DDoS dIstrIbutEd dEnIal of sErvIcE-aanval rEËEl gEvaar voor IEdErE organIsatIE
Een whitepaper van proserve®
Maart 2015
DDoS, reëel gevaar voor iedere organisatie
Een whitepaper van proserve®
2
3
Inhoud
1. Inleiding 3
1. Inleiding
De afgelopen jaren zijn Distributed Denial of Service-aanvallen (DDoS) regelmatig in het nieuws geweest. Zowel grote, wereldwijd actieve multinationals als nationale onderwijsinstellingen en lokale bedrijven waren het slachtoffer van een stortvloed aan dataverkeer op hun server(s).
2. Wat is een Distributed Denial of Service?
4
6
3. Hoe bescherm je je tegen een DDoS?
4. Anti-DDoS-dienstverlening van proserve
5. Voordelen van anti-DDoS-service van proserve
7
8
Het type aanvallen en de gebruikte methoden
Nu pc-gebruikers zich beter bewust zijn van
zijn in de loop van de jaren regelmatig veranderd.
veiligheid zoeken aanvallers naar andere middelen,
Ook de motieven veranderden mee. DDoS is
zoals servers in datacenters en consumentenrouters.
steeds meer een middel van cybercriminelen of
Servers in datacenters zijn aantrekkelijk omdat
cyberactiegroepen geworden om financiële of
ze vaak gigabitsnelheden ondersteunen. Routers
politiek-morele druk op bedrijven en organisaties uit
zijn een ideaal middel omdat ze nagenoeg in
te oefenen. Veel organisaties zijn of worden onder
iedere woning of kantoor wel te vinden zijn en er
druk gezet om losgeld te betalen of belemmerd in
nauwelijks naar omgekeken wordt. De meeste zijn
hun werk. Daarnaast is er de ontevreden student of
typische consumentenproducten die slechts licht
boze werknemer die met relatief simpele middelen
beveiligd zijn.
een organisatie lam kan leggen.
Blackholing
Verschuiving
Lange tijd was blackholing het enige antwoord
Aanvankelijk speelden DDoS-aanvallen zich af
op een DDoS-aanval. Hierbij leidt een bedrijf of
op de netwerklagen 3 en 4. Omdat deze relatief
serviceprovider bij een aanval alle verkeer om naar
eenvoudig met netwerkfirewalls te beschermen
een zwart gat, zodat het de servers niet bereikt en
zijn, zochten aanvallers nieuwe doelen, waaronder
kan beschadigen. Nadeel van deze methodiek is dat
SSL en de applicatielaag. Daar hebben traditionele
alle verkeer – dus ook het legale – in de omleiding
firewalls – die geen inzicht hebben in verkeer –
wordt meegenomen. Er zijn nu nieuwe technologieën
geen vat op. Daarnaast is er ook een verschuiving
beschikbaar die deze ongewenste situatie oplossen.
in de middelen die aanvallers gebruiken. Lange tijd
Hierbij wordt IP-verkeer bij een aanval ‘gewassen’
waren dat zogenaamde zombie-pc’s, die ongemerkt
en gescheiden. Proserve heeft zijn netwerk geschikt
geïnfecteerd werden met malware en op afstand
gemaakt voor deze voorziening. In deze whitepaper
inzetbaar waren voor aanvallen.
beschrijven we deze voorziening en gaan we dieper in op verschillende aspecten van DDoS.
Over proserve proserve is onderdeel van de IT-Ernity groep. Met circa honderd werknemers bedient het bedrijf meer dan 50.000 klanten, beheert het 150.000 domeinnamen en ruim 6.000 servers. Vanuit haar vestigingen in Amsterdam, Zwolle, Son en Papendrecht levert zij – samen met diverse gerenommeerde partners – internetservices in de breedste zin van het woord. Kwaliteit en veiligheid zijn belangrijke pijlers in de dienstverlening, hetgeen zich laat onderschrijven door de ISO 9001 en 27001 certificering. Het DNA van de organisatie laat zich het beste vertalen in no-nonsense, ‘business aware’, innovatief, pro-actief, professioneel en mensgericht. Bekende klantnamen zijn KPMG, Vakantieveilingen.nl, Bol.com, Wegener en Funda.
Maart 2015
DDoS, reëel gevaar voor iedere organisatie
Een whitepaper van proserve® Application 54%5
4
VOIP
DDoS types
SMTP
- Volumetrisch - Protocol attacks - Application layer attacks
2. Wat is een Distributed Denial of Service?
9% HTTPS
13% HTTP
DDoS types
21% DNS
- Volumetrisch
Een DDoS-aanval is in feite niets meer dan een poging om het netwerk, de (web)server en de
11%
- Protocol attacks
applicaties van een organisatie uit te schakelen door ze te overbelasten. Een DDoS-aanval
- Application layer attacks
is mogelijk vanaf enkele hosts of in het geval van een botnet vanaf tientallen, duizenden of
2%
Bescherm je server!
honderdduizenden machines. op dit moment zijn dat nog vooral geïnfecteerde pc’s. omdat gebruikers de laatste jaren voorzichtiger
Application 54%
zijn met het openen van verdachte e-mails of websites, verleggen cybercriminelen hun aandacht naar
VOIP
andere middelen. Zo zijn servers in datacenters interessant omdat ze snel zijn en veel bandbreedte
DDoS types
bieden. dat vergroot de potentiële aanvalskracht. daarnaast blijken ook consumentenrouters een steeds
SMTP
interessanter doelwit. de meeste van deze devices zijn maar heel beperkt beveiligd. Ze werken vaak met
9%
protocollen waar in geen jaren naar gekeken is en waar vervolgens heel onverwacht gaten in worden ontdekt. technologieleverancier prolexic constateerde in 2013 een groei van maar liefst 718 procent in de
- Volumetrisch - Protocol attacks - Application layer attacks
TCP - SCN Flood
2%
25%
HTTPS
iPv6
13%
gemiddelde bandbreedte van een aanval naar gemiddeld 48,25 gbps. de onderzoekers van gartner
2%
HTTP
stelden vast dat 25 procent van de ddos-aanvallen in 2013 plaatsvond op de applicatielaag. Het vakblad
21%
It World noemde in een publicatie china, de verenigde staten, duitsland en Iran als belangrijkste bronlanden voor aanvallen.
ICMP
6%
DNS UDP
11%
Aanvalsvectoren ddos-aanvallen bestaan er in verschillende soorten en er zijn allerlei manieren waarop een aanval
Network 46%
Bescherm je server!
TCP Other
kan plaatsvinden – de zogenoemde aanvalsvectoren. deze vectoren zijn over het algemeen onder te
6%
verdelen in drie brede categorieën: De volumetrische aanvallen. deze proberen alle bandbreedte binnen het netwerk of de
7%
Risico’s
Een webwinkel bijvoorbeeld kan zich geen
binnen deze verschillende categorieën zijn de
downtime veroorloven. dat tast direct de omzet en
daadwerkelijke aanvalsvectoren steeds weer
winst aan. Hetzelfde geldt voor het toenemende
anders. Zij worden binnen de hackersgemeenschap
aantal bedrijven dat gebruik maakt van diensten
ontwikkeld en zijn soms al voor tien dollar aan te
als software-as-a-service. bij een aanval op een
schaffen. daadwerkelijke ddos-aanvallen zijn te
serviceprovider lopen deze diensten het risico uit
TCP State-Exhaustion-aanvallen. deze aanvallen proberen de connection state-tabellen in
koop op het internet voor enkele dollars per uur
te vallen. dat zal het hele bedrijfsproces bij een
bijvoorbeeld load-balancers, firewalls en de applicatieservers zelf te overvoeren. Zelfs zeer
tot een paar tientjes voor een hele dag. dat geeft
gebruiker stilleggen.
zware devices die miljoenen connecties kunnen ondersteunen, zijn met dit type aanvallen uit
meteen de ernst van de situatie aan. Het is relatief
de lucht te halen.
eenvoudig een ddos-aanval uit te voeren.
service of tussen het netwerk en de dienst en de rest van het internet te vullen met data. dat leidt uiteraard tot verstopping en uiteindelijk tot volledige onbereikbaarheid. organisaties hebben in het verleden geprobeerd deze aanvallen op te vangen door te investeren in meer bandbreedte. omdat de aanvallen probleemloos mee konden groeien met die grotere bandbreedte, is meer capaciteit geen optie meer.
Aanvallen op de applicatielaag. deze richten zich op een bepaald aspect van een applicatie of dienst op laag 7 van het osI-model. dit zijn de gevaarlijkste aanvallen, omdat ze zeer
In de afgelopen jaren is geen enkele sector gevrijwaard gebleven van aanvallen, variërend
voor iedere organisatie die afhankelijk is van een
van de financiële sector en de overheid tot aan
website of webdienst zijn de risico’s groot.
gamingbedrijven en horeca.
effectief zijn en slechts een aanvalsmachine nodig hebben die maar heel langzaam verkeer genereert. deze aanvalsmethodieken zijn de laatste jaren populair geworden, mede omdat ze moeilijk proactief te detecteren en af te slaan zijn. Maart 2015
DDoS, reëel gevaar voor iedere organisatie
Een whitepaper van proserve®
6
7
3. Hoe bescherm je je tegen een DDoS?
4. Anti-DDoS-dienstverlening
In de netwerksector wordt dagelijks gewerkt aan oplossingen waarmee de negatieve gevolgen
Naast het opstellen van risicoplannen zijn er
van een DDoS-aanval zoveel mogelijk te beperken zijn. Tot nu toe werd alle dataverkeer bij
verschillende technische mogelijkheden om
een aanval omgeleid naar een zogenaamde black hole. Dat was weliswaar afdoende om een
de negatieve gevolgen van een DDoS-aanval
totale uitval van systemen te voorkomen, maar leidt ertoe dat ook het reguliere verkeer wordt
zoveel mogelijk op te vangen. Het gaat om zeer
omgeleid.
gespecialiseerde apparatuur die in de sector
DDoS + NaWas Traffic Analyzer
Klant
10MBps
bekend staat als Intelligent DDoS Mitigation daarom zijn er nieuwe technologieën ontwikkeld die onderscheid kunnen maken tussen legaal
Systems (IDMS). Deze systemen zijn aan de
en illegaal verkeer. die komen in het volgende hoofdstuk aan de orde. Zij zijn onderdeel van een
randen van het netwerk, in de cloud of in een
algemene aanpak die bedrijven kunnen hanteren om de risico’s en impact van een ddos-aanval te
hybride opstelling te installeren en reageren
minimaliseren.
direct bij een aanval. De markt voor deze
Die aanpak bestaat uit de volgende stappen. 1.
stel een risicoplan op, inclusief alle procedures en stappen die nodig zijn als een ddos-aanval wordt ontdekt. Er zijn tal van praktijkvoorbeelden waarbij een organisatie veel tijd nodig had om een team samen te stellen dat daadwerkelijk in actie kon komen. In het risicoplan staan alle namen en actuele contactgegevens van alle betrokkenen (interne medewerkers en externe leveranciers) bij een calamiteit vermeld.
2.
3.
NaWas
apparatuur groeit volgens IDC met zo’n achttien procent per jaar en is in 2017 goed voor een omzet van 870 miljoen dollar. In nederland zijn deze systemen geïnstalleerd bij stichting nationale beheersorganisatie Internet providers (nbIp). deze organisatie behartigt de
Valide verkeer
beheerbelangen van een groot aantal nederlandse
7MBps
klanten kunnen overwegen een whitelist aan te leggen, zodat het verkeer van deze partijen
op initiatief van de nbIp is de nationale anti-ddos
de analyzers zijn na verloop van tijd in staat om
door te laten is bij een aanval.
Wasstraat (naWas) in het leven geroepen. deze
volledig geautomatiseerd verdacht verkeer dat bij
voorziening – die het nbIp beheert – maakt het
proserve binnenkomst, door te routeren naar de
mogelijk om het dataverkeer van een aangesloten
nationale Wasstraat. deze reinigt het verkeer en
nbIp-lid bij een ddos-aanval naar de wasstraat te
stuurt het schone verkeer naar proserve terug.
Wees alert op rookgordijnen. aanvallers maken soms gebruik van afleidingsmanoeuvres
bijvoorbeeld systemen platleggen.
leiden waar het wordt gescheiden in gewenst en ongewenst verkeer. proserve is lid van de nbIp en
Overleg regelmatig met toeleveranciers over risico’s, regelgeving en technologische
heeft zijn netwerk geschikt gemaakt om gebruik te
ontwikkelingen, zodat het mogelijk is om best practices te hanteren bij het tegengaan van
maken van de nationale Wasstraat.
ddos-aanvallen.
6.
3GBps
Internet service providers en hostingbedrijven.
op een bepaald aanvalsdoel richten, kunnen aanvallers elders in het netwerk actief zijn en
5.
Proserve
creëer een whitelist. organisaties die te maken hebben met regelmatig terugkerende of vaste
om een security-afdeling in een verkeerde richting te sturen. terwijl de specialisten zich
4.
DDoS Attack
Belang Een enquête die de nbIp uitvoerde onder Internet service providers onderstreept het belang van goede anti-ddos-voorzieningen. Zo hadden dertig
Netwerk
organisaties gemiddeld bijna negen keer per jaar
Zorg intern voor optimale beveiliging zodat de eigen It-middelen niet geïnfecteerd kunnen
om gebruik te kunnen maken van de nationale
te maken met een ddos-aanval. In 75 procent van
worden en misbruikt worden voor een aanval.
Wasstraat heeft proserve zijn eigen core netwerk
de aanvallen werd de hele infrastructuur geraakt
voorzien van analyzers. deze gespecialiseerde
of negatief beïnvloed. Een gemiddelde aanval
devices inspecteren en analyseren alle verkeer
was tussen de 100 mbit/sec. en 25 gbit/sec. groot
dat bij proserve binnenkomt. de analyzers zijn
en in bijna veertig procent van de gevallen was
zelflerende devices die net als antivirusoplossingen
de Isp niet in staat om een aanval zelfstandig te
werken met signatures. Zij zijn bijvoorbeeld in staat
pareren. vandaar ook dat een ruime meerderheid
om verkeer met weinig data te herkennen. dat kan
van de Isp’s zich zeer geïnteresseerd toonde in een
wijzen op een ddos-aanval.
gezamenlijke voorziening tegen ddos-aanvallen.
Zorg intern voor bewustwording over de risico’s van een aanval. Het tegengaan van aanvallen en het voorkomen van een negatieve impact zijn niet alleen de verantwoordelijkheid van de Internet service provider of de hostingleverancier. organisaties hebben ook hun eigen verantwoordelijkheid om voorzorgsmaatregelen te treffen en een doelgericht plan te ontwikkelen dat direct in werking treedt bij een aanval.
Maart 2015
5. Voordelen van anti-DDoS-service van proserve De anti-DDoS-service van proserve biedt klanten verschillende voordelen: Het volledige core-netwerk van proserve wordt 24x7 gemonitord op verdacht verkeer. Bij het vermoeden van een aanval is meteen actie te ondernemen. De beschikbaarheid van de servers en websites stijgt en de risico’s die horen bij het exploiteren van websites of het gebruiken van diensten als Software-as-a-Service nemen af. De dienstverlening aan klanten, partners en leveranciers blijft ook bij een aanval beschikbaar. Klanten zijn een minder aantrekkelijk doelwit voor aanvallers.
proserve® Nieuwland Parc 155 3351 LJ Papendrecht
Postbus 363
T +31 88 25 25 252
The Netherlands
2950 AJ Alblasserdam
E
[email protected]