Nucleus DDoS ebook

Er bestaat niet zoiets als dé DDoS-aanval. Aanvallen zijn er in allerlei soorten en maten. In deze blogpost bespreken we de aanvallen op applicaties. In eerdere blogposts hadden we het al over de netwerkaanval en de serveraanval, in een latere blogpost volgt meer uitleg over aanvallen op SSL-protocollen.

 

Aanvallen gericht op applicaties

Aanvallen op applicaties vertegenwoordigen de meerderheid van alle DDoS-aanvallen. Ze zijn vaak gericht op het http-protocol, dat nu eenmaal één van de meest gebruikte protocollen is op het internet. Zoals in eerder blogposts al uitgelegd, maken we een onderscheid tussen floods en slow attacks. De laatste categorie is vandaag in de meerderheid, net omdat ze moeilijker te traceren is.

 

HTTP Flood

Een HTTP Flood is een erg eenvoudige aanval. Er worden gewoon massaal veel HTTP GET of POST-instructies naar een server gestuurd zodat die het te druk krijgt om iedereen te antwoorden. De aanvallers maken hiervoor gebruik van grote botnets waarbij iedere besmette computer tientallen requests afvuurt naar de webserver.

 

DNS Flood

Een DNS Flood werkt volgens hetzelfde principe als een HTTP flood, maar is gericht op een DNS server. Die krijgt door zo’n aanval zoveel aanvragen dat hij niet meer kan antwoorden. Daardoor worden domeinnamen niet meer gekoppeld aan IP-adressen en worden diensten zoals e-mail of websites op die domeinnamen onbereikbaar.

 

Slow HTTP GET

Het idee achter deze aanval is identiek: zorg ervoor dat de webserver zoveel open connecties heeft dat er geen ruimte meer is voor nieuwe connecties. Dit gebeurt typisch door HTTP GET requests te sturen die onvolledig zijn of zo traag gaan dat de webserver enorm lang wacht om data terug te sturen. Doordat de HTTP GET zo traag binnenkomt, komt er geen time-out en blijft de webserver getrouw wachten terwijl hij de connectie open laat.

 

Slow HTTP POST

Dit type aanval is venijniger dan andere aanvallen. De aanvaller zoekt naar formulieren op een website, vist dan uit wat een typische POST naar zo’n formulier is en hoe groot die maximaal kan zijn. Vervolgens gaat de aanvaller via een botnet een heleboel van zulke connecties openen en alle POST data byte per byte versturen, net snel genoeg om time-outs te voorkomen. Dit gedrag imiteert dus legitieme POSTS, maar dan wel aan schildpadsnelheid. Bijgevolg blijft de connectie extreem lang open. Als de aanvaller dit massaal doet, blijven er geen vrije connecties meer over voor legitieme gebruikers.

 

RegEx Dos & Hash Collisions

Van deze aanval bestaan een aantal varianten. De eerste is de regex dos. Een regex is een regular expression, een methode om bepaalde resultaten te filteren. Een aanvaller zal een regex maken die relatief veel rekenkracht nodig heeft en die dan massaal gaan versturen om zo de resources van de server te gaan overbelasten.

 

Een andere variant heeft te maken met hash collisions. Veel programmeurs gebruiken namelijk hash-functies om bepaalde POST parameters te verwerken. Denk bijvoorbeeld aan wachtwoorden. Die mogen voor een optimale veiligheid niet in tekstformaat worden opgeslagen, maar moeten ‘gehashed’ worden. Maar als je hash gebruikt, moet je ook rekening houden met hash collisions: de situatie waarbij twee dezelfde hash-resultaten optreden. Met deze uitzonderingen omgaan vergt flink wat rekenkracht voor een computer. Als een aanvaller zo’n kwetsbaarheid ontdekt in een website, kan hij zelf van op een enkele computer, vrij gemakkelijk een webserver op de knieën krijgen.

 

###

 

Deze blogpost maakt deel uit van een reeks blogposts over DDos en hoe je ertegen te beschermen. Lees ook onze andere blogposts:

 

  1. Waarom een DDos-aanval geen hacking is…
  2. Het economisch model achter een DDoS-aanval
  3. De belangrijkste kenmerken van een DDoS-aanval
  4. De geschiedenis van DDoS-aanvallen
  5. Soorten DDoS-aanvallen: de netwerk-aanval
  6. Soorten DDoS-aanvallen: de server-aanval
  7. Soorten DDoS-aanvallen: de SSL-aanval
  8. Wat zijn botnets en hoe werken ze?
  9. Hoe bescherm je jezelf tegen DDoS-aanvallen?
  10. Hoe kies je de geschikte DDoS-beveiling?
  11. Checklist: Word jij slachtoffer van een DDoS-aanval?

 

Al deze blogposts zijn verzameld in een eBook dat gratis te downloaden is. Bovendien vind je ook een checklist zodat je kan nagaan hoe groot de kans is dat je slachtoffer wordt van een DDoS-aanval en hoe het met je bescherming gesteld is. Download hier het ebook.
 

Gerelateerde berichten
Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer

GDPR voor developers

GDPR voor developers: praktische tips

Er bestaat al gigantisch veel informatie over GDPR. Informatie voor CEO’s, CIO’s, marketing managers… maar GDPR voor developers? Amper. Daar willen we met deze blogpost verandering in brengen. Wat moet je als developer weten over GDPR? En welke praktische tips kunnen we je geven?

Lees meer

DevOps Mythes

6 DevOps mythes die we graag uit de wereld helpen

DevOps is een hot topic. Je vindt er dan ook heel veel informatie over. Helaas is niet al die informatie even zinvol of correct. […]

Lees meer