Een Complete Gids over DDoS-aanvallen: Wat Ze Zijn en Hoe Je Jezelf Kunt Beschermen
In deze gids bespreken we een breed scala aan onderwerpen gerelateerd aan DDoS-aanvallen, waaronder wat een DDoS-aanval is, hoe ze werken, de soorten DDoS-aanvallen, de gevolgen van DDoS-aanvallen en hoe je jezelf tegen DDoS-aanvallen kunt verdedigen.
- Wat is een DDoS-aanval?
- Hoe werkt een DDoS-aanval?
- Gevolgen van DDoS-aanvallen
- Basistypes van DDoS-aanvallen
- Stijlen van DDoS-aanvallen
- Hoe detecteer je een DDoS-aanval?
- Hoe bescherm je jezelf tegen DDoS-aanvallen?
Korte Samenvatting
Distributed Denial of Service (DDoS) aanvallen zijn al twintig jaar een krachtig wapen op het internet. Ze zijn in de loop van de tijd steeds vaker voorkomend en krachtiger geworden en zijn nu een van de grootste bedreigingen voor elk bedrijf dat online zaken doet.
Over het algemeen werken DDoS-aanvallen door een website of online dienst te overspoelen met meer verkeer dan zijn server of netwerk aan kan. Een DDoS-aanval heeft als doel die website of online dienst onbeschikbaar te maken voor gebruikers. De aanvallers zijn meestal afhankelijk van botnets, netwerken die bestaan uit computers die besmet zijn met malware en centraal worden bestuurd.
Wat is een DDoS-aanval?
Een Distributed Denial of Service (DDoS) aanval is een poging van een aanvaller om de levering van een online dienst aan gebruikers te onderbreken. Dit kan worden gedaan door toegang te blokkeren tot vrijwel alles, zoals servers, netwerken, apparaten, diensten, applicaties en zelfs specifieke transacties binnen applicaties.
DDoS-aanvallen kunnen worden gezien als een variant van denial-of-service (DoS) aanvallen waarbij een aanvaller of een groep aanvallers meerdere apparaten gebruikt om tegelijkertijd een DoS-aanval uit te voeren.
Het belangrijkste verschil tussen DoS- en DDoS-aanvallen is dat terwijl ze één systeem gebruiken om kwaadaardige gegevens of verzoeken te versturen, een DDoS-aanval wordt verzonden vanaf meerdere systemen, wat de kracht en effectiviteit vergroot.
DDoS-aanvallen treffen slachtoffers op alle niveaus door hun toegang tot systemen volledig te blokkeren en zelfs over te gaan tot afpersing om de aanval stop te zetten.
Banken, websites, online winkeliers en nieuwszenders zijn enkele van de belangrijkste doelwitten van aanvallers, waardoor het een echte uitdaging wordt om ervoor te zorgen dat gevoelige informatie veilig kan worden geraadpleegd en gepubliceerd.
Het is moeilijk om deze DDoS-aanvallen te detecteren en te blokkeren, omdat het verkeer dat ze genereren moeilijk te traceren is en makkelijk kan worden verward met legitiem verkeer.
Hoe Werkt een DDoS-aanval?
De meeste DDoS-aanvallen worden uitgevoerd via botnets, die grote netwerken zijn van slimme IoT-apparaten, computers besmet met malware en andere internetgeschikte apparaten die onder controle staan van hackers.
De aanvaller instrueert de machines in het botnet om enorme hoeveelheden verbindingsverzoeken te sturen naar een specifieke website of het IP-adres van een server.
Hierdoor wordt die website of online dienst overspoeld met meer verkeer dan zijn server of netwerk aankan. Het eindresultaat is dat deze websites of online diensten onbeschikbaar worden voor gebruikers door een overbelast internetbandbreedte, RAM-capaciteit en CPU.
De impact van deze DDoS-aanvallen kan variëren van kleine ergernissen en onderbroken diensten tot volledige websites, applicaties of zelfs hele bedrijven die offline gaan.
Gevolgen van DDoS-aanvallen
DDoS-aanvallen kunnen slachtoffers op verschillende manieren raken.
- Financieel verlies
- Schade aan reputatie
- Verlies van gegevens
- Schade aan het vertrouwen van klanten
- Impact op essentiële diensten
- De directe en indirecte kosten voor het herstellen van systemen
- Effect op derde partijen
Basistypes van DDoS-aanvallen
DDoS-aanvallen vallen over het algemeen in een of meer categorieën, waarbij sommige geavanceerde aanvallen aanvallen op verschillende vectoren combineren. Hier zijn de drie belangrijkste categorieën van DDoS-aanvallen.
1. Volumetrische aanvallen
Dit is het klassieke type DDoS-aanval, waarbij methodes worden gebruikt om grote hoeveelheden nepverkeer te genereren om de bandbreedte van een website of server volledig te overspoelen. Dit nepverkeer maakt het onmogelijk voor echt verkeer om de getargette site binnen te gaan of te verlaten. Deze aanvallen omvatten UDP, ICMP en gespoofde-pakket flood aanvallen. De grootte van volumegebaseerde aanvallen wordt gemeten in bits per seconde (BPS).
2. Protocolaanvallen
Deze aanvallen zijn meer gericht en benutten de kwetsbaarheden van bronnen in een server. Ze verbruiken bestaande serverbronnen of tussenliggende communicatieapparatuur zoals firewalls en load balancers en sturen grote pakketten naar hen. Deze aanvallen omvatten meestal SYN floods, Ping of Death, gefragmenteerde pakket aanvallen, Smurf DDoS, enz., en hun grootte wordt gemeten in pakketten per seconde (PPS).
3. Applicatielaagaanvallen
Dit zijn de meest geavanceerde typen DDoS-aanvallen, die specifieke webtoepassingen targeten. Ze worden uitgevoerd door applicaties te overweldigen met kwaadaardige verzoeken. De grootte van deze aanvallen wordt gemeten in verzoeken per seconde (RRS).
Stijlen van DDoS-aanvallen
1. UDP en ICMP floods
Dit zijn de meest voorkomende aanvalsstijlen die onder volumetrische aanvallen vallen. UDP floods overbelasten hostresources met User Datagram Protocol (UDP) pakketten. Daarentegen doen ICMP floods hetzelfde met Internet Control Message Protocol (ICMP) echo-aanvraag (ping) pakketten tot de dienst overweldigd raakt.
Bovendien hebben aanvallers de neiging om reflectieaanvallen te gebruiken om de verpletterende stroom van deze overstromingen te vergroten, waarbij het IP-adres van het slachtoffer wordt vervalst om het UDP- of ICMP-verzoek te doen. Het antwoord wordt teruggestuurd naar de server zelf omdat het kwaadaardige pakket lijkt te komen van het slachtoffer. Op deze manier verbruiken deze aanvallen zowel inkomende als uitgaande bandbreedte.
2. DNS Amplificatie
Zoals de naam al doet vermoeden, houden deze aanvallen in dat criminelen talloze DNS-zoekopdrachten sturen om een netwerk niet-functioneel te maken. De amplificatie put de bandbreedte van de server uit door de uitgaande verkeersstroom uit te breiden.
Dit gebeurt door informatieaanvragen naar de server te sturen die hoge hoeveelheden data als antwoord uitvoeren en die data vervolgens direct terug te routeren naar de server door het reply-to-adres te vervalsen.
Dus de aanvaller stuurt talloze relatief kleine pakketten naar een openbare DNS-server via veel verschillende bronnen van een botnet. Het zijn allemaal verzoeken om een uitgebreid antwoord, zoals DNS-naamzoekopdrachten. Vervolgens antwoordt de DNS-server op elk van deze verspreide verzoeken met reactiepakketten, inclusief vele malen meer data dan het initiële aanvraagpakket, waarbij al die data rechtstreeks naar de DNS-server van het slachtoffer wordt gestuurd.
3. Ping of Death
Dit is een andere protocolaanval waarbij de aanvaller verschillende kwaadaardige of misvormde pings naar een computer stuurt. Hoewel de maximale lengte van een IP-pakket 65.535 bytes is, beperkt de datalinklaag de maximale framesize die over een Ethernet-netwerk is toegestaan.
Daarom wordt een groot IP-pakket opgesplitst in meerdere pakketten (fragmenten genoemd) en het ontvangende host stelt deze fragmenten opnieuw samen om een compleet pakket te maken. In de Ping of Death situatie eindigt de host met een IP-pakket groter dan 65.535 bytes bij het opnieuw samenstellen van de fragmenten van de kwaadaardige pings. Dit veroorzaakt een overflow van de geheugenbuffers die voor het pakket zijn toegewezen, wat resulteert in een ontzegging van service, zelfs voor legitieme datapakketten.
4. SYN Flood
SYN Flood is een van de meest voorkomende protocolaanvallen die het drie-weg-handshake-proces omzeilen dat nodig is om TCP-verbindingen tussen clients en servers tot stand te brengen.
Deze verbindingen worden meestal gemaakt met de client die een initiële synchronisatie (SYN) aanvraag van de server maakt, de server antwoordt met een erkennende (SYN-ACK) reactie, en de client voltooit de handshake met een definitieve erkenning (ACK).
SYN floods werken door snel achter elkaar die initiële synchronisatieverzoeken te doen en de server te laten hangen door nooit met een definitieve erkenning te antwoorden. Uiteindelijk wordt van de server gevraagd om een heleboel halfopen verbindingen open te houden die uiteindelijk de bronnen overbelasten totdat de server crasht.
5. HTTP Flood
Dit zijn een van de meest voorkomende soorten applicatielaag DDoS-aanvallen. Hier maakt de crimineel interacties die normaal lijken met een webserver of applicatie.
Hoewel al deze interacties afkomstig zijn van webbrowsers om te lijken op normale gebruikersactiviteit, zijn ze georganiseerd om zoveel mogelijk bronnen van de server te verbruiken.
Het verzoek gedaan door de aanvaller kan alles omvatten, van het oproepen van URL’s voor documenten of afbeeldingen met behulp van GET-verzoeken tot het laten verwerken van serveroproepen naar een database met behulp van POST-verzoeken.
DDoS-aanvalsdiensten worden vaak verkocht op het dark web.
Hoe een DDoS-aanval te herkennen
DDoS-aanvallen kunnen vaak aanvoelen als niet-kwaadaardige dingen die beschikbaarheidsproblemen kunnen veroorzaken. Ze kunnen bijvoorbeeld lijken op een gecrashte server of systeem, te veel aanvragen van echte gebruikers, of soms een gebroken kabel. Je zult dus altijd het verkeer moeten analyseren om te bepalen wat er aan de hand is.
Als je het slachtoffer bent geworden van een DDoS-aanval, zul je een plotselinge toename van inkomend verkeer opmerken, waardoor je server onder druk crasht. Bovendien, als je een website bezoekt die onder een DDoS-aanval staat, zal deze extreem traag laden of de 503 “service niet beschikbaar” foutmelding tonen. Je zult waarschijnlijk geen toegang hebben tot die site totdat de aanval is afgenomen.
Symptomen van DDoS-aanvallen
Dat een site of dienst traag wordt, is het meest voor de hand liggende symptoom van een DDoS-aanval. De gebruikelijke symptomen van een DDoS-aanval zijn:
- Trage toegang tot lokaal of op afstand geplaatste bestanden
- Niet in staat zijn om voor een lange tijd een specifieke website te bezoeken
- Een grote hoeveelheid verkeer van één specifieke bron of IP-adres
- Een overvloed aan verkeer van gebruikers die vergelijkbaar gedrag, apparaattype, webbrowser en locatie aangeven
- Een plotselinge en abnormale piek in aanvragen naar een pagina
- Problemen met het bezoeken van alle websites
- Grote hoeveelheden spam e-mails
- Internetuitval
Hoewel een legitieme verkeerspiek ook prestatieproblemen kan veroorzaken, is het essentieel om verder onderzoek te doen. Vooral als het verkeer abnormaal lijkt.
Bijv: Een online winkel ervaart een piek in verkeer net na de Black Friday-uitverkoop, Kerstmis, enz. Afgezien van de hierboven genoemde symptomen, hebben DDoS-aanvallen specifieke symptomen, afhankelijk van het type aanval.
Verder, als een botnet jouw computer gebruikt om een DDoS-aanval uit te voeren, zal het de volgende waarschuwingssignalen tonen:
- Een plotselinge daling in prestaties
- Systeemcrashes
- Frequente foutmeldingen
- Extreem trage internetsnelheid
Hoe jezelf te beschermen tegen DDoS-aanvallen
Jezelf beschermen tegen een DDoS-aanval kan een lastige klus zijn. Organisaties moeten goed plannen om zich tegen dergelijke aanvallen te verdedigen en ze te voorkomen.
Het identificeren van je zwakke plekken is de sleutel en de eerste stap in elke beschermingsstrategie. Daarnaast zullen de onderstaande stappen helpen om het aanvalsoppervlak van een organisatie te verkleinen en de schade van een DDoS-aanval te beperken.
- Neem snel actie door de ISP-provider te informeren, een back-up ISP te hebben en het verkeer om te leiden.
- Configureer firewalls en routers om nepverkeer te verminderen als eerste verdedigingslinie.
- Bescherm individuele computers door antivirus- of beveiligingssoftware te installeren met de nieuwste beveiligingspatches.
- Analyseer de applicatiearchitectuur en implementatie. De applicatie moet zo worden geïmplementeerd dat gebruikersacties de systeembronnen niet uitputten of applicatiecomponenten overbelasten.
- Monitor netwerkverkeer om meldingen te krijgen over onverwachte pieken in netwerkverkeer. Dit helpt bij het identificeren van op het netwerk gerichte DoS-aanvallen. Door de herkomst van het verkeer te analyseren, kun je extra inzicht verkrijgen.
- Monitor de systeemgezondheid en responsiviteit door regelmatig gezondheidscontroles uit te voeren om op het systeem gerichte DoS-aanvallen te herkennen.
- Evalueer de gezondheid en responsiviteit van applicaties door regelmatige gezondheidscontroles uit te voeren op applicatiecomponenten. Dit kan helpen bij het identificeren van op de applicatie gerichte DDoS-aanvallen.
- Maak een mitigatieplan. Verschillende soorten DDoS-aanvallen vereisen verschillende strategieën voor mitigatie. Veel providers bieden nu strategieën en mechanismen aan om DDoS-aanvallen te voorkomen. Overweeg dus of de strategieën en mechanismen van jouw provider goed bij je behoeften passen.
Daarnaast voorkomen goede internetgewoontes dat je apparaten worden gebruikt in botnets.
Gebruik sterke wachtwoorden
Gebruik lange, unieke en moeilijk te raden wachtwoorden voor al je accounts. Je kunt ook een wachtwoordbeheerder gebruiken om wachtwoorden veilig op te slaan en over je apparaten te synchroniseren.
Gebruik up-to-date software
Verouderde software zit vol gaten die hackers kunnen gebruiken om je systeem binnen te dringen. Update je software daarom constant en installeer updates en patches van softwareleveranciers zo snel mogelijk. Deze updates zijn vaak gemaakt om verschillende beveiligingsproblemen aan te pakken.
Wees voorzichtig met vreemde links en bijlagen
Cybercriminelen proberen je hun malware te laten downloaden via e-mails met kwaadaardige links of bijlagen. Ga dus niet in op die e-mails als je de afzender niet kent. Je kunt ook een e-mailbeveiligingstool gebruiken om e-mailbijlagen op malware te controleren.
Gebruik een firewall
Een firewall kan toegang van en naar ongeautoriseerde bronnen blokkeren. Bovendien kan een slimme firewall hackers verhinderen om met je machines te communiceren als ze proberen ze te infecteren met botnet malware.
Conclusie
DDoS-aanvallen bieden indringers een manier om een website of online dienst tijdelijk of zelfs onbepaald onbereikbaar te maken.
Ze verschillen sterk in complexiteit en kunnen de getroffen bedrijven of organisaties ernstig schaden. Daarom moeten online bedrijven en organisaties elke mogelijke stap ondernemen om DDoS-aanvallen te verminderen en hun systemen te beveiligen.
Het artikel geeft ook inzicht in hoe je je kunt beschermen tegen DDoS-aanvallen. DDoS-aanvallen hebben als doel een website of online dienst te overbelasten met meer verkeer dan de server of het netwerk aankan, waardoor deze onbereikbaar wordt voor gebruikers.
De gevolgen van deze aanvallen kunnen variëren van financieel verlies tot schade aan het vertrouwen van de klant. Om je tegen dergelijke aanvallen te verdedigen, moeten organisaties kwetsbaarheden identificeren, firewalls en routers configureren, netwerkverkeer monitoren en een mitigatieplan opstellen.
Het beoefenen van veilige internetgewoontes, zoals het gebruik van sterke wachtwoorden en firewalls, kan ook helpen voorkomen dat apparaten worden gebruikt in botnets.
Veelgestelde Vragen
Waarom moeten Cybersecurity professionals zich zorgen maken over DDoS-aanvallen?
DDoS-aanvallen kunnen de beschikbaarheid van essentiële online bronnen ernstig schaden en fungeren als een misleidend mechanisme om andere illegale activiteiten op het netwerk uit te voeren.Waarom is het moeilijk om DDoS-aanvallen te voorkomen met traditionele vormen van cyberbeveiligingsfiltering?
Omdat DDoS-aanvallen op een gedistribueerde manier worden uitgevoerd met meerdere systemen, is het moeilijk om het kwaadaardige verkeer te blokkeren door een bepaalde verbinding te sluiten.
Wat is de rol van een botnet bij een DDoS-aanval?
Botnets zijn netwerken van gecompromitteerde apparaten die worden bestuurd door cybercriminelen, die soms ook wel bots of zombies worden genoemd. Deze gecompromitteerde apparaten kunnen apparaten zijn zoals desktops, laptops, servers en IoT-apparaten. Aanvallers communiceren met deze machines en bundelen ze om gedistribueerde bronnen van kwaadaardig verkeer te genereren die de infrastructuur van een bedrijf kunnen overbelasten.