Een DDoS attack: wat is het en wat doe je eraan?

Af en toe lees je erover in het nieuws: "Anonymous bindt de strijd aan tegen IS". Een ver-van-mijn-bed-show voor de doorsnee internetgebruiker. Maar, wat doen die dan op internet? Kwade berichten op elkaars Facebook zetten?

Alles behalve dat uiteraard.

Botnets

 

Wie de access logs van zijn website opengooit komt wel eens rare dingen tegen. Bijvoorbeeld: "GET /wordpress/wp-admin/ HTTP/1.1" of "POST /include/data/check.asp HTTP/1.1". Je zou dan kunnen denken: ik draai toch helemaal geen WordPress of ASP?

Maar het internet is een vijandige plek, waar tal van scripts draaien die niets anders doen dan op zoek gaan naar websites die oude softwareversies draaien met gekende kwetsbaarheden in. Dit geldt niet alleen voor PHP, maar voor alle software.

Ken jij nog iemand die Windows XP op zijn computer gebruikt? Of die hardnekkig weigert om updates te installeren omdat het systeem daar trager van wordt of de disk al te vol staat? Dan is het hoog tijd voor actie, want het installeren van security updates en het upgraden van niet-ondersteunde versies is essentieel. Je smartphone is trouwens geen uitzondering op deze regel.

 

Waarom is updaten zo belangrijk?

 

Machines die niet up-to-date zijn worden genadeloos geïnfecteerd en vaak als zombie toegevoegd aan een zogenaamd botnet. Zo'n botnet is een verzameling van geïnfecteerde machines, die door een cybercrimineel bestuurd kunnen worden. Machines die diensten leveren, zoals webservers, worden vaak ook ingeschakeld om gebruikers van de dienst, zoals bezoekers van een website, te infecteren en zo het netwerk te vergroten.

Zowel Anonymous als IS als overheidsinstanties zoals de NSA in de US maar ook in China, ... hebben toegang tot dit soort cyber-wapentuig. Vaak worden botnets ook wel eens gehijacked en veranderen zo van eigenaar.

 

botnet.png

(voorbeeld van LOIC botnet van Anonymous)

 

Denial of service

 

Een denial of service aanval is een poging om een online service onbeschikbaar te maken. Vaak is het slachtoffer vrij goed beschermd en kan men niet zomaar de site down halen. Vervolgens wordt er een specifiek type denial of service aanval uitgevoerd. Namelijk de DDoS of distributed denial of service attack.

Via een gedistribueerde aanval zal men vanaf verschillende computers het slachtoffer overladen met requests. De bezoekersaantallen gaan de lucht in tot op het niveau dat er ergens een bottleneck bereikt wordt, bijvoorbeeld de server resources of het netwerk zelf.

Met zo'n botnet vol geïnfecteerde machines is het een makkie om deze machines even te vragen om een paar requests uit te voeren. Bovendien worden botnets op de zwarte markt te huur aangeboden; dit maakt het toegankelijk voor iemand met slechte bedoelingen om jou aan te vallen.

Alle Belgische hosting providers hebben het laatste jaar wel eens bericht last te hebben van zogenaamde DDoS aanvallen. Ook grote diensten zoals Github, BitBucket, Facebook, Twitter, Yahoo en andere grote mediasites laten regelmatig weten dat ze slachtoffer zijn en dat hierdoor de services degraded of zelfs helemaal down zijn.

Via de website http://www.digitalattackmap.com kan je op de wereldkaart de top DDoS aanvallen van de dag zien. Deze data wordt verzameld via een aantal internet service providers (ISP's) die deze data over hun netwerk anoniem willen delen. 

Top daily DDoS attacks worldwide

Ook wij zien DDoS attacks het voorbije jaar vaker en vaker voorkomen. In het wereldwijd aandeel van internet security risico's heeft DDoS ondertussen 50% van de taart. Naast fraude, phishing, datadiefstal, virussen, inbraak, spam, corporate sabotage, ... is dit het meest voorkomende probleem.

 

Hoe oplossen?

 

Vanwege het gedistribueerde karakter van de aanval is het vaak moeilijk om tot een oplossing te komen. Je kan niet zomaar een IP firewallen, het gaat namelijk om duizenden verschillende IP's die wereldwijd verspreid zijn. Vaak gaat het ook over zo veel traffic dat het moeilijk wordt om logs te analyseren zonder gespecialiseerde software. Een zware DDoS is onmogelijk op serverniveau op te lossen.

Vaak implementeren ISP's de BCP38 / RFC2827 best practice nog niet. Deze voorkomt dat er IP source address spoofing aanvallen vanuit hun netwerk kunnen uitgevoerd worden, naar andere netwerken. Door dit soort spoofing is het moeilijk te achterhalen wie er echt achter een aanval zit, omdat het zender-adres vervalst is.

Hosting providers maken gebruik van gespecialiseerde firewall software en scrubbing centers om op netwerkniveau aan detectie en mitigatie te doen. Automatische detectie en transparante mitigatie zijn hier belangrijk om het probleem snel de kop in te drukken. DDoS bescherming is iets dat naast de normale firewalling, intrusion detection / prevention (IDS/IPS) systemen en web application firewalls (WAF) draait.

Er zijn ook oplossingen in de vorm van content distribution neworks (CDN) die je voor je website kan plaatsen om aan DDoS bescherming te doen. Voorbeelden hiervan zijn CloudFlareIncapsula, AkamaiAmazon CloudFront, ... Enterprise bedrijven en ISP's hebben vaak de mogelijkheid om op niveau van routering, via BGP announcements, on-demand het hele netwerk om te leiden naar het scrubbing center van zo'n CDN.

Omdat CDN's ook distributed zijn, zijn ze van nature beter gewapend tegen gedistribueerde aanvallen. Ook hebben ze op netwerkniveau filters tegen verschillende DDoS aanvallen zoals TCP-floods, SYN, UDP en ICMP-attacks (layer 3 en 4).

cloudflare.png

Als extra dienst is er vaak de mogelijkheid om op applicatie niveau (layer 7) DDoS bescherming te hebben. Hiermee wordt de traffiek op applicatie niveau constant gemonitored, verdachte wijzigingen in site traffic gedetecteerd (bots, scrapers, ...) en hierop wordt automatisch gereageerd. Deze oplossingen hebben naast DDoS-bescherming ook vaak een web application firewall (WAF) aan boord die extra bescherming bied tegen bekende types van aanvallen op applicatieniveau, zoals SQL injection, cross site scripting (XSS), ...

 

incapsula.png

(voorbeeld van de Incapsula events pagina)

 

Aanvallen zijn ook voor ISP's een risico en zorgen altijd voor een verhoging in traffic. Daarom is het wenselijk dat ze upstream al tegengehouden worden. ISP's zijn via internet exchange points (IX) aangesloten op het internet. Er zijn ook initiatieven om het DDoS probleem voor ISP's op IX-niveau op te lossen zoals bijvoorbeeld de Nationale anti-DDoS Wasstraat (NaWas) van nbip.

 

Preventie

 

Bij Intracto zorgen we er alvast voor dat websites up-to-date zijn en alle laatste security updates geïnstalleerd zijn in de applicatie en op de server. We gebruiken hier custom tools voor die op maat gemaakt werden voor de workflow van onze Service en Maintenance afdeling.

Verder is werken met een kwaliteitsvolle hosting partner essentieel om er voor te zorgen dat de infrastructuur een aanval kan weerstaan. Zij voorkomen dat je hier als klant last van ondervindt. Soms zal er voorgesteld worden om een gespecialiseerde anti-DDoS CDN als oplossing in te schakelen, met alle extra security voordelen die aan de oplossing verbonden zijn.

Klacht indienen


Indien je slachtoffer bent geworden van een DDoS kan de hosting provider logs aanleveren met details over de aanval. Je kan op basis van deze informatie IP's verzamelen en klacht indienen bij de ISP waar het IP aan toegekend is. Elke ISP stelt hier een "abuse contact" e-mailadres voor ter beschikking.

De ervaring leert ons echter dat dit vaak een zeer tijdrovende karwei is en dat externe partijen niet staan te springen om mee te werken, vooral als het om bepaalde buitenlandse ISP's gaat.

Het Belgisch overheidsmeldpunt voor internetmisbruik eCops werd op 17 juli 2015 afgesloten. De procedure om internetmisbruik te melden is nu via je lokale politiezone: zij kunnen de Federal Computer Crime Unit (FCCU) inschakelen om de klacht te onderzoeken.

Snel handelen is zeer belangrijk, logs worden niet onbeperkt bewaard en hoe sneller de FCCU ingeschakeld wordt hoe beter. Bij Intracto kunnen we klanten begeleiden in dit process, maar het is niet mogelijk een klacht in te dienen in naam van iemand anders.

Voor meer informatie verwijzen we je graag door naar een zeer uitgebreide whitepaper van het federale cyber emergency team (CERT.be) over pro-actieve en reactieve maatregelen tegen DDoS.

Meer weten? Contacteer ons!