DDoS. distributed denial of service-aanval reëel gevaar voor IEdErE organisatie. Een whitepaper van proserve

DDoS dIstrIbutEd dEnIal of sErvIcE-aanval rEËEl gEvaar voor IEdErE organIsatIE

Een whitepaper van proserve®

Maart 2015

DDoS, reëel gevaar voor iedere organisatie

Een whitepaper van proserve®

2

3

Inhoud

1. Inleiding 3

1. Inleiding

De afgelopen jaren zijn Distributed Denial of Service-aanvallen (DDoS) regelmatig in het nieuws geweest. Zowel grote, wereldwijd actieve multinationals als nationale onderwijsinstellingen en lokale bedrijven waren het slachtoffer van een stortvloed aan dataverkeer op hun server(s).

2. Wat is een Distributed Denial of Service?

4

6

3. Hoe bescherm je je tegen een DDoS?

4. Anti-DDoS-dienstverlening van proserve

5. Voordelen van anti-DDoS-service van proserve

7

8

Het type aanvallen en de gebruikte methoden

Nu pc-gebruikers zich beter bewust zijn van

zijn in de loop van de jaren regelmatig veranderd.

veiligheid zoeken aanvallers naar andere middelen,

Ook de motieven veranderden mee. DDoS is

zoals servers in datacenters en consumentenrouters.

steeds meer een middel van cybercriminelen of

Servers in datacenters zijn aantrekkelijk omdat

cyberactiegroepen geworden om financiële of

ze vaak gigabitsnelheden ondersteunen. Routers

politiek-morele druk op bedrijven en organisaties uit

zijn een ideaal middel omdat ze nagenoeg in

te oefenen. Veel organisaties zijn of worden onder

iedere woning of kantoor wel te vinden zijn en er

druk gezet om losgeld te betalen of belemmerd in

nauwelijks naar omgekeken wordt. De meeste zijn

hun werk. Daarnaast is er de ontevreden student of

typische consumentenproducten die slechts licht

boze werknemer die met relatief simpele middelen

beveiligd zijn.

een organisatie lam kan leggen.

Blackholing

Verschuiving

Lange tijd was blackholing het enige antwoord

Aanvankelijk speelden DDoS-aanvallen zich af

op een DDoS-aanval. Hierbij leidt een bedrijf of

op de netwerklagen 3 en 4. Omdat deze relatief

serviceprovider bij een aanval alle verkeer om naar

eenvoudig met netwerkfirewalls te beschermen

een zwart gat, zodat het de servers niet bereikt en

zijn, zochten aanvallers nieuwe doelen, waaronder

kan beschadigen. Nadeel van deze methodiek is dat

SSL en de applicatielaag. Daar hebben traditionele

alle verkeer – dus ook het legale – in de omleiding

firewalls – die geen inzicht hebben in verkeer –

wordt meegenomen. Er zijn nu nieuwe technologieën

geen vat op. Daarnaast is er ook een verschuiving

beschikbaar die deze ongewenste situatie oplossen.

in de middelen die aanvallers gebruiken. Lange tijd

Hierbij wordt IP-verkeer bij een aanval ‘gewassen’

waren dat zogenaamde zombie-pc’s, die ongemerkt

en gescheiden. Proserve heeft zijn netwerk geschikt

geïnfecteerd werden met malware en op afstand

gemaakt voor deze voorziening. In deze whitepaper

inzetbaar waren voor aanvallen.

beschrijven we deze voorziening en gaan we dieper in op verschillende aspecten van DDoS.

Over proserve proserve is onderdeel van de IT-Ernity groep. Met circa honderd werknemers bedient het bedrijf meer dan 50.000 klanten, beheert het 150.000 domeinnamen en ruim 6.000 servers. Vanuit haar vestigingen in Amsterdam, Zwolle, Son en Papendrecht levert zij – samen met diverse gerenommeerde partners – internetservices in de breedste zin van het woord. Kwaliteit en veiligheid zijn belangrijke pijlers in de dienstverlening, hetgeen zich laat onderschrijven door de ISO 9001 en 27001 certificering. Het DNA van de organisatie laat zich het beste vertalen in no-nonsense, ‘business aware’, innovatief, pro-actief, professioneel en mensgericht. Bekende klantnamen zijn KPMG, Vakantieveilingen.nl, Bol.com, Wegener en Funda.

Maart 2015

DDoS, reëel gevaar voor iedere organisatie

Een whitepaper van proserve® Application 54%5

4

VOIP

DDoS types

SMTP

- Volumetrisch - Protocol attacks - Application layer attacks

2. Wat is een Distributed Denial of Service?

9% HTTPS

13% HTTP

DDoS types

21% DNS

- Volumetrisch

Een DDoS-aanval is in feite niets meer dan een poging om het netwerk, de (web)server en de

11%

- Protocol attacks

applicaties van een organisatie uit te schakelen door ze te overbelasten. Een DDoS-aanval

- Application layer attacks

is mogelijk vanaf enkele hosts of in het geval van een botnet vanaf tientallen, duizenden of

2%

Bescherm je server!

honderdduizenden machines. op dit moment zijn dat nog vooral geïnfecteerde pc’s. omdat gebruikers de laatste jaren voorzichtiger

Application 54%

zijn met het openen van verdachte e-mails of websites, verleggen cybercriminelen hun aandacht naar

VOIP

andere middelen. Zo zijn servers in datacenters interessant omdat ze snel zijn en veel bandbreedte

DDoS types

bieden. dat vergroot de potentiële aanvalskracht. daarnaast blijken ook consumentenrouters een steeds

SMTP

interessanter doelwit. de meeste van deze devices zijn maar heel beperkt beveiligd. Ze werken vaak met

9%

protocollen waar in geen jaren naar gekeken is en waar vervolgens heel onverwacht gaten in worden ontdekt. technologieleverancier prolexic constateerde in 2013 een groei van maar liefst 718 procent in de

- Volumetrisch - Protocol attacks - Application layer attacks

TCP - SCN Flood

2%

25%

HTTPS

iPv6

13%

gemiddelde bandbreedte van een aanval naar gemiddeld 48,25 gbps. de onderzoekers van gartner

2%

HTTP

stelden vast dat 25 procent van de ddos-aanvallen in 2013 plaatsvond op de applicatielaag. Het vakblad

21%

It World noemde in een publicatie china, de verenigde staten, duitsland en Iran als belangrijkste bronlanden voor aanvallen.

ICMP

6%

DNS UDP

11%

Aanvalsvectoren ddos-aanvallen bestaan er in verschillende soorten en er zijn allerlei manieren waarop een aanval

Network 46%

Bescherm je server!

TCP Other

kan plaatsvinden – de zogenoemde aanvalsvectoren. deze vectoren zijn over het algemeen onder te

6%

verdelen in drie brede categorieën: De volumetrische aanvallen. deze proberen alle bandbreedte binnen het netwerk of de

7%

Risico’s

Een webwinkel bijvoorbeeld kan zich geen

binnen deze verschillende categorieën zijn de

downtime veroorloven. dat tast direct de omzet en

daadwerkelijke aanvalsvectoren steeds weer

winst aan. Hetzelfde geldt voor het toenemende

anders. Zij worden binnen de hackersgemeenschap

aantal bedrijven dat gebruik maakt van diensten

ontwikkeld en zijn soms al voor tien dollar aan te

als software-as-a-service. bij een aanval op een

schaffen. daadwerkelijke ddos-aanvallen zijn te

serviceprovider lopen deze diensten het risico uit

TCP State-Exhaustion-aanvallen. deze aanvallen proberen de connection state-tabellen in

koop op het internet voor enkele dollars per uur

te vallen. dat zal het hele bedrijfsproces bij een

bijvoorbeeld load-balancers, firewalls en de applicatieservers zelf te overvoeren. Zelfs zeer

tot een paar tientjes voor een hele dag. dat geeft

gebruiker stilleggen.

zware devices die miljoenen connecties kunnen ondersteunen, zijn met dit type aanvallen uit

meteen de ernst van de situatie aan. Het is relatief

de lucht te halen.

eenvoudig een ddos-aanval uit te voeren.

service of tussen het netwerk en de dienst en de rest van het internet te vullen met data. dat leidt uiteraard tot verstopping en uiteindelijk tot volledige onbereikbaarheid. organisaties hebben in het verleden geprobeerd deze aanvallen op te vangen door te investeren in meer bandbreedte. omdat de aanvallen probleemloos mee konden groeien met die grotere bandbreedte, is meer capaciteit geen optie meer.

Aanvallen op de applicatielaag. deze richten zich op een bepaald aspect van een applicatie of dienst op laag 7 van het osI-model. dit zijn de gevaarlijkste aanvallen, omdat ze zeer

In de afgelopen jaren is geen enkele sector gevrijwaard gebleven van aanvallen, variërend

voor iedere organisatie die afhankelijk is van een

van de financiële sector en de overheid tot aan

website of webdienst zijn de risico’s groot.

gamingbedrijven en horeca.

effectief zijn en slechts een aanvalsmachine nodig hebben die maar heel langzaam verkeer genereert. deze aanvalsmethodieken zijn de laatste jaren populair geworden, mede omdat ze moeilijk proactief te detecteren en af te slaan zijn. Maart 2015

DDoS, reëel gevaar voor iedere organisatie

Een whitepaper van proserve®

6

7

3. Hoe bescherm je je tegen een DDoS?

4. Anti-DDoS-dienstverlening

In de netwerksector wordt dagelijks gewerkt aan oplossingen waarmee de negatieve gevolgen

Naast het opstellen van risicoplannen zijn er

van een DDoS-aanval zoveel mogelijk te beperken zijn. Tot nu toe werd alle dataverkeer bij

verschillende technische mogelijkheden om

een aanval omgeleid naar een zogenaamde black hole. Dat was weliswaar afdoende om een

de negatieve gevolgen van een DDoS-aanval

totale uitval van systemen te voorkomen, maar leidt ertoe dat ook het reguliere verkeer wordt

zoveel mogelijk op te vangen. Het gaat om zeer

omgeleid.

gespecialiseerde apparatuur die in de sector

DDoS + NaWas Traffic Analyzer

Klant

10MBps

bekend staat als Intelligent DDoS Mitigation daarom zijn er nieuwe technologieën ontwikkeld die onderscheid kunnen maken tussen legaal

Systems (IDMS). Deze systemen zijn aan de

en illegaal verkeer. die komen in het volgende hoofdstuk aan de orde. Zij zijn onderdeel van een

randen van het netwerk, in de cloud of in een

algemene aanpak die bedrijven kunnen hanteren om de risico’s en impact van een ddos-aanval te

hybride opstelling te installeren en reageren

minimaliseren.

direct bij een aanval. De markt voor deze

Die aanpak bestaat uit de volgende stappen. 1.

stel een risicoplan op, inclusief alle procedures en stappen die nodig zijn als een ddos-aanval wordt ontdekt. Er zijn tal van praktijkvoorbeelden waarbij een organisatie veel tijd nodig had om een team samen te stellen dat daadwerkelijk in actie kon komen. In het risicoplan staan alle namen en actuele contactgegevens van alle betrokkenen (interne medewerkers en externe leveranciers) bij een calamiteit vermeld.

2.

3.

NaWas

apparatuur groeit volgens IDC met zo’n achttien procent per jaar en is in 2017 goed voor een omzet van 870 miljoen dollar. In nederland zijn deze systemen geïnstalleerd bij stichting nationale beheersorganisatie Internet providers (nbIp). deze organisatie behartigt de

Valide verkeer

beheerbelangen van een groot aantal nederlandse

7MBps

klanten kunnen overwegen een whitelist aan te leggen, zodat het verkeer van deze partijen

op initiatief van de nbIp is de nationale anti-ddos

de analyzers zijn na verloop van tijd in staat om

door te laten is bij een aanval.

Wasstraat (naWas) in het leven geroepen. deze

volledig geautomatiseerd verdacht verkeer dat bij

voorziening – die het nbIp beheert – maakt het

proserve binnenkomst, door te routeren naar de

mogelijk om het dataverkeer van een aangesloten

nationale Wasstraat. deze reinigt het verkeer en

nbIp-lid bij een ddos-aanval naar de wasstraat te

stuurt het schone verkeer naar proserve terug.

Wees alert op rookgordijnen. aanvallers maken soms gebruik van afleidingsmanoeuvres

bijvoorbeeld systemen platleggen.

leiden waar het wordt gescheiden in gewenst en ongewenst verkeer. proserve is lid van de nbIp en

Overleg regelmatig met toeleveranciers over risico’s, regelgeving en technologische

heeft zijn netwerk geschikt gemaakt om gebruik te

ontwikkelingen, zodat het mogelijk is om best practices te hanteren bij het tegengaan van

maken van de nationale Wasstraat.

ddos-aanvallen.

6.

3GBps

Internet service providers en hostingbedrijven.

op een bepaald aanvalsdoel richten, kunnen aanvallers elders in het netwerk actief zijn en

5.

Proserve

creëer een whitelist. organisaties die te maken hebben met regelmatig terugkerende of vaste

om een security-afdeling in een verkeerde richting te sturen. terwijl de specialisten zich

4.

DDoS Attack

Belang Een enquête die de nbIp uitvoerde onder Internet service providers onderstreept het belang van goede anti-ddos-voorzieningen. Zo hadden dertig

Netwerk

organisaties gemiddeld bijna negen keer per jaar

Zorg intern voor optimale beveiliging zodat de eigen It-middelen niet geïnfecteerd kunnen

om gebruik te kunnen maken van de nationale

te maken met een ddos-aanval. In 75 procent van

worden en misbruikt worden voor een aanval.

Wasstraat heeft proserve zijn eigen core netwerk

de aanvallen werd de hele infrastructuur geraakt

voorzien van analyzers. deze gespecialiseerde

of negatief beïnvloed. Een gemiddelde aanval

devices inspecteren en analyseren alle verkeer

was tussen de 100 mbit/sec. en 25 gbit/sec. groot

dat bij proserve binnenkomt. de analyzers zijn

en in bijna veertig procent van de gevallen was

zelflerende devices die net als antivirusoplossingen

de Isp niet in staat om een aanval zelfstandig te

werken met signatures. Zij zijn bijvoorbeeld in staat

pareren. vandaar ook dat een ruime meerderheid

om verkeer met weinig data te herkennen. dat kan

van de Isp’s zich zeer geïnteresseerd toonde in een

wijzen op een ddos-aanval.

gezamenlijke voorziening tegen ddos-aanvallen.

Zorg intern voor bewustwording over de risico’s van een aanval. Het tegengaan van aanvallen en het voorkomen van een negatieve impact zijn niet alleen de verantwoordelijkheid van de Internet service provider of de hostingleverancier. organisaties hebben ook hun eigen verantwoordelijkheid om voorzorgsmaatregelen te treffen en een doelgericht plan te ontwikkelen dat direct in werking treedt bij een aanval.

Maart 2015

5. Voordelen van anti-DDoS-service van proserve De anti-DDoS-service van proserve biedt klanten verschillende voordelen: Het volledige core-netwerk van proserve wordt 24x7 gemonitord op verdacht verkeer. Bij het vermoeden van een aanval is meteen actie te ondernemen. De beschikbaarheid van de servers en websites stijgt en de risico’s die horen bij het exploiteren van websites of het gebruiken van diensten als Software-as-a-Service nemen af. De dienstverlening aan klanten, partners en leveranciers blijft ook bij een aanval beschikbaar. Klanten zijn een minder aantrekkelijk doelwit voor aanvallers.

proserve® Nieuwland Parc 155 3351 LJ Papendrecht

Postbus 363

T +31 88 25 25 252

The Netherlands

2950 AJ Alblasserdam

E [email protected]