Vijf Nederlandse beveiligingsexperts pleiten voor een samenwerking tussen bedrijven en de overheid om proactief en collectief ddos-aanvallen te bestrijden. Samen zouden zij een 'nationale ddos-radar' en een anti-ddos-manifest op moeten zetten.
Die ddos-radar is volgens het plan een nog te ontwikkelen systeem dat voortdurend fingerprints maakt van potentiële en actieve ddos-bronnen en die automatisch deelt met de aangesloten bedrijven en instanties. Die fingerprints zijn ip-adressen, identifiers van de netwerken waar ze staan en gedetailleerde verkeerspatronen van het ddos-verkeer dat ze genereren. De fingerprints worden gemaakt op basis van ddos-logs, crawlers die zoeken sites waar ddos-capaciteit kan worden ingekocht en honeypots die besmette iot-apparaten aantrekken en in kaart brengen.
Volgens de initiatiefnemers maakt zo'n ddos-radar een proactieve aanpak van ddos-aanvallen mogelijk, omdat de fingerprints meer inzicht geven in de potentiële aanvallen. Dat zou het mogelijk moeten maken om sneller ddos-aanvallen te herkennen en te filteren, met minder verstoring van dienstverlening als gevolg.
Ook willen de bedenkers dat bijvoorbeeld banken die aangevallen worden door een botnet van besmette apparaten de fingerprintinformatie delen met providers, zodat deze contact op kunnen nemen met klanten om de besmetting ongedaan te maken. Andere bedrijven zouden de informatie kunnen gebruiken om hun detectiesystemen en filters in te stellen. De ddos-radar zou bij extreem grote aanvallen ook helpen om gezamenlijk te besluiten over tijdelijke afkoppeling van 'Nederlandse' netwerken van het mondiale internet.
De ddos-radar moet ook bijdragen aan het verzamelen van gegevens over de dader of daders. Als voorbeeld halen de initiatiefnemers een artikel van Tweakers aan, waarin werd beschreven hoe de ddos'er die begin dit jaar Nederlandse banken en overheidswebsites plat legde, tegen de lamp liep.
De beveiligingsexperts willen hun voorgestelde ddos-bestrijdingsstrategie vastleggen in een anti-ddos-manifest. Daarin staan operationele afspraken over welke gegevens worden verzameld en hoe er wordt samengewerkt met opsporingsinstanties. Een nationale anti-ddos-organisatie, bestuurd door een klein aantal onafhankelijke experts, zou het manifest moeten opstellen, beheren en moeten zorgen voor de naleving ervan.
Als eerste stap roepen de initiatiefnemers op dat de partners uit het Trusted Networks Initiative, de leden van de Dutch Continuity Board, de NaWas, banken, de wetenschap en de overheid met elkaar in gesprek gaan over de haalbaarheid van het manifest.
Het plan voor de ddos-radar en het anti-ddos-manifest is opgesteld door Christian Hesselman, hoofd van het researchteam van SIDN; Jeroen van der Ham, gastonderzoeker bij de Universiteit Twente; Roland van Rijswijk, Innovator Internet Security bij SURFnet; Jair Santanna, assistant professor bij de Universiteit Twente en Aiko Pras, professor op het gebied van Internet security bij de Universiteit Twente.