DDoS aanvallen, het is bijna dagelijks in het nieuws! Zelfs de grootste Cloud aanbieders ontkomen er niet aan. Waar heb je nou precies mee te maken?
In een eerdere blog hebben wij meer verteld over een DDoS aanval, wat het is en hoe je je ertegen kunt bewapenen. In dit blog willen wij even stilstaan bij de verschillende soorten DDoS aanvallen.
Er zijn vele vormen van Denial of Service (DoS) aanvallen. De meeste vormen zijn gedistribueerd, dat wil zeggen dat de aanval van veel systemen af komt. Vaak zijn deze systemen PC’s van thuisgebruikers die niet eens weten dat hun systeem is geïnfecteerd en deel uit maakt van een zogenaamde Botnet. Een Botnet is een verzameling van geïnfecteerde PC’s die door één iemand worden beheerd. Deze persoon kan de Botnet inzetten voor allerlei zaken waaronder een DDoS.
Één van de DDoS varianten is het simpelweg veel verkeer sturen vanaf de Botnet naar het aangevallen IP adres. Wij geven hier een voorbeeld: stel dat de Botnet 10.000 PC’s bevat die allemaal achter een verbinding met een capaciteit van 50 Mbit/sec hangen. Dan is er in potentie een verkeerstroom te bereiken van 500 Gigabit. Als je server met één Gigabit aan het netwerk hangt dan zit de aansluiting volledig vol. En niet alleen je eigen aansluiting maar misschien ook wel de aansluiting van je internetprovider.
Een andere variant lijkt op bovenstaande Botnet attack. Er zijn diverse protocollen die UDP (User Datagram Protocol) gebruiken voor hun transport. Denk hierbij aan DNS (Domain Name System).
Een DNS Amplification attack werkt als volgt: je stuurt een vraag naar een DNS server waarvan je weet dat het een groot antwoord oplevert. Dat doe je door gebruik te maken van het IP-adres van het aan te vallen systeem (wordt ook wel gespoofed bron IP-adres genoemd). Het antwoord wordt dan gestuurd naar het aan te vallen systeem.
Wanneer je dit vanaf veel systemen doet, bereik je hetzelfde effect als het vorige voorbeeld. Bekende protocollen die hiervoor gebruikt worden zijn DNS, NTP en memcached. Bij DNS kan de amplification factor wel in de orde van 50 zijn, bij NTP in de orde van 500 en bij memcached kan het wel tot 50.000 zijn.
Elke webserver heeft een beperkte capaciteit. In het HTTP-protocol zit functionaliteit als keep-alive om een sessie tussen client en webserver open te houden zodat de client extra snel gegevens op kan halen. Deze functionaliteit is ook te misbruiken door zoveel mogelijk sessies met de server open te houden, zelfs vanaf één client. Er is helemaal niet veel verkeer nodig om dit te bereiken. De aanvaller put het aantal beschikbare sessies uit en houdt deze open. Hierdoor kan een gebruiker niet meer verbinden, er zijn immers géén resources meer beschikbaar op de server.
Dit soort aanvallen is te mitigeren met anti DDoS oplossingen van bijvoorbeeld Fortinet.
Een DDoS die de laatste tijd veel waargenomen wordt is de aanval op authorative name servers. Deze name servers zijn als het ware het telefoonboek voor een domein. Als deze niet bereikbaar zijn zullen alle hosts in het betreffende domein, denk aan www.domein.nl of mail.domein.nl niet gevonden kunnen worden. Een DDoS op een authorative name server komt vaak neer op het overvragen van de name server. Met andere woorden, het opvragen van niet bestaande hosts uit een domein met als enige doel de name server uit zijn resources te laten lopen.
Er ontstaan steeds meer vormen van DDoS aanvallen. Men wordt steeds slimmer en de gebruikte technieken zijn geavanceerder. Blijf alert en neem maatregelen, dat doen wij ook!
ROOT is aangesloten op de Nationale anti-DDoS Wasstraat (NaWas). De NaWas is een initiatief van de stichting Nationale Beheersorganisatie Internet Providers (NBIP) en al meer dan 10 jaar actief.
De anti-DDoS Wasstraat bestaat uit meerdere anti-DDoS apparaten en verscheidene bestrijdingsmethoden. De anti-DDoS Wasstraat detecteert automatisch of er een aanval plaatsvindt, leidt deze vervolgens om, ‘reinigt’ het verkeer en stuurt deze binnen enkele minuten schoon terug. Je bedrijfsnetwerken, websites en applicaties blijven gewoon werken en je medewerkers merken niets van de omleiding.
Wil je meer weten over DDoS bescherming, neem gerust contact met ons op!
Neem contact op