Nucleus DDoS ebook

Er bestaat niet zoiets als dé DDoS-aanval. Aanvallen zijn er in allerlei soorten en maten. In deze blogpost bespreken we de aanvallen op applicaties. In eerdere blogposts hadden we het al over de netwerkaanval en de serveraanval, in een latere blogpost volgt meer uitleg over aanvallen op SSL-protocollen.

 

Aanvallen gericht op applicaties

Aanvallen op applicaties vertegenwoordigen de meerderheid van alle DDoS-aanvallen. Ze zijn vaak gericht op het http-protocol, dat nu eenmaal één van de meest gebruikte protocollen is op het internet. Zoals in eerder blogposts al uitgelegd, maken we een onderscheid tussen floods en slow attacks. De laatste categorie is vandaag in de meerderheid, net omdat ze moeilijker te traceren is.

 

HTTP Flood

Een HTTP Flood is een erg eenvoudige aanval. Er worden gewoon massaal veel HTTP GET of POST-instructies naar een server gestuurd zodat die het te druk krijgt om iedereen te antwoorden. De aanvallers maken hiervoor gebruik van grote botnets waarbij iedere besmette computer tientallen requests afvuurt naar de webserver.

 

DNS Flood

Een DNS Flood werkt volgens hetzelfde principe als een HTTP flood, maar is gericht op een DNS server. Die krijgt door zo’n aanval zoveel aanvragen dat hij niet meer kan antwoorden. Daardoor worden domeinnamen niet meer gekoppeld aan IP-adressen en worden diensten zoals e-mail of websites op die domeinnamen onbereikbaar.

 

Slow HTTP GET

Het idee achter deze aanval is identiek: zorg ervoor dat de webserver zoveel open connecties heeft dat er geen ruimte meer is voor nieuwe connecties. Dit gebeurt typisch door HTTP GET requests te sturen die onvolledig zijn of zo traag gaan dat de webserver enorm lang wacht om data terug te sturen. Doordat de HTTP GET zo traag binnenkomt, komt er geen time-out en blijft de webserver getrouw wachten terwijl hij de connectie open laat.

 

Slow HTTP POST

Dit type aanval is venijniger dan andere aanvallen. De aanvaller zoekt naar formulieren op een website, vist dan uit wat een typische POST naar zo’n formulier is en hoe groot die maximaal kan zijn. Vervolgens gaat de aanvaller via een botnet een heleboel van zulke connecties openen en alle POST data byte per byte versturen, net snel genoeg om time-outs te voorkomen. Dit gedrag imiteert dus legitieme POSTS, maar dan wel aan schildpadsnelheid. Bijgevolg blijft de connectie extreem lang open. Als de aanvaller dit massaal doet, blijven er geen vrije connecties meer over voor legitieme gebruikers.

 

RegEx Dos & Hash Collisions

Van deze aanval bestaan een aantal varianten. De eerste is de regex dos. Een regex is een regular expression, een methode om bepaalde resultaten te filteren. Een aanvaller zal een regex maken die relatief veel rekenkracht nodig heeft en die dan massaal gaan versturen om zo de resources van de server te gaan overbelasten.

 

Een andere variant heeft te maken met hash collisions. Veel programmeurs gebruiken namelijk hash-functies om bepaalde POST parameters te verwerken. Denk bijvoorbeeld aan wachtwoorden. Die mogen voor een optimale veiligheid niet in tekstformaat worden opgeslagen, maar moeten ‘gehashed’ worden. Maar als je hash gebruikt, moet je ook rekening houden met hash collisions: de situatie waarbij twee dezelfde hash-resultaten optreden. Met deze uitzonderingen omgaan vergt flink wat rekenkracht voor een computer. Als een aanvaller zo’n kwetsbaarheid ontdekt in een website, kan hij zelf van op een enkele computer, vrij gemakkelijk een webserver op de knieën krijgen.

 

###

 

Deze blogpost maakt deel uit van een reeks blogposts over DDos en hoe je ertegen te beschermen. Lees ook onze andere blogposts:

 

  1. Waarom een DDos-aanval geen hacking is…
  2. Het economisch model achter een DDoS-aanval
  3. De belangrijkste kenmerken van een DDoS-aanval
  4. De geschiedenis van DDoS-aanvallen
  5. Soorten DDoS-aanvallen: de netwerk-aanval
  6. Soorten DDoS-aanvallen: de server-aanval
  7. Soorten DDoS-aanvallen: de SSL-aanval
  8. Wat zijn botnets en hoe werken ze?
  9. Hoe bescherm je jezelf tegen DDoS-aanvallen?
  10. Hoe kies je de geschikte DDoS-beveiling?
  11. Checklist: Word jij slachtoffer van een DDoS-aanval?

 

Al deze blogposts zijn verzameld in een eBook dat gratis te downloaden is. Bovendien vind je ook een checklist zodat je kan nagaan hoe groot de kans is dat je slachtoffer wordt van een DDoS-aanval en hoe het met je bescherming gesteld is. Download hier het ebook.
 

Gerelateerde berichten
Nucleus - Laravel

Wat is de beste manier om Laravel te hosten?

Wat is de beste manier om Laravel te hosten? Door Laravel, Forge en gebruiksvriendelijke deployments te combineren met managed hosting. Lees hier waarom!

Lees meer

Spectre en Meltdown

Spectre en Meltdown: wat was de échte impact ?

Spectre en Meltdown – en meer bepaald het patchen van de lekken – hebben zowat elke system administrator bezig gehouden de afgelopen dagen. Nu […]

Lees meer

Spectre en Meltdown

Important information regarding Meltdown & Spectre CPU vulnerabilities

By exception, this blogpost will be in English to inform all our clients. News has come out about highly critical vulnerabilities in all Intel […]

Lees meer