Als een partij als Anonymous een bedrijf in het vizier heeft dan is het heel lastig om er wat aan te doen. Het komt dan ook regelmatig in het IT nieuws. Het is heel eenvoudig om een DDOS attack te organiseren. Met een eenvoudig tooltje zoals de Low Orbit Canon (LOIC) en een grote groep die zich vrijwillig aanbiedt om mee te helpen kun je al ver komen. IT kennis heb je niet nodig. Heb je die grote menigte niet? Dan kun je op het darkweb een DDOS aanval bestellen. Voor €100 per 1000 hosts kun je een botnet een aanval uit laten voeren.
Een botnet bestaat uit appraten die voorzien zijn van malware en hiermee op afstand aangestuurd worden door de “eigenaar”. De kans is dus dat als jij thuis achter je PC zit zonder dat je het zelf in de gaten hebt meehelpt aan een aanval. Vooral the Internet of Things is hierin een probleem. Veel apparaten zoals beveiligingscamera’s worden aan het internet gekoppeld zonder na te denken over de beveiliging.
Wat is een DDOS aanval?
Vanaf heel veel verschillende apparaten wordt verkeer verstuurd. Hierdoor krijgt de ontvanger van het verkeer het zo druk dat deze het niet aankan. Deze kan niet meer reageren op normaal legitiem verkeer. De aanval doet geen schade aanrichten alleen de beschikbaarheid wordt aangetast. Hierdoor ontstaat reputatieschade en ook financiele schade. De DDOS aanval kan ook als een rookgordijn werken. Door de DDOS aanval gaat de security afdeling van het bedrijf zich focussen op deze aanval terwijl ondertussen een echte hack wordt uitgevoerd.
Wie hebben er last van?
De redenen van een DDOS aanval zijn onder te verdelen in: het rookgordijn, afpersing, politieke reden, voor de lol en de concurrentie dwarszitten. Voornamelijk bedrijven waarvan de online dienstverlening kritisch is zijn gevoelig. Van banken is het bekend dat ze dagelijks te maken hebben met kleine tot grote aanvallen. Wat gebeurd er als je niet kan internetbankieren? Je zal het vast niet erg vinden als je 1 uur geen geld kan overmaken. Maar dit kan wel schade aanbrengen aan het vertrouwen. En laat dit nu hetgeen zijn waar het hele bankaire systeem op gebouwd is.
Een bekende aanval is de aanval op de DYN DNS infrastructuur op 21 oktober 2016. Hierdoor waren vele internetdiensten in grote delen van Noord-Amerika en Europa niet beschikbaar. Sites waaronder CNN, Netflix, Amazon en PayPal waren er dan ook een paar uur niet. Deze aanval is uitgevoerd door het Mirai botnet bestaande uit 100.000 geinfecteerde machines. Iran is beschuldigd van het uitvoeren van DDOS aanvallen tegen Amerika als reactie op economische sancties vanwege het nucleare programma. In Ukraine is een DDOS aanval uitgevoerd door heel veel neptelefoontjes te sturen naar een telefooncentrale. Dit als onderdeel van een grote hack aanval op de stroomvoorziening. Door eerste de telefooncentrale plat te leggen kon niet gemeld worden dat de stroomvoorziening niet meer werkte.
De techniek achter een DDOS aanval
Een DDOS aanval kan op verschillende manieren uitgevoerd worden. Een voorbeeld van een DDOS attack is een SYN flood. Deze werkt als volgt: de server wil met een client een TCP-sessie opzetten. Hiervoor is een three-way handshake nodig. Bij een DDOS aanval stuurt een client wel een request voor de handshake, maar reageert vervolgens niet meer op de reactie vanaf de server. De server houdt daarop de TCP-sessie open tot de sessie verloopt (timeout), in afwachting op reactie. Door maar genoeg handshake requests te doen en daarna geen antwoord meer te geven, zijn er op den duur zoveel sessies open dat de server het niet meer aan kan.
Een ander mooi voorbeeld is een reflected attack. Een aanvaller stuurt naar veel verschillende computers een pakket met een spoofed IP-adres. De reactie op het pakket wordt vervolgens gestuurd naar de target die wordt aangevallen. Als je dan zorgt dat het antwoord groter is dan het pakket dat de aanvaller stuurt dan maak je het nog eenvoudiger om de aanval succesvol te maken. Stel je doet een request om een DNS zone op te vragen. Je aanvraag is “wat zit er in deze DNS zone” dat zit in een klein pakketje. Het antwoord op deze vraag is de hele inhoud van de zone. Dat is veel meer data. Hierdoor zal de target sneller door zijn hoeven gaan.
Wat kun je ertegen doen?
Om te beginnen kun je alle systemen die rechtstreeks met internet verbonden zijn achter een firewall zetten. Poorten die niet open staan kunnen tenslotte niet misbruikt worden vanaf het internet. Daarna kun je zogehten server hardening toepassen. Hierbij zorg je dat je alleen de modules op de server aan hebt staan die je ook echt gebruikt. Op internet is veel documentatie te vinden hoe je dit aan kunt pakken. Zorg er ook voor dat je servers en de internetverbinding meer dan voldoende capaciteit hebben. Als de server maar 200mb geheugen over heeft dan kan een kleine aanval al tot problemen leiden. Overprovisionen kan dus wat helpen om een DDOS aanval aan te kunnen. Wil je het aanvalsoppervlak nog verder verkleinen dan kun je kiezen voor de implementatie van een Web Application Firewall (WAF). De WAF staat voor de webdienst en stuurt het verkeer door naar de webserver. De WAF detecteerd pakketpatronen en blokkeert deze wanneer ze niet legitiem zijn. Hierbij wordt voornamelijk gekeken naar hoe de client zich gedraagt. Gaat deze rare URL’s opvragen of is er sprake van onnatuurlijk verkeer? Dan houdt de WAF dit tegen.
Voor bedrijfskritische internetdiensten kun je een anti-DDOS oplossing overwegen. Deze is gespecialiseerd in het detecteren van DDOS aanvallen. Ook deze oplossingen werken op basis van patroonherkenning. Als een DDOS aanval wordt gezien dan wordt deze geblokkeerd. Anti-DDOS apparatuur is fysieke en werkt op basis van ASIC en heeft hierdoor veel meer capaciteit dan de achterliggende systemen. Er zijn overigens ook bedrijven die anti-DDOS als clouddienst aanbieden. Een anti-DDOS oplossing zorgt ook voor visualisatie van het verkeer. Zo kun je zien waar de verkeersstromen vandaan komen. Als een aanval niet door de anti-DDOS oplossing wordt herkend dan kun je op basis van de herkomst alsnog zelf actie ondernemen. Het lastige van een DDOS is dat deze gedistribueerd is. Het heeft hierdoor geen zin om een IP-adres of -reeks te blokkeren. Meestal komt een aanval wel vanuit een regio. Als laatste redmiddel kun je het verkeer afkomstig van een land waar de aanval vandaan komt te blokkeren. Vaak komt de aanval ook uit een land waar geen zaken mee wordt gedaan. De professionele aanvaller weet dat een aanval die vanuit een land als Rusland wordt uitgevoerd resulteert in een kans op vervolging die nagenoeg 0% is.
Conclusie
Het is eenvoudig om een DDOS aanval uit te voeren. Je hebt er veelal geen IT kennis voor nodig. Organisaties met een kritische online dienstverlening zijn gevoelig voor DDOS aanvallen. Steeds meer bedrijven hebben er last van en willen er wat aan doen. Het gebruik van een firewall en server hardening zijn de eerste essentiële stappen. Wil je de beveiliging verder verbeteren dan behoort de Web Application Firewall of een anti-DDOS appliance tot de mogelijkheden. Toch zijn niet alle aanvallen tegen te houden, want de DYN aanval heeft ondanks alle maatregelen toch invloed gehad op verschillende, belangrijke internetdiensten.