De Help Desk punt NL
Kennisbank
De Helpdesk > De Helpdesk > Kennisbank

Denial of Service (DOS) attack

Oplossing

Hoe werkt het?

Een DoS attack is een poging waarbij de hacker probeert om het aan te vallen netwerk zodanig te belasten dat het uiteindelijk niet meer beschikbaar is. Het is één van de oudste aanvalsvormen, de eerste beschrijvingen stammen uit 2000. Inmiddels is de DoS attack geëvolueerd tot een Distributed Denial of Service (DDoS) attack. Bij een ‘distributed’ aanval voeren meerdere computers, veelal via botnets, tegelijk een aanval uit op hun doelwit. De DDoS attack is nog steeds erg populair vanwege de relatief gemakkelijke uitvoering, geringe kosten en moeilijke traceerbaarheid.

Het frappante aan een DDoS attack is dat er geen data wordt gestolen. Er zijn echter vele andere redenen voor een hacker om voor een DDoS attack te kiezen:

  • Als afpersingsmiddel, door te dreigen met een aanval of de aanval pas te stoppen na betaling.
  • Om websites van de concurrentie of vijandig gezinde landen tijdelijk uit te schakelen.
  • Als vergeldingsactie, dit kan een politieke, religieuze of activistische grondslag hebben.
  • Als rookgordijn om andere aanvallen te kunnen plegen. De DDoS attack zorgt ervoor dat alle aandacht en inzet van IT expertise daarop is gefocust.

Het uitvoeren van een DDoS attack kan via de genoemde Botnets, via software zoals Storm Kit of via schimmige DDoS providers die hun diensten aanbieden op het Dark Web. In alle gevallen worden, vaak via anoniem gehuurde servercapaciteit, zeer snel extreme hoeveelheden data verstuurd. Bij één van de grootste DDoS aanvallen ooit, (uitgevoerd op de BBC website in december 2015) werden hoeveelheden rond 600 Gbps (600 miljard bits per seconde) behaald.

Grote dreiging

Cybercrime door DDoS attacks blijkt in de praktijk een grote dreiging te zijn. Het Q1 2016 State of the Internet/Security Report van Akamai toont een groei van 23%. Hun voorspelling is dat het aantal aanvallen jaarlijks zal verdubbelen. De geschetste trend dat het aantal aanvallen blijft groeien wordt ook bevestigd in het recente trendrapport van Verisign. Vooral de groei in de hoeveelheid netwerkverkeer waarmee wordt aangevallen is een zichtbare trend.

Volgens de Neustar enquête kost een grote DDoS attack bedrijven wereldwijd tussen de 100.000 dollar en 250.000 dollar per uur.

Verschillende typen

De DDoS attack heeft verschillende vormen, hieronder worden de bekendste beschreven:

  1. Volumetric attack: via dit type aanval worden er zeer grote hoeveelheden netwerkpakketten (o.a. beeld UDP en ICPM) naar het aanvalsdoel gezonden. De bandbreedte van het aangevallen systeem wordt overladen en systemen en applicaties worden onbereikbaar.
  2. Application attacks: bij dit type aanval wordt alleen de webapplicatie (bijvoorbeeld via een HTTP Flood) aangevallen. Er worden specifieke functies continu geselecteerd waardoor uiteindelijk de website ‘hangt’. Deze vorm is lastig te herkennen omdat er legitiem dataverkeer wordt gegenereerd.
  3. Protocol attack: hiermee wordt er een aanval uitgevoerd op firewalls, webservers of andere netwerkinfrastructuur. Eén van de bekendste protocol attacks is de ‘Ping of Death’, waarbij een pakket dat groter is dan de toegestane 65535 bytes wordt verzonden. Bij de ontvanger ontstaat een bufferoverflow waardoor het systeem crasht.
  4. Multi-Vector attack: bij deze DDoS vorm worden zowel de bandbreedte, netwerk- en applicatielaag aangevallen waarbij er wordt gezocht naar de zwakste schakel van de drie.

DDoS attack ontdekken

Omdat het vaak legitiem netwerkverkeer betreft is een mogelijke DDoS attack soms lastig te herkennen. Toch is dit mogelijk aan de hand van de volgende karakteristieken:

  • DDoS aanvallen veroorzaken al snel performance problemen of server crashes. Dit kan een eerste indicatie zijn van een beginnende aanval.
  • Indien hetzelfde IP adres om steeds dezelfde data vraagt voordat er een valide response wordt teruggegeven door de server.

Tegenwoordig gebruiken Security Operation Centers SIEM tooling om DDoS attacks vooraf te herkennen. De toegevoegde waarde is bij de huidige aanvalssnelheden echter minimaal. De tijd tussen het signaleren van een aanval en er wat aan kunnen doen is simpelweg te kort.

DDoS aanvallen voorkomen

Er zijn verschillende manieren om DDoS attacks te voorkomen of te mitigeren. Hieronder worden de belangrijkste maatregelen kort aangegeven:

  1. Vergroot de bandbreedte: meer bandbreedte afnemen van externe partijen met grote datacenters verlaagt de impact van een DDoS aanval.
  2. Externe DDoS mitigerende dienst afnemen: hierbij wordt het netwerkverkeer door een externe leverancier continu gemonitord. Bij een verdachte piek in het netwerkwerkverkeer wordt het binnenkomende verkeer weggeleid naar de servers van de externe leverancier. Voorbeelden van externe mitigerende diensten zijn Incapsula, Akamai en in Nederland de Nationale anti-DDoS Wasstraat (kortweg NaWas).
  3. Wees goed voorbereid: dat is primair het advies van het NCSC. Zorg dat er aan de hand van een draaiboek snel en adequaat gereageerd kan worden op een DDoS aanval. Zowel op het technische- als communicatieve vlak.
  4. Voer digitaal forensisch onderzoek uit: geen maatregel om een DDoS attack tegen te gaan maar een handeling om het risico op neveneffecten te minimaliseren. Na een aanval is het van belang om te onderzoeken of er gelijktijdig geen andere hackpogingen of datalekken hebben plaatsgevonden.

Conclusie

De laatste jaren hebben bedrijven veel geïnvesteerd om DDoS attacks te managen. Aanvallen op banken zoals die een aantal jaar geleden veelvuldig voorkwamen zijn uit het nieuws verdwenen. De gebruikte DDoS technieken blijven zich echter verbeteren. Vandaag de dag kan via een zogeheten Advanced Persistent Threat (APT) een organisatie via multi-vector attacks langdurig worden aangevallen. Een bedrijf moet significante maatregelen hebben getroffen om een dergelijke aanval het hoofd te bieden.

Het is daarom van belang dat bewustzijn, investeringen en kennis binnen bedrijven en organisaties gelijke tred houden met de laatste DDoS ontwikkelingen.

 
Was dit artikel bruikbaar? ja / nee
Gerelateerde artikelen DDoS-aanval
DDOS via Windows command prompt
DDoS filter
(D)DoS Deflate
Brute-force attack
Ziggo IP veranderen
Open DNS-resolver
Social Engineering attack
Wat is ransomware
Port forwarding, wil je dat echt?
Artikel details
Artikel ID: 553
Categorie: Hoe werkt dat
Zoekwoorden Denial of Service, DOS, DDOS, attack, aanval, denial, of, service, attacker, aanvallen, hacker, attacks, techniek, Advanced Persistent Threat, APT,
Datum toegevoegd: 4-Sep-2018 21:27:52
Aantal bekeken: 10816
Beoordeling (Stemmen): Artikel beoordeeld 4.2/5.0 (4013)

 
« Ga terug