De belangrijkste kenmerken van een DDoS-aanval
DDoS-aanvallen zijn een echte pest op het internet. Je kan geen nieuwssite meer bekijken zonder dat er gewag gemaakt wordt van een aanval op deze of gene site. De media spreken dan graag over hackers en gehackte sites. Veel van die zogenaamde “hackers” verwittigen zelf de pers en gebruiken maar al te graag die naam of noemen zichzelf in een soort van majestueus meervoud een hackerscollectief.
Maar een DDoS-aanval heeft niks met hacken te maken. Cyberhooliganisme of cyberpesterij zijn juistere termen om een DDoS-aanval te omschrijven. Bij zo’n aanval wordt een website, server of netwerk immers enkel onbereikbaar gemaakt. Nergens gaat het om een inbraak of het stelen of vernietigen van gegevens.
Distributed Denial of Service
De DoS in DDoS staat voor Denial of Service. Het is een tactiek waarbij men ervoor zorgt dat het slachtoffer het te druk heeft om zijn normale taak te vervullen. Het slachtoffer kan bijvoorbeeld een webserver zijn, die het dan zo druk krijgt dat hij de website niet meer kan tonen aan reguliere bezoekers. Maar het kan even goed een router of firewall zijn die overbelast wordt om zo een volledig netwerk last te berokkenen.
Vergelijk het met het bewust creëren van een file op een snelweg, waarbij de bestemming (tijdelijk) onbereikbaar is omdat de weg ernaar toe hopeloos volzet is.
De eerste D in DDos staat dan weer voor Distributed. Bij hedendaagse DDos-aanvallen worden immers technieken ingezet waarbij men niet van op één punt aanvalt, maar van op vele duizenden, tienduizenden of zelfs honderdduizenden punten. Dat genereert niet alleen een veelvoud aan verkeer, maar maakt het ook moeilijker om de bron van de aanval te detecteren of die bron snel uit te sluiten.
Verouderd netwerkprotocol
DDoS-aanvallen zijn mogelijk omwille van het zwakke netwerkprotocol dat het internet gebruikt. Dat protocol is immers meer dan 50 jaar oud en werd destijds geschreven door militairen die een afgezonderd netwerk in gedachten hadden en uiteraard nog nooit van cybersecurity gehoord hadden.
De belangrijkste kenmerken van een DDoS-aanval
Niets vermoedende aanvallers
Het grootste probleem bij DDoS-bescherming is dat je niet altijd weet of netwerkverkeer vanaf een bepaalde computer afkomstig is van een reguliere bezoeker van je website, dan wel dat die computer gekaapt is door misdadigers. Die maken voor DDoS-aanvallen immers gebruik van botnets.
Botnet is de naam voor een verzameling van computers, meestal gewoon computers van thuisgebruikers of computers op een kantoor, die besmet geraakt zijn voor een virus of Trojaans paard. Via die weg kan een misdadiger vanop afstand de besmette computer de opdracht geven om bepaalde handelingen uit te voeren.
In het geval van een DDoS-aanval laat men de besmette computers ongemerkt een grote hoeveelheid netwerkverkeer naar een bepaald doelwit sturen. Als gebruiker van zo’n besmette computer merk je daar niets van. De duizenden netwerkpakketjes zijn te verwaarlozen tussen al het legitiem surfverkeer. Maar als tienduizenden computers elk duizend pakketten per seconde genereren, dan spreken we uiteraard over een andere grootteorde. Als al dat netwerkverkeer dan richting één doelwit wordt gestuurd, krijg je dus een DDoS-aanval.
Geen illegaal verkeer
Een tweede kenmerk van een DDoS-aanval is dat het in wezen dus niet gaat om illegaal of verkeerd verkeer. Er wordt gebruik gemaakt van legitieme netwerkprotocollen die nodig zijn om het internet te laten werken. Dat feit, samen met het feit dat het verkeer van overal kan komen, maakt dat het zo moeilijk is om je ertegen te verdedigen.
Elk bedrijf zal inmiddels – dat hopen wij alleszins – zijn servers en netwerk op zijn minst beveiligen met een stateful packet filtering firewall. Helaas helpt die niet als bescherming tegen een DDoS-aanval. Een firewall gaat immers verkeer tegen houden dat er niet mag zijn. Als server A bijvoorbeeld een mailserver is, dan weet je firewall dat het alle webverkeer naar die server mag tegen houden. Maar mailverkeer zal toegelaten worden. Ook als het over heel veel mailverkeer gaat, zoals bij een DDoS-aanval.
Geen rechtstreekse schade
Een derde eigenschap van een DDoS-aanval is dat hij, zoals eerder al verteld, geen rechtstreekse schade toebrengt. Er wordt niet ingebroken en zo’n aanval maakt op zich niks stuk. Het zorgt er alleen maar voor dat iets onbereikbaar wordt en dat er zo indirecte schade veroorzaakt wordt.
Bescherming tegen DDos?
Kan je DDoS-aanvallen tegenhouden? Ja, maar de kost voor die bescherming staat spijtig genoeg niet in verhouding tot de minimale kost en inspanningen voor de misdadigers die ze uitvoeren. Daarom is het voor bedrijven belangrijk om de juiste keuzes te maken en goed te bepalen hoe en waar ze hun security-budget besteden.
Als je slachtoffer wordt van een DDoS-aanval en je kan je niet verweren, kan je overwegen om even de stekker uit je netwerk te halen. Op die manier wint de aanvaller het eerste gevecht, wat soms al voldoende is om zijn eerzucht te bevredigen. Uiteraard zijn er andere en betere manieren om je te beschermen.