Nucleus ddos ebook

Het grote probleem bij elke DDoS-aanval is dat er met relatief weinig middelen grote schade kan aangericht worden. Niet enkel door de tijdelijke onbeschikbaarheid door de aanval zelf, maar ook door de kosten van de bescherming tegen DDoS-aanvallen. Die kost ligt vrij hoog – denk aan enkele duizenden euro per maand – simpelweg omdat het technisch niet eenvoudig is om je te beschermen tegen DDoS-aanvallen.

Heuristische software

DDoS-bescherming moet intelligent zijn, omdat het meeste DDoS-verkeer amper te onderscheiden is van legitiem verkeer. Het is dus geen zwart-wit keuze, maar een speelveld met meer dan 50 tinten grijs. Om je te beschermen tegen DDoS-aanvallen is een heuristieke aanpak nodig, waarbij je werkt met patroonherkenning.

 

Een bepaald aantal ping requests naar een server is bijvoorbeeld normaal, maar vanaf een hoger aan wordt het verdacht. Omdat de meeste van die grenzen relatief zijn, vergt het dus ingewikkelde software om de juiste beslissingen te nemen. Bovendien moet die software deze ingewikkelde beslissingen nemen tijdens een stortvloed van verkeer.

Netwerkcapaciteit

Tegelijk moet ook het netwerk enorm uitgebouwd zijn. Wat baat het immers om aan jouw kant van de lijn werkende DDoS-bescherming te hebben, als er op je 1 Gbps- lijn 40 Gbps staat de drummen om binnen te mogen? Uit onze eigen cijfers bij Nucleus blijkt dat ongeveer 80% van de aanvallen kleiner is dan 5 Gbps. Maar we zien wel een groeicurve. Vandaag is een 10 Gbps-aanval geen uitzondering meer. Er zijn wereldwijd zelfs al aanvallen van 400 Gbps gemeld.

 

Geen sluitende oplossing?

De combinatie van complexe heuristische software met een nood aan rekenkracht en de uitbouw van een supernetwerk, maakt dat anti-DDoS tools niet goedkoop zijn.

 

De vraag is dan ook vooral hoe ver je wil gaan in je bescherming tegen DDoS-aanvallen. De kenmerken van een DDoS-aanval zorgen er immers voor dat er geen echt sluitende oplossing is. Wat is dan beter? Je met een beperkt budget 95% van de tijd beschermen? Of een enorm budget besteden aan veiligheid tijdens 99,99% van de tijd. Een overzicht van enkele alternatieven…

 

Blackholing

Blackholing is de meest gebruikte ‘bescherming’ tegen DDoS-aanvallen. Blackholing is een techniek waarbij men beslist om het IP-adres van het slachtoffer van het internet te halen door al het verkeer dat er naar toe verzonden wordt te laten verdwijnen in een ‘zwart gat’. Vandaar de naam blackholing.

 

Blackholing betekent dus dat we de aanvaller zijn zin geven en zijn doel onbereikbaar maken. Dit gebeurt in de hoop dat hij daardoor voldoende pluimen op zijn hoed kan steken en stopt met de aanval. Aangezien de meeste DDoS-aanvallen het werk zijn van script kiddies, is dit vaak effectief. Daarnaast probeer je via blackholing de aanvaller zelf in zijn portemonee te raken: een botnet gebruiken kost immers geld. De vraag is dus hoeveel geld de tegenpartij kan en wil blijven spenderen om je aan te vallen.

 

Blackholing is de zwakste vorm van ‘bescherming, want als de aanvaller koppig is en voldoende middelen heeft, blijf je lange tijd offline.

 

Mitigation

Een betere vorm van DDoS-bescherming is mitigation. Vergelijk het met een carwash: al het verkeer gaat de wasstraat in en al het vuil wordt weggespoeld. Enkel het propere verkeer komt de carwash uit.

 

Dat gebeurt dus middels de eerder besproken heuristische software, die bliksemsnel op basis van patronen intelligente beslissingen neemt over al dan niet legitiem verkeer. Vandaag zijn er al gespecialiseerde aanbieders als Incapsula en Akamai die mitigation-as-a-service aanbieden. Zij spelen als het ware carwash voor het ‘propere’ verkeer jouw richting uit gestuurd wordt.

 

CDN versus DDoS?

Er wordt ook vaak gesuggereerd dat Content Delivery Networks (CDN) een oplossing vormen tegen DDoS-aanvallen. CDN zijn immers ontworpen om wereldwijd een netwerk aan proxies te beheren, zodat zeer druk bezochte websites permanent online blijven. Aangezien CDN ontworpen zijn om zeer veel verkeer aan te kunnen, kunnen ze dus een hulp vormen in de strijd tegen DDoS.

 

Maar CDN bestaan in heel wat vormen en enkele kenmerken van CDN’s zorgen ervoor dat ook zij kwetsbaar blijven voor DDoS-aanvallen. Stel dat je bijvoorbeeld een CDN hebt dat enkel de statische content van je website in de cache houdt en de dynamische onderdelen toch real time van je webserver haalt. Dan blijft het vrij simpel om een aanval op te zetten die zich net op die stukken richt die niet door het CDN worden afgehandeld.

 

CDN kunnen het aanvallers dus moeilijker maken, maar het ziijn geen anti-DDoS oplossingen.

 

###

 

Deze blogpost maakt deel uit van een reeks blogposts over DDos en hoe je ertegen te beschermen. Lees ook onze andere blogposts:

 

  1. Waarom een DDos-aanval geen hacking is…
  2. Het economisch model achter een DDoS-aanval
  3. De belangrijkste kenmerken van een DDoS-aanval
  4. De geschiedenis van DDoS-aanvallen
  5. Soorten DDoS-aanvallen: de netwerk-aanval
  6. Soorten DDoS-aanvallen: de server-aanval
  7. Soorten DDoS-aanvallen: de applicatie-aanval
  8. Soorten DDoS-aanvallen: de SSL-aanval
  9. Wat zijn botnets en hoe werken ze?
  10. Hoe kies je de geschikte DDoS-beveiling?
  11. Checklist: Word jij slachtoffer van een DDoS-aanval?

 

Al deze blogposts zijn verzameld in een eBook dat gratis te downloaden is. Bovendien vind je ook een checklist zodat je kan nagaan hoe groot de kans is dat je slachtoffer wordt van een DDoS-aanval en hoe het met je bescherming gesteld is. Download hier het ebook.
 

Gerelateerde berichten
Netneutraliteit

Waarom onze overheid netneutraliteit moet garanderen

Een recent artikel van freelance journalist Jan Jacobs over netneutraliteit op Doorbraak.be deed ons steigeren. Zo erg zelfs dat we ons bijna afvragen op hij betaald werd door Proximus of Telenet om zo’n stuk neer te poten.

Lees meer

Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer

GDPR voor developers

GDPR voor developers: praktische tips

Er bestaat al gigantisch veel informatie over GDPR. Informatie voor CEO’s, CIO’s, marketing managers… maar GDPR voor developers? Amper. Daar willen we met deze blogpost verandering in brengen. Wat moet je als developer weten over GDPR? En welke praktische tips kunnen we je geven?

Lees meer