Naar de content

De kracht van een DDoS-aanval

Vrijgegeven in het publieke domein

DDoS aanvallen leggen al weken de ene na de andere belangrijke website plat, onder meer van banken en de overheid. Dit soort aanvallen zijn weliswaar niet nieuw, maar het grootschalig effect ervan is groter dan vroeger. Wat gebeurt er tijdens een DDoS aanval? Kan het voorkomen worden?

Stel je voor: iemand verstuurt via een koerier honderden telefoonboeken naar jouw woning. Ze passen al snel niet meer door de brievenbus, waardoor ze op de oprit belanden. Daarna stopt een vrachtwagen die nog meer boeken dumpt en al snel ligt je straat bezaait met in de wind wapperende pagina’s. “Voordat je het weet is alles geblokkeerd en kan niemand jouw woning meer in. Datzelfde gebeurt tijdens een DDoS aanval”, zegt Aiko Pras, onderzoeker aan de vakgroep ontwerp en analyse van communicatiesystemen (Universiteit Twente).

Botnets

De laatste tijd ging vrijwel geen week voorbij zonder een DDoS aanval die websites uit de lucht haalde. Onder meer de banken ING, SNS en ABN Amro werden getroffen. Maar ook websites van de NS, DigiD, de Belastingdienst en Rijksoverheid.nl waren hierdoor korte of langere tijd offline. Nieuw zijn de aanvallen niet. Ze worden al zo’n tien jaar uitgevoerd, maar door recente media-aandacht is wel zichtbaarder hoeveel impact ze hebben.

Net als bij de telefoonboeken wordt tijdens een DDoS aanval zoveel verzonden, dat het systeem verstopt raakt. Dat gebeurt op verschillende manieren. Bijvoorbeeld via botnets. “Dat zijn computers die zijn overgenomen door een hacker”, zegt Pras. “Al eerder is, via een virus, software op die computers geïnstalleerd. Daardoor kan het apparaat op afstand overgenomen worden. De moedercomputer van de hacker activeert de software en laat honderden tot duizenden computers aanvallen uitvoeren op een website.”

Een DDoS aanval via botnets.

Tom-b

Slim trucje

Een andere methode, die tegenwoordig veel gebruikt wordt, gaat via zogenaamde domeinnaam servers, ook wel afgekort tot DNS. Pras: “Dat is een soort telefoonboek van het internet. Stel dat je een website bezoekt, bijvoorbeeld van een bank. Dan vraagt jouw computer automatisch allerlei informatie van die website. Zoals het IP-adres, een nummer dat iedere computer of server heeft die verbonden is met het internet. Op die manier kunnen computers onderling communiceren en dit gebeurt ontelbare keren per dag.”

Cybercriminelen maken hier via een trucje slim gebruik van. Ze vragen namelijk om heel veel informatie tegelijkertijd via DNS. Naast het IP-adres bijvoorbeeld ook, wat de mail- en webservers zijn. Vaak willen ze die informatie ook nog ontvangen met een digitale handtekening. Deze vragen kost de verzender maar een paar bytes om te versturen. Het antwoord is vele malen groter. Daarom wordt dit ook wel DNS amplificatie genoemd.

“Vervolgens vragen de cybercriminelen die informatie niet te versturen naar de afzender, namelijk zijzelf, maar naar een andere website. Bijvoorbeeld van een bank, die daardoor ongelooflijk veel informatie krijgt te verwerken en dat helemaal niet aan kan. Het systeem raakt overbelast en de site gaat offline”, legt hoogleraar cybersecurity Michel van Eeten (TU Delft) uit. Een recente aanval op Spamhaus, ging op deze manier te werk. Dat is een organisatie die de overlast van spam probeert te verminderen.

Wirwar van connecties

De DDoS aanvallen zijn zeer divers. Een verbinding maken met een website gaat namelijk via zeven hiërarchische niveaus, volgens het zogenaamde OSI-model. Sommige lagen zetten de sessie op en weer andere halen de website op en maken applicaties mogelijk, waardoor je kan inloggen.

Amsterdams hoofdkantoor ING. De bank werd hard geraakt door een DDoS aanval.

Mig de Jong

“De recente aanval bij ING vond plaats op een hoge laag en ging over de inhoud van een site. Er werd namelijk voortdurend ingelogd bij telebankieren met een willekeurig getal. ING moet dan bij iedere poging de database checken of de inloggegevens kloppen. Wie dat maar vaak genoeg tegelijkertijd doet, maakt een site onbereikbaar”, aldus Van Eeten.

Het lastige aan de DDoS aanvallen is, dat ze vrijwel niet traceerbaar zijn. Of ze nu via botnets gaan of DNS-servers, de cybercriminelen zitten verstopt achter een wirwar van connecties. De hamvraag is of er wat te doen is aan deze aanvallen. Het succes van een DDoS aanval hangt samen met hoeveel capaciteit er is – dus hoeveel informatie over een internetverbinding kan worden verstuurd. Des te meer info wordt uitgewisseld, hoe groter de verbinding is. Om weer terug te keren naar de telefoonboeken: wie een gigantische oprit heeft, loopt een zeer kleine kans dat die verstopt raakt door de boeken.

Filteren

“Daarom ligt het meest voor de hand om een dikkere internetverbinding te maken en je website op meerdere plekken te zetten. Bijvoorbeeld door je aan te melden bij verschillende datacenters wereldwijd. Als er dan een aanval komt uit China, dan ligt de verbinding in dat land er uit, maar merkt men er in Nederland niets van. Amazon en Google staan bekend om hun gigantische capaciteit. Bedrijven kunnen zich bij hen aansluiten via cloud services. Wanneer ze dan een flinke piek in informatie aanvragen krijgen, vangen de grote verbindingen van Amazon dat bijvoorbeeld op”, zegt cyberbeveiligingsexpert Walter Belgers, eigenaar van IT-beveiliger Madison Gurkha.

Op 21 mei 2013 opende Kennisinstelling TNO het Cyber Security Lab, dat de digitale veiligheid moet vergroten. Hier worden onder meer incidenten gereconstrueerd, waardoor een herhaling ervan moet worden voorkomen. Een maand daarvoor werd al de Europese Cyber Security Group opgericht, door onafhankelijke bedrijven waaronder het Nederlandse Fox-IT. Deze samenwerking moet het opsporen van cybercriminelen over de landsgrenzen makkelijker maken.

Een innovatievere mogelijkheid is het filteren van informatieaanvragen. Dit wordt gedaan door bedrijven zoals Arbor Networks en Infradata. “Dit filter wordt voor een server van een website geplaatst en bekijkt alle verkeer dat binnenkomt. Wanneer steeds informatieaanvragen over een pagina binnen komen, detecteren ze dat. Maar aanvallen zijn vaak ingewikkeld, en imiteren het gedrag van gewone bezoekers. Neem het inloggen bij telebankieren. Als daarbij steeds een andere naam wordt gebruikt weet je niet of het een hacker is of een klant”, aldus Belgers. Bovendien zijn deze systemen prijzig. Ze kosten tonnen in aanschaf en vele duizenden euro’s per maand.

Wie er precies achter de aanvallen zit, is lastig na te gaan. De getroffen banken geven bijvoorbeeld geen informatie daarover. Wel is bekend dat er veel door cybercriminelen wordt gehandeld in DDoS aanvallen. Van Eeten: “Dat gebeurt op ondergrondse eBay-achtig sites. Hackers geven elkaar reputatiepunten en bieden bijvoorbeeld bepaalde typen aanvallen via botnets of DNS aan. De aanvallen worden meestal gedaan om bedrijven af te persen of doordat hackers willen laten zien waartoe in staat zijn.” Over een ding zijn de specialisten het eens. Van DDoS aanvallen zijn we waarschijnlijk nog lang niet af.

ReactiesReageer