Wat is een DDoS attack?

Inner page hero image

De afgelopen dagen komen er opnieuw veel meldingen in de media van verschillende ISPs en hosting providers waarbij hun services onbereikbaar of slechts partieel functioneren. Oorzaak? Een DDoS aanval.

DDoS is de afkorting voor Distributed Denial of Services. Bedoeling van dit type aanval is een specieke website of volledig netwerk volledig onbereikbaar en onbruikbaar te maken. In het verleden was Xenius ook reeds slachtoffer van dit type aanval.

DDoS aanvallen kunnen vaak anoniem gekocht worden voor slechts een paar dollars of crypto valuta. DDoS aanvallen gebeuren vaak door zogenoemde webstressers, platformen die bedoeld zijn voor het testen van je website onder hoge load of piekbelasting. Echter kennen die platformen ook een 2de gebruik.

DDoS for Hire | Booter, Stresser and DDoSer | Imperva

Hoe werkt een Denial of Service (DoS)

Neem nu een Apache webserver, de primaire taak van dit type server is binnenkomende verbindingen accepteren en vervolgens laten afhandelen door Apache met als resultaat een website. Elke binnenkomende connectie verbruikt server en netwerk resources: bandbreedte, cpu en geheugen. Wanneer een DoS aanval plaatsvindt zal de aanvaller zoveel verbindingen/connecties openen naar de server totdat deze op een bepaald moment volledig verzadigd geraakt en geen binnenkomende connecties meer kan aanvaarden (geen cpu, memory of bandbreedte meer heeft). Resultaat: de server is onbereikbaar en de website offline. Doel bereikt!

Een manier om DoS aanvallen te onderscheiden van legitiem verkeer en te blokkeren is op basis van het source IP adres van de verbinding. Wanneer we zien dat er veel meer dan normaal connecties toekomen van een bepaald ip adres kunnen we dit ip adres eenvoudig blokkeren. Uiteraard zijn aanvallers ook op de hoogte van deze vrijwel eenvoudige manier van DoS aanvallen te stoppen. Het is hier dat Distributed Denial of Service (DDoS) op de proppen komt, een geavanceerdere manier van DoS die veel moeilijker te stoppen is.

Een DDoS aanval is in cé identiek aan een DoS aanval, grote verschil is het woordje distributed bij dit type aanval. Een aanvaller gaat hierbij gebruik maken van een botnet om zijn aanval uit te voeren. Zo’n botnet bestaat typisch uit een wereldwijd verspreid netwerk van computers, servers en andere netwerk/IoT devices (zoals camera’s, koelkasten,..) die geïnfecteerd zijn met malware en – zonder dat de eigenaar het vaak weet – ingezet worden voor het uitvoeren van DoS aanvallen.
Het grote probleem hierbij is dat de DoS aanvallen op deze manier van verschillende source ips toekomen en het dus niet zo eenvoudig is om deze te blokkeren.

Types DDoS attacks

We onderscheiden verschillende vormen van aanvallen, waarvan we er hieronder een 2-tal beschrijven.

Amplification attack

Een van de bekendere vormen van aanvallen zijn de zogenaamde amplification attacks. Bij dit type aanval valt de aanvaller zijn doelwit niet rechstreeks aan maar doet dit met via een tussenstation om op die manier zijn aanval te versterken. Bij een typische netwerk aanvraag stuur je een minimale hoeveelheid data naar de server en antwoord de server vervolgens met veel meer data (de content) terug. Wanneer men een amplification attack  gaat uitvoeren stuurt de aanvaller een aanvraag naar een server (bijvoorbeeld een open NTP of DNS server) waarbij ze het bron adres spoofen en wijzigen in dat van het aan te vallen doelwit. Op die manier stuurt het botnet onrechtstreeks massa’s data naar het target.

 

SYN Flood attack

Regulier TCP verkeer verloopt steeds volgens een 3-way handshake principe: SYN/SYN-ACK/ACK.  Bij een SYN flood attack maakt men misbruik van dit principe en stuurt men een TCP pakket met een aangepast bron adres naar het target. Het target stuurt vervolgens een SYN-ACK pakket terug naar het bron adres en houdt in tussentijd de connectie open (wachtende op een ACK signaal dat nooit zal komen). De aanvaller stuurt zoveel malafide pakketjes dat het target op een bepaald moment zoveel connecties heeft openstaan (die het niet kan afsluiten) dat de server onbereikbaar zal worden.

Dit zijn slechts 2 van de vele vormen van DDoS aanvalen die kunnen plaatsvinden.

Werking van TCP 3-way handshake
Werking van een normale 3-Way handshape in het TCP protocol

 

Oneerlijke strijd

Wanneer een server of volledig netwerk een DDoS aanval te verwerken krijgt is het vaak onduidelijk wie er achter de aanval zit. Is het een concurrent, of een kiddie die een statement wil maken en zijn skills wil uittesten? Twee dingen staan vast: DDoS aanvallen richten ontzettend veel schade aan (operationieel én financieel) en als hostingprovider voeren we een oneerlijke strijd tegen dit type aanvallen. Eenieder kan voor zeer weinig geld een DDoS aanval startten, echter het detecteren, blokkeren en stoppen van de aanval is een complex en technisch iets wat als hostinprovider bakken geld kost.
Deze kost staat in schril contrast met de prijzenoorlog en bodem prijzen die worden gehanteerd voor webhosting en cloudservers.

 

Steve

Recente berichten

Formjacking: wat is het en hoe voorkomen?
12.03.2019

Cryptolockers en andere ransomware waren de afgelopen jaren schering en inslag denk maar terug aan de uitbreek van WannaCry in mei 2017.Criminelen hebben bij het activeren van cryptolockers op systeme

Lees meer