Banken, overheden, onderwijsinstellingen en internetproviders moeten via een landelijke DDoS-radar gezamenlijk aanvallers bestrijden en meer informatie delen over aanvallen op hun vitale infrastructuur. Bij extreem grote en gedistribueerde aanvallen moeten 'Nederlandse' netwerken in stappen en tijdelijk van het mondiale internet losgekoppeld kunnen worden.
Daarvoor pleiten vijf internet- en security-experts (zie kader) in een open brief. Zij willen dat er een strategie komt waarbij DDoS-aanvallen gezamenlijk en pro-actief worden bestreden.
Zij stellen dat de Nederlandse vitale infrastructuur een proactieve en collectieve DDoS-bestrijdingsstrategie nodig heeft op basis van de ‘nationale DDoS-radar’. Dat is een nog te ontwikkelen systeem dat voortdurend ‘fingerprints’ maakt van potentiële en actieve DDoS-bronnen en die automatisch deelt met aangesloten vitale aanbieders.
De schrijvers: ‘De fingerprints representeren bijvoorbeeld de internetadressen van DDoS-bronnen, identifiers van de netwerken waar ze staan en gedetailleerde verkeerspatronen van het DDoS-verkeer dat ze genereren. De DDoS-radar maakt fingerprints op basis van sensoren van vitale aanbieders, zoals DDoS-logs, ‘crawlers’ die het internet afzoeken naar booter-sites, en ‘honeypots’ die besmette IoT-apparaten aantrekken en in kaart brengen.’
Extreme aanvallen
Bij extreem grote en gedistribueerde aanvallen moet de DDoS-radar helpen om gezamenlijk te besluiten om ‘Nederlandse’ netwerken in stappen en tijdelijk van het mondiale internet los te koppelen en deze beslissing in samenwerking met de partijen achter het voormalige Trusted Network Initiative en de Dutch Continuity Board te realiseren.
Hoe de afspraken en naleving van de DDoS-radar vorm moeten krijgen, is te lezen in de brief.
DDos-aanval van 40 gigabit per seconde
Volgens de schrijvers moeten isp’s, banken, overheden en dns-beheerders steeds grotere aanvallen opvangen, die inmiddels het niveau van terabits per seconde hebben bereikt. ‘Zo kregen Github en Dyn beide te maken met aanvallen van meer dan 1 terabit per seconde, twee orde van groottes meer dan de aanvallen op de banken en overheden eerder dit jaar (geschat op 40 gigabit per seconde) en vier orde van groottes meer dan de aanvallen op Estland in 2007 (geschat op 90 megabit per seconde).’
Daarnaast worden DDoS-aanvallen volgens de auteurs steeds complexer, omdat ze van meer soorten bronnen afkomen die overal ter wereld kunnen staan en meerdere doelen tegelijk kunnen treffen. ‘Voorbeelden van DDoS-bronnen zijn onveilige apparaten binnen het ‘Internet of Things’ (IoT), open ‘memcached’ servers, of ‘booter-sites’ die DDoS-aanvallen voor enkele tientjes aanbieden.’
Schrijvers van de brief
- Cristian Hesselman, hij werkt bij SIDN, de beheerder van het nationale top-level-domein van Nederland.nl. Hij leidt SIDN Labs, het researchteam van SIDN.
- Jeroen van der Ham, hij is gastonderzoeker bij de Universiteit Twente. Van der Ham is assistant professor op het gebied van internet security en ethiek in de groep ‘Design and Analysis of Communication Systems’ (DACS).
- Roland van Rijswijk, hij werkt bij SURFnet, de beheerder van het nationale onderzoeks- en onderwijsnetwerk, in de rol van innovator internet security.
- Jair Santanna, die werkzaam is de Universiteit Twente. Hij is assistant professor op het gebied van internet security in de groep ‘Design and Analysis of Communication Systems’ (DACS).
- Aiko Pras, hij werkt bij de Universiteit Twente. Pras is professor op het gebied van internet security in de groep ‘Design and Analysis of Communication Systems’ (DACS).
“Een nog te ontwikkelen systeem dat voortdurend ‘fingerprints’ maakt van potentiële en actieve DDoS-bronnen en die automatisch deelt met aangesloten vitale aanbieders.” “De fingerprints representeren bijvoorbeeld de internetadressen van DDoS-bronnen, identifiers van de netwerken waar ze staan en gedetailleerde verkeerspatronen van het DDoS-verkeer dat ze genereren. De DDoS-radar maakt fingerprints op basis van sensoren van vitale aanbieders, zoals DDoS-logs, ‘crawlers’ die het internet afzoeken naar booter-sites, en ‘honeypots’ die besmette IoT-apparaten aantrekken en in kaart brengen. ”
Dit lijkt me op zich geen gek idee, maar ook op een privaat sleepnet. Maar de DDoS-radar valt niet onder de Wet op de Inlichtingen- en Veiligheidsdiensten 2017 of de Algemene Verordening gegevensbescherming 2018. Wie controleert het gebruik van die DDoS-radar?
Een erg Nederlandse reaktie, internet is globaal, en “tijdelijk van het mondiale internet los te koppelen” is illusorisch. Vele DNS-server staan niet in nederland.
Tegen DDoS-aanvallen kan alleen op globale schaal wat gedaan worden om de bron te lokaliseren en dan de initiator van de aanval aan te pakken.
Vreemde web site. Mijn reactie wordt nogmaals gepubliceerd uit de cache, Van de bijdrage van Jan van Leeuwen krijg ik 2 meldingen op 6 en resp. 7 april. Ik krijg een melding op 6 april dat P Prins een bijdrage heeft geleverd, maar deze bijdrage van P Prins zie ik nog steeds niet op computable.nl.
Schijnt e.e.a. fout te lopen, reakties verdwijnen.