Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

De destructiviteit van ddos-aanvallen

Ddos'en zijn ondanks eenvoud amper te stoppen

Typen ddos-aanvallen

Het is onbegonnen werk om alle typen ddos-aanvallen individueel te behandelen. Het begrip is breed en een aanval kan op veel manieren worden ingezet. Als één onderdeel van een infrastructuur wordt overbelast, is het doel van een ddos al bereikt. Dus is het prima mogelijk om een ddos-aanval uit te voeren met alleen http-verkeer naar een server die gewoonweg niet veel verkeer aankan. Veel persoonlijke blogs of websites hebben bijvoorbeeld maar een klein hostingpakket en zijn daarom niet moeilijk te stoppen.

Praktisch ieder internetprotocol is dus wel op een of andere manier te misbruiken voor een aanval. Die verschillende aanvallen hebben voor- en nadelen. Http-floods lijken op legitieme GET- of POST-requests en zijn lastiger te onderscheiden van echt verkeer, maar het gaat vaak om kleine pakketjes. Ping-floods zijn heel gemakkelijk uit te voeren vanaf een commandline, maar zijn vooral effectief als een aanvaller meer bandbreedte heeft dan een slachtoffer, wat inmiddels zeldzaam is. Er zijn ook aanvallen met weinig nadelen, zoals udp-floods of de populairste van allemaal: dns-floods.

In de praktijk kun je de meeste aanvallen ruwweg verdelen in drie categorieën: op volume gebaseerde aanvallen, die de bandbreedte van servers opslokken, protocolaanvallen, die zich vooral richten op hard- en software die op servers draait, zoals firewalls of loadbalancers, en aanvallen op de application layer. Die laatste zijn over het algemeen wat ingewikkelder uit te voeren.

Volume-based aanvallen
Dit type aanval eet de bandbreedte van een website of dienst op door die te bestoken met packets. Het gaat dan meestal om internetpackets, zoals udp- of icmp-pakketjes, of andere internetprotocollen.

Protocolaanvallen
Onder dit soort aanvallen vallen SYN-floods en pingfloods. Ze zijn bedoeld om niet de bandbreedte, maar serverresources op te maken.

Application-layeraanvallen
Deze aanvallen richten zich, zoals de naam al zegt, op de application layer of de Layer-7 in een netwerk. Bij een dergelijke aanval wordt een specifieke applicatie of een kwetsbaarheid daarin aangevallen, zoals Apache. Dit soort aanvallen zijn over het algemeen bedoeld om bijvoorbeeld webservers te laten crashen.

Amplificationaanvallen

Een speciaal type is de amplificationaanval. Met zo'n reflection-based aanval kan een aanvaller één protocol uitbuiten om zichzelf te versterken. Daar zijn verschillende methodes voor. De populairste is om dns te gebruiken, maar ook het network time protocol of ntp kan ervoor worden ingezet. Het voordeel van een amplificationaanval is dat die kan worden opgezet met een relatief klein aantal computers, omdat één computer een verzoek doet aan een server en tientallen responses kan terugkrijgen.

De populairste amplificationaanval gaat via dns. Een aanvaller spooft daarbij een ip-adres van een dns-resolver met het ip-adres van een slachtoffer. Alle dns-verzoeken die via die resolver lopen, gaan dan vervolgens via de server van het slachtoffer. Die server krijgt daardoor veel meer verzoeken dan hij aankan. Bovendien versterken de dns-verzoeken het effect; voor iedere dns-query antwoorden de dns-servers met een volledige lijst van alle dns-records in een domein. Als zo'n aanval via een botnet wordt ingezet, kan iedere bot daarin zijn eigen dns-queries doen en zo heel veel verkeer in één keer opvragen. Op dezelfde manier kan bijvoorbeeld ook het ntp worden ingezet. Daarbij vraagt de aanvaller via het monlist-commando een lijst op met de recentste verzoeken die aan een ntp-server zijn gedaan. Opnieuw wordt daarbij één commando ingezet om een grote hoeveelheid data terug te vragen.

Die typen aanvallen zijn lang niet allemaal even zwart-wit. Bij veel verschillende aanvallen worden typen gecombineerd, zodat aanvallers niet alleen SYN-floods uitvoeren, maar tegelijk udp uitbuiten. "Eigenlijk zijn dat ook maar allemaal details", zegt Giovane Moura van SIDN. Moura onderzoekt ddos-aanvallen op Nederlandse websites en probeert daaruit patronen op te maken die vervolgens kunnen worden ingezet om ddos-aanvallen te voorkomen. "Het grotere probleem is de enorme asymmetrie bij aanvallen. Het is heel goedkoop voor iemand om een aanval te kopen, maar het kost hoe dan ook veel meer geld om ze af te slaan." Het type aanval is belangrijk op het moment dat je ddos-aanvallen gaat afweren, zegt hij. "Dan is het voor een mitigerende dienst belangrijk om snel te spotten welke protocollen misbruikt worden. Dat leidt tot een kat-en-muisspel tussen aanvallers en bedrijven.”

"Met webstressers en booters kan een aanvaller gemakkelijk switchen tussen verschillende typen aanvallen”Moura zegt dat ddos-aanvallen zo eenvoudig zijn door de structuur van het internet. "Toen het internet werd ontworpen, was veiligheid amper een prioriteit." Protocollen zoals dns, dat nu de ruggengraat van het internet is, zijn niet ontworpen met het idee dat ze zo gemakkelijk misbruikt kunnen worden. Toch gebeurde juist dat. Moura noemt de tools waarmee het irrelevant wordt welke internet- en serverprotocollen bij een aanval worden ingezet. "Met webstressers en booters kan een aanvaller gemakkelijk switchen tussen verschillende typen aanvallen, vaak met één druk op de knop.”

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True