Door Tijs Hofmans

Redacteur

De destructiviteit van ddos-aanvallen

Ddos'en zijn ondanks eenvoud amper te stoppen

Typen ddos-aanvallen

Het is onbegonnen werk om alle typen ddos-aanvallen individueel te behandelen. Het begrip is breed en een aanval kan op veel manieren worden ingezet. Als één onderdeel van een infrastructuur wordt overbelast, is het doel van een ddos al bereikt. Dus is het prima mogelijk om een ddos-aanval uit te voeren met alleen http-verkeer naar een server die gewoonweg niet veel verkeer aankan. Veel persoonlijke blogs of websites hebben bijvoorbeeld maar een klein hostingpakket en zijn daarom niet moeilijk te stoppen.

Praktisch ieder internetprotocol is dus wel op een of andere manier te misbruiken voor een aanval. Die verschillende aanvallen hebben voor- en nadelen. Http-floods lijken op legitieme GET- of POST-requests en zijn lastiger te onderscheiden van echt verkeer, maar het gaat vaak om kleine pakketjes. Ping-floods zijn heel gemakkelijk uit te voeren vanaf een commandline, maar zijn vooral effectief als een aanvaller meer bandbreedte heeft dan een slachtoffer, wat inmiddels zeldzaam is. Er zijn ook aanvallen met weinig nadelen, zoals udp-floods of de populairste van allemaal: dns-floods.

In de praktijk kun je de meeste aanvallen ruwweg verdelen in drie categorieën: op volume gebaseerde aanvallen, die de bandbreedte van servers opslokken, protocolaanvallen, die zich vooral richten op hard- en software die op servers draait, zoals firewalls of loadbalancers, en aanvallen op de application layer. Die laatste zijn over het algemeen wat ingewikkelder uit te voeren.

Volume-based aanvallen
Dit type aanval eet de bandbreedte van een website of dienst op door die te bestoken met packets. Het gaat dan meestal om internetpackets, zoals udp- of icmp-pakketjes, of andere internetprotocollen.

Protocolaanvallen
Onder dit soort aanvallen vallen SYN-floods en pingfloods. Ze zijn bedoeld om niet de bandbreedte, maar serverresources op te maken.

Application-layeraanvallen
Deze aanvallen richten zich, zoals de naam al zegt, op de application layer of de Layer-7 in een netwerk. Bij een dergelijke aanval wordt een specifieke applicatie of een kwetsbaarheid daarin aangevallen, zoals Apache. Dit soort aanvallen zijn over het algemeen bedoeld om bijvoorbeeld webservers te laten crashen.

Amplificationaanvallen

Een speciaal type is de amplificationaanval. Met zo'n reflection-based aanval kan een aanvaller één protocol uitbuiten om zichzelf te versterken. Daar zijn verschillende methodes voor. De populairste is om dns te gebruiken, maar ook het network time protocol of ntp kan ervoor worden ingezet. Het voordeel van een amplificationaanval is dat die kan worden opgezet met een relatief klein aantal computers, omdat één computer een verzoek doet aan een server en tientallen responses kan terugkrijgen.

De populairste amplificationaanval gaat via dns. Een aanvaller spooft daarbij een ip-adres van een dns-resolver met het ip-adres van een slachtoffer. Alle dns-verzoeken die via die resolver lopen, gaan dan vervolgens via de server van het slachtoffer. Die server krijgt daardoor veel meer verzoeken dan hij aankan. Bovendien versterken de dns-verzoeken het effect; voor iedere dns-query antwoorden de dns-servers met een volledige lijst van alle dns-records in een domein. Als zo'n aanval via een botnet wordt ingezet, kan iedere bot daarin zijn eigen dns-queries doen en zo heel veel verkeer in één keer opvragen. Op dezelfde manier kan bijvoorbeeld ook het ntp worden ingezet. Daarbij vraagt de aanvaller via het monlist-commando een lijst op met de recentste verzoeken die aan een ntp-server zijn gedaan. Opnieuw wordt daarbij één commando ingezet om een grote hoeveelheid data terug te vragen.

Die typen aanvallen zijn lang niet allemaal even zwart-wit. Bij veel verschillende aanvallen worden typen gecombineerd, zodat aanvallers niet alleen SYN-floods uitvoeren, maar tegelijk udp uitbuiten. "Eigenlijk zijn dat ook maar allemaal details", zegt Giovane Moura van SIDN. Moura onderzoekt ddos-aanvallen op Nederlandse websites en probeert daaruit patronen op te maken die vervolgens kunnen worden ingezet om ddos-aanvallen te voorkomen. "Het grotere probleem is de enorme asymmetrie bij aanvallen. Het is heel goedkoop voor iemand om een aanval te kopen, maar het kost hoe dan ook veel meer geld om ze af te slaan." Het type aanval is belangrijk op het moment dat je ddos-aanvallen gaat afweren, zegt hij. "Dan is het voor een mitigerende dienst belangrijk om snel te spotten welke protocollen misbruikt worden. Dat leidt tot een kat-en-muisspel tussen aanvallers en bedrijven.”

"Met webstressers en booters kan een aanvaller gemakkelijk switchen tussen verschillende typen aanvallen”Moura zegt dat ddos-aanvallen zo eenvoudig zijn door de structuur van het internet. "Toen het internet werd ontworpen, was veiligheid amper een prioriteit." Protocollen zoals dns, dat nu de ruggengraat van het internet is, zijn niet ontworpen met het idee dat ze zo gemakkelijk misbruikt kunnen worden. Toch gebeurde juist dat. Moura noemt de tools waarmee het irrelevant wordt welke internet- en serverprotocollen bij een aanval worden ingezet. "Met webstressers en booters kan een aanvaller gemakkelijk switchen tussen verschillende typen aanvallen, vaak met één druk op de knop.”


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee