DDoS: nucleus ddos ebook

Er bestaat niet zoiets als dé DDoS-aanval. Aanvallen zijn er in allerlei soorten en maten. In deze blogpost bespreken we de aanvallen op het netwerk. In latere blogposts volgt nog wat meer uitleg over aanvallen op servers, applicaties en SSL-protocollen.

Aanvallen gericht op het netwerk

Deze aanvallen zijn het oervoorbeeld van DDoS-aanvallen zoals de meeste ICT’ers die kennen. Ze creëren een stortvloed aan netwerkverkeer met als enige doel alle network resources op te souperen. Vergelijk het met een autosnelweg met drie rijstroken die 1.000 auto’s per uur aan kan en waar dan opeens 4.000 auto’s per uur opgestuurd worden. Het gevolg: niemand raakt nog op zijn bestemming. Dit is de rode draad in dit soort van aanvallen, waarvan we  hieronder de voornaamste voorbeelden beschrijven.

UDP floods

UDP of User Datagram Protocol is een connectieloos protocol. Dat wil zeggen dat er geen systeem is waarbij er eerst een connectie moet opgezet worden met een handshake.

 

Een UDP flood misbruikt geen fout, bug of kwetsbaarheid. Het is gewoon kwestie om een hele hoop verkeer te sturen, meestal van een gespoofed IP adres zodat de oorsprong niet te achterhalen is, naar willekeurige poorten van een server.

 

Die server is meestal niet in staat de toevloed van verkeer af te handelen en verspilt op zijn beurt ook heel wat bandbreedte door het Internet Control Message Protocol (ICMP) “destination unreachable” terug te zenden als antwoord.

ICMP floods

ICMP of Internet Control Message Protocol is ook een connectieloos protocol. Het wordt voornamelijk gebruikt voor IP operations, diagnose en foutmeldingen. Het gekende ping-commando is een voorbeeld van ICMP.

 

Ook bij een ICMP flood wordt geen gebruikt gemaakt van een kwetsbaarheid. Er wordt eveneens (te) veel netwerkverkeer te veroorzaakt om zo de server en het netwerk te overbelasten.

IGMP floods

IGMP staat voor Internet Group Management Protocol en ook dit is een connectieloos protocol. IGMP wordt gebruikt door computers en routers om multicast memberships naar naburige routers te sturen.

IGMP gebruikt dus ook geen kwetsbaarheid maar kan gebruikt worden om vooral routers enorm veel extra werk te geven en zo hun werking te verstoren.

Amplification attacks

Zoals het woord het al aangeeft, is het typisch kenmerk van een amplification attack dat je een systeem gebruikt om een resultaat te bekomen dat x keer groter is qua verkeer dan wat je nodig hebt. Daarom zijn dit soort aanvallen geliefd als DDoS-aanval. Je hebt niet veel middelen nodig om toch een groot sneeuwbaleffect te creëren.

 

Een voorbeeld: als je naar het broadcast IP van een router een aanvraag stuurt met een gespoofed bron IP-adres, zal deze router deze aanvraag verdelen naar alle IP’s in zijn subnet, die op hun buurt dan een antwoord terug sturen naar dat spoofed bron IP adres. En laat dat adres nu net het doelwit van je aanval zijn. Zo zie je meteen hoe je een distributed attack opzet met amplification.

 

Gekende amplification technieken zijn smurf attacks (ICMP amplification) en fraggle attacks (UDP amplification). De meest gebruikte techniek is DNS amplification. Daarbij wordt gebruikt gemaakt van niet dichtgespijkerde recursive DNS servers. Men bezorgt die een grote zone file in de cache en laat deze zonefile dan opvragen vanop duizenden plaatsen tegelijk. Dat gebeurt opnieuw met een spoofed bron IP-adres dat het doelwit is. Doe dat met honderden van zulke DNS servers en je krijgt miljoenen keren die grote zone file als antwoord, met een overbezette snelweg als gevolg.

 

###

 

Deze blogpost maakt deel uit van een reeks blogposts over DDos en hoe je ertegen te beschermen. Lees ook onze andere blogposts:

 

  1. Waarom een DDos-aanval geen hacking is…
  2. Het economisch model achter een DDoS-aanval
  3. De belangrijkste kenmerken van een DDoS-aanval
  4. De geschiedenis van DDoS-aanvallen
  5. Soorten DDoS-aanvallen: de server-aanval
  6. Soorten DDoS-aanvallen: de applicatie-aanval
  7. Soorten DDoS-aanvallen: de SSL-aanval
  8. Wat zijn botnets en hoe werken ze?
  9. Hoe bescherm je jezelf tegen DDoS-aanvallen?
  10. Hoe kies je de geschikte DDoS-beveiling?
  11. Checklist: Word jij slachtoffer van een DDoS-aanval?

 

Al deze blogposts zijn verzameld in een eBook dat gratis te downloaden is. Bovendien vind je ook een checklist zodat je kan nagaan hoe groot de kans is dat je slachtoffer wordt van een DDoS-aanval en hoe het met je bescherming gesteld is. Download hier het ebook.
 

Gerelateerde berichten
Nucleus - Laravel

Wat is de beste manier om Laravel te hosten?

Wat is de beste manier om Laravel te hosten? Door Laravel, Forge en gebruiksvriendelijke deployments te combineren met managed hosting. Lees hier waarom!

Lees meer

Spectre en Meltdown

Spectre en Meltdown: wat was de échte impact ?

Spectre en Meltdown – en meer bepaald het patchen van de lekken – hebben zowat elke system administrator bezig gehouden de afgelopen dagen. Nu […]

Lees meer

Spectre en Meltdown

Important information regarding Meltdown & Spectre CPU vulnerabilities

By exception, this blogpost will be in English to inform all our clients. News has come out about highly critical vulnerabilities in all Intel […]

Lees meer