DDoS: nucleus ddos ebook

Er bestaat niet zoiets als dé DDoS-aanval. Aanvallen zijn er in allerlei soorten en maten. In deze blogpost bespreken we de aanvallen op het netwerk. In latere blogposts volgt nog wat meer uitleg over aanvallen op servers, applicaties en SSL-protocollen.

Aanvallen gericht op het netwerk

Deze aanvallen zijn het oervoorbeeld van DDoS-aanvallen zoals de meeste ICT’ers die kennen. Ze creëren een stortvloed aan netwerkverkeer met als enige doel alle network resources op te souperen. Vergelijk het met een autosnelweg met drie rijstroken die 1.000 auto’s per uur aan kan en waar dan opeens 4.000 auto’s per uur opgestuurd worden. Het gevolg: niemand raakt nog op zijn bestemming. Dit is de rode draad in dit soort van aanvallen, waarvan we  hieronder de voornaamste voorbeelden beschrijven.

UDP floods

UDP of User Datagram Protocol is een connectieloos protocol. Dat wil zeggen dat er geen systeem is waarbij er eerst een connectie moet opgezet worden met een handshake.

 

Een UDP flood misbruikt geen fout, bug of kwetsbaarheid. Het is gewoon kwestie om een hele hoop verkeer te sturen, meestal van een gespoofed IP adres zodat de oorsprong niet te achterhalen is, naar willekeurige poorten van een server.

 

Die server is meestal niet in staat de toevloed van verkeer af te handelen en verspilt op zijn beurt ook heel wat bandbreedte door het Internet Control Message Protocol (ICMP) “destination unreachable” terug te zenden als antwoord.

ICMP floods

ICMP of Internet Control Message Protocol is ook een connectieloos protocol. Het wordt voornamelijk gebruikt voor IP operations, diagnose en foutmeldingen. Het gekende ping-commando is een voorbeeld van ICMP.

 

Ook bij een ICMP flood wordt geen gebruikt gemaakt van een kwetsbaarheid. Er wordt eveneens (te) veel netwerkverkeer te veroorzaakt om zo de server en het netwerk te overbelasten.

IGMP floods

IGMP staat voor Internet Group Management Protocol en ook dit is een connectieloos protocol. IGMP wordt gebruikt door computers en routers om multicast memberships naar naburige routers te sturen.

IGMP gebruikt dus ook geen kwetsbaarheid maar kan gebruikt worden om vooral routers enorm veel extra werk te geven en zo hun werking te verstoren.

Amplification attacks

Zoals het woord het al aangeeft, is het typisch kenmerk van een amplification attack dat je een systeem gebruikt om een resultaat te bekomen dat x keer groter is qua verkeer dan wat je nodig hebt. Daarom zijn dit soort aanvallen geliefd als DDoS-aanval. Je hebt niet veel middelen nodig om toch een groot sneeuwbaleffect te creëren.

 

Een voorbeeld: als je naar het broadcast IP van een router een aanvraag stuurt met een gespoofed bron IP-adres, zal deze router deze aanvraag verdelen naar alle IP’s in zijn subnet, die op hun buurt dan een antwoord terug sturen naar dat spoofed bron IP adres. En laat dat adres nu net het doelwit van je aanval zijn. Zo zie je meteen hoe je een distributed attack opzet met amplification.

 

Gekende amplification technieken zijn smurf attacks (ICMP amplification) en fraggle attacks (UDP amplification). De meest gebruikte techniek is DNS amplification. Daarbij wordt gebruikt gemaakt van niet dichtgespijkerde recursive DNS servers. Men bezorgt die een grote zone file in de cache en laat deze zonefile dan opvragen vanop duizenden plaatsen tegelijk. Dat gebeurt opnieuw met een spoofed bron IP-adres dat het doelwit is. Doe dat met honderden van zulke DNS servers en je krijgt miljoenen keren die grote zone file als antwoord, met een overbezette snelweg als gevolg.

 

###

 

Deze blogpost maakt deel uit van een reeks blogposts over DDos en hoe je ertegen te beschermen. Lees ook onze andere blogposts:

 

  1. Waarom een DDos-aanval geen hacking is…
  2. Het economisch model achter een DDoS-aanval
  3. De belangrijkste kenmerken van een DDoS-aanval
  4. De geschiedenis van DDoS-aanvallen
  5. Soorten DDoS-aanvallen: de server-aanval
  6. Soorten DDoS-aanvallen: de applicatie-aanval
  7. Soorten DDoS-aanvallen: de SSL-aanval
  8. Wat zijn botnets en hoe werken ze?
  9. Hoe bescherm je jezelf tegen DDoS-aanvallen?
  10. Hoe kies je de geschikte DDoS-beveiling?
  11. Checklist: Word jij slachtoffer van een DDoS-aanval?

 

Al deze blogposts zijn verzameld in een eBook dat gratis te downloaden is. Bovendien vind je ook een checklist zodat je kan nagaan hoe groot de kans is dat je slachtoffer wordt van een DDoS-aanval en hoe het met je bescherming gesteld is. Download hier het ebook.
 

Gerelateerde berichten
Problemen oplossen in Varnish

Problemen oplossen in Varnish

In onze laatste ChalkTalk video uit de reeks bekijken we “ Problemen oplossen in Varnish ”. Hoe weet je of een pagina juist gecached wordt of niet? Wat zijn de meest voorkomende problemen na een implementatie van Varnish? En hoe los je die problemen op?

Lees meer

Netneutraliteit

Waarom onze overheid netneutraliteit moet garanderen

Een recent artikel van freelance journalist Jan Jacobs over netneutraliteit op Doorbraak.be deed ons steigeren. Zo erg zelfs dat we ons bijna afvragen op hij betaald werd door Proximus of Telenet om zo’n stuk neer te poten.

Lees meer

Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer