dan uw eigen netwerk en apparatuur zelf ooit had aangekund.
Door: Wiebe Nauta, managing director, Claranet Benelux
Pas actie ondernemen nadat een DDoS aanval is waargenomen en dan pas het dataverkeer via een extern scrubbing center laten opschonen wordt steeds minder toegepast. Naast dat deze out-of-path methode door het overschakelen hickups met zich meebrengt (welke steeds minder acceptabel voor gebruikers zijn) kent het extern scrubbing center op deze manier het normale dataverkeer niet en kan zodoende onmogelijk het onderscheid maken tussen goed en fout dataverkeer. Daardoor zal het alleen vrij algemene (domme) aanvallen kunnen wegnemen en zal het een beetje geavanceerde/gecoördineerde aanval niet of maar ten delen kunnen wegnemen en is de kans op fouten groot. Daarbij moet er bij out-of-path protectie vanuit worden gegaan dat de lokale detectie ook goed zijn werk doet, en dat is vaak bij (slow) layer7 attacks niet het geval of veel te laat. Ons advies is dan ook altijd om als het mogelijk is altijd een externe scrubbing dienst in-line te zetten en daarbij vooraf de beveiliging laag volledig af te stemmen op het IP gebruik. Een goede externe dienst zal dan uw IP verkeer leren en daarmee periodiek uw persoonlijke beveiliging configuratie aanpassen. Daarmee wordt de externe scrubbing dienst een flexibel onderdeel van uw IP beveiliging en maakt het de kans om een DDoS aanval tegen te houden vele malen groter. 🙂