U kunt uzelf beschermen tegen identiteitsdiefstal door uw burgerservicenummer en andere gevoelige documenten te beschermen, regelmatig uw kredietrapporten te controleren, een tool voor dark web-monitoring te
Een Distributed Denial of Service-aanval (DDoS) is een poging om het normale verkeer van een geselecteerde server te verstoren. Dit wordt gedaan door de geviseerde server, service of netwerk te overspoelen met een stortvloed aan internetverkeer, waardoor de server uiteindelijk trager wordt of helemaal vastloopt. Zie het als een verkeersopstopping, waardoor alle auto’s op een weg vertragen of tot stilstand komen. In plaats van voertuigen te vertragen of te stoppen, vertraagt of stopt een DDoS-aanval het webverkeer, waardoor een website of app traag werkt of helemaal vastloopt.
Hoe werken DDoS-aanvallen?
Netwerkbronnen kunnen slechts een eindig aantal verzoeken verwerken en servers hebben een beperkte bandbreedte. Dit betekent dat het serviceniveau daalt wanneer het verkeersvolume de capaciteitslimiet overschrijdt.
Meestal is het uiteindelijke doel van een aanvaller om de normale werking van de webbron volledig te belemmeren. Bovendien kan de aanvaller ook eisen dat er een betaling wordt gedaan om de aanval te beëindigen. De aanval kan ook een poging zijn om de reputatie van een bedrijf in diskrediet te brengen of te beschadigen.
DDoS-aanvallen worden uitgevoerd met behulp van netwerken van machines, bots genaamd, die zijn verbonden met het internet. Deze netwerken bestaan uit computers en andere apparaten, zoals Internet of Things (IoT)-apparaten die zijn geïnfecteerd met malware. Een verzameling bots wordt een botnet genoemd en wanneer er een wordt gemaakt, kan de aanvaller een aanval besturen door elke bot op afstand opdrachten te geven.
Wanneer een server of netwerk het doelwit is van een botnet, stuurt elke bot zoekopdrachten naar het IP-adres. Hierdoor raakt de server of het netwerk overweldigd, wat resulteert in een DDoS-aanval op het reguliere verkeer. Omdat elke bot een legitiem internetapparaat is, kan het moeilijk zijn om aanvalsverkeer te onderscheiden van gewoon verkeer.
De verschillende soorten DDoS-aanvallen
Hoewel de meeste DDoS-aanvallen bestaan uit het overspoelen van een geviseerd apparaat of netwerk met verkeer, zijn er drie hoofdtypes aanvallen, en binnen elk type zijn er ook subtypes.
1. Volumegebaseerde (volumetrische) aanvallen
Een volumetrische aanval probeert de bandbreedte van een netwerk te overschrijden door veel verkeer of verzoeken naar het doelwit te sturen. Deze aanvallen zijn bedoeld om het doelwit te overweldigen in een poging om hun services te vertragen of volledig te stoppen. De grootte van het verzoek bedraagt meestal honderden gigabits per seconde (Gbps). Onlangs hebben nieuwere aanvallen meer dan één terabyte per seconde (Tbps) bereikt.
Volumeaanvallen komen vaak voor vanwege de lagere technische barrière voor het produceren van een overvloed aan verzoeken. Meestal gebruiken aanvallers eenvoudige versterkingstactieken. Wanneer dit soort tactiek wordt gebruikt, komt het verkeer van verschillende bronnen, zoals IP-adressen of netwerken, wat het handmatig beperken van volumetrische aanvallen een grotere uitdaging maakt.
DNS-versterking
DNS-versterking is een subtype van een volumetrische aanval. Tijdens dit soort volumetrische aanval maken de aanvallers gebruik van de functionaliteit van open DNS-servers. Eenmaal binnen, overweldigt de aanvaller de doelserver of -servers met een buitensporige hoeveelheid verkeer, waardoor de server en de omliggende infrastructuur onbereikbaar worden.
UDP-stortvloed
Een UDP-overstroming is een ander subtype van een volumetrische aanval. Tijdens dit soort aanval stuurt de aanvaller een enorme hoeveelheid UDP-pakketten (User Datagram Protocol) naar de beoogde server, met als doel de capaciteit van het apparaat om de verzoeken te verwerken en te beantwoorden, te overweldigen. Dit kan ertoe leiden dat de firewall die de beoogde server beschermt uitgeput raakt, wat resulteert in het weigeren van service aan legitiem verkeer.
2. Protocolaanvallen
Een protocolaanval maakt gebruik van kwaadaardige verbindingsverzoeken die profiteren van protocolinteracties om de capaciteit van verschillende netwerkinfrastructuurbronnen, waaronder servers en firewalls, te proberen, te gebruiken en uit te putten.
SYN-stortvloed
SYN-overstroming is een subtype van een protocolaanval die de bronnen van de server volledig wil uitputten om deze onbeschikbaar te maken voor legitiem verkeer. Aanvallers kunnen alle open poorten op een server overweldigen door vaak pakketten met initiële verbindingsverzoeken (SYN) te sturen. Als gevolg hiervan reageert het beoogde apparaat langzaam of helemaal niet op legitiem verkeer.
Ping des doods
Een ander subtype protocolaanval wordt ‘ping des doods’ genoemd. Wanneer dit soort aanval plaatsvindt, stuurt de aanvaller een groot pakket kwaadaardige gegevens naar de beoogde server met een eenvoudige ping-aanvraag. Wat ze verzenden is aanzienlijk groter dan wat de server aankan en resulteert in het vastlopen, destabiliseren of bevriezen van de server.
3. Aanvallen op de applicatielaag
Het doel van een aanval op de applicatielaag is om de bronnen van het doelwit uit te putten om een denial-of-service te produceren. De focus van deze aanvallen ligt op de laag waar webpagina’s op de server worden gemaakt. De kosten voor het verwerken van een enkel HTTP-verzoek zijn laag aan de kant van de client, maar de kosten voor het beantwoorden aan de kant van de doelserver kunnen hoog zijn. Dit komt doordat de server vaak meerdere bestanden en databasequery’s laadt om een webpagina te genereren. Aanvallen op de applicatielaag zijn een uitdaging om te beperken, omdat het moeilijk is om onderscheid te maken tussen kwaadaardig en legitiem verkeer.
HTTP-stortvloed
Een HTTP-overstromingsaanval is een subtype van een aanval op de applicatielaag die een doelserver wil overweldigen met HTTP-verzoeken. Denial-of-service treedt op wanneer het doelwit verzadigd raakt met verzoeken en niet langer in staat is om te reageren op legitiem verkeer.
Laag-en-langzaam aanvallen
Laag-en-langzaam aanvallen, ook bekend als aanvallen met lage snelheid, zijn een ander subtype van aanvallen op de applicatielaag. Dit is een stiekeme aanval op de beoogde server die extreem langzaam verkeer verzendt dat lijkt op een legitiem verkeer, waardoor het moeilijk te onderscheiden is van normaal verkeer. Hierdoor blijft dit soort aanval vaak lange tijd onopgemerkt.
Een DDoS-aanval identificeren
Hoewel cybercriminelen soms doelwitten bedreigen voordat ze een DDoS-aanval uitvoeren, gebeurt dit vaak zonder waarschuwing. Bovendien kunnen er meerdere uren verstrijken tussen het moment dat het beveiligingspersoneel een DDoS-aanval detecteert en het moment waarop het de aanval afremt. Dit kan leiden tot talloze uren trage service of een vastgelopen website of app, wat een aanzienlijke impact kan hebben op site-impressies en verkoop.
Hier zijn enkele waarschuwingssignalen dat er mogelijk een DDoS-aanval aan de gang is.
- Loganalyse toont ongebruikelijke pieken in het verkeer, maar u kunt er geen plausibele verklaringen voor vinden.
- U ervaart of begint rapporten over trage prestaties van de site te ontvangen van klanten. Als u dezelfde verbinding gebruikt voor uw interne netwerk, zullen werknemers bovendien problemen met traagheid gaan opmerken.
- Uw server reageert met een 503-foutmelding voor niet beschikbaar. Wanneer het verkeersvolume afneemt, verdwijnt deze fout normaal gesproken. Als het na enige tijd nog steeds aanhoudt, is er iets mis.
- Bepaalde IP-adressen vragen herhaaldelijk veel verbindingen aan in korte tijd.
- Interne gebruikers melden trage toegang tot bestanden of kunnen ze helemaal niet openen.
- Uw e-mailsysteem wordt overladen met spam-e-mails.
Zo kunt u DDoS-aanvallen beperken
Onderscheid maken tussen kwaadaardig en legitiem verkeer is een belangrijk punt van zorg bij het beperken van een DDoS-aanval. Hier zijn enkele manieren om DDoS-aanvallen te beperken.
Maak een reactieplan voor DDoS-aanvallen
Door voorbereid te zijn op een DDoS-aanval voordat deze plaatsvindt, weet u precies wat u moet doen als er een aanval plaatsvindt. In uw reactieplan voor DDoS-aanvallen moet u een checklist hebben met alle stappen die u moet nemen, met wie u contact moet opnemen en welke tools u moet gebruiken. Uw reactieplan moet ook de verantwoordelijkheden van elke persoon in uw team bevatten. Door al in een vroeg stadium verantwoordelijkheden toe te wijzen, weet iedereen in uw team wat te doen als er een DDoS-aanval is geïdentificeerd. Met een reactieplan kan een DDoS-aanval worden beperkt voordat er blijvende schade aan uw organisatie wordt toegebracht.
Het verkeer controleren
DDoS-aanvallen verstoren het verkeer van een beoogde server door de server te overweldigen met een stortvloed aan internetverkeer. Door het verkeer van uw server of netwerk voortdurend te monitoren met monitoringtools, kunt u door het ontvangen van een waarschuwing of melding identificeren wanneer het verkeer een bepaalde drempel bereikt. Met deze tool kunt u niet alleen DDoS-aanvallen vroeg identificeren, maar ook schade beperken.
Snelheidsbeperking
Omdat DDoS-aanvallen botnets gebruiken om een beoogde server te overweldigen, is snelheidsbeperking nuttig om het aantal verzoeken dat een gebruiker of bot kan doen te beperken door de hoeveelheid tijd te meten tussen elk verzoek vanaf elk IP-adres. Wanneer er te veel verzoeken worden gedaan in een specifiek tijdsbestek vanaf één enkel IP-adres, blokkeert de snelheidsbeperkende tool deze.