North Trade Building Noorderlaan 133/8 B-2030 Antwerpen
T +32 (0) 3 275 01 60 F +32 (0) 3 275 01 69 www.nucleus.be
HOE BESCHERM JE JEZELF TEGEN DDOS-AANVALLEN?
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
1
VOORWOORD DDoS-aanvallen zijn een echte pest op het internet. Je kan geen nieuwssite meer bekijken zonder dat er gewag gemaakt wordt van een aanval op deze of gene site. De media spreken dan graag over hackers en gehackte sites. Veel van die zogenaamde “hackers” verwittigen zelf de pers en gebruiken maar al te graag die naam of noemen zichzelf in een soort van majestueus meervoud een hackerscollectief. Maar een DDoS-aanval heeft niks met hacken te maken. Cyberhooliganisme of cyberpesterij zijn juistere termen om een DDoS-aanval te omschrijven. Bij zo’n aanval wordt een website, server of netwerk immers enkel onbereikbaar gemaakt. Nergens gaat het om een inbraak of het stelen of vernietigen van gegevens. In dit ebook gaan we dieper in op de redenen om een DDoS-aanval op te zetten, de soorten DDoS-aanvallen en uiteraard ook op manieren om je te beschermen tegen een DDoS-aanval.
Helemaal achteraan in dit ebook vind je een checklist waarmee je kan nagaan hoe groot de kans is dat je slachtoffer wordt van een DDoS-aanval en hoe het met je bescherming gesteld is. Wil je nog meer informatie of advies omtrent DDoS-bescherming, contacteer dan Nucleus via
[email protected]
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
2
WAAR STAAT DDOS VOOR? De DoS in DDoS staat voor Denial of Service. Het is een tactiek waarbij men ervoor zorgt dat het slachtoffer het te druk heeft om zijn normale taak te vervullen. Het slachtoffer kan bijvoorbeeld een webserver zijn die het zo druk krijgt dat hij de website niet meer kan tonen aan reguliere bezoekers. Maar het kan even goed gaan om een router of firewall die overbelast wordt om zo een volledig netwerk last te berokkenen. Vergelijk het met het bewust creëren van een file op een snelweg, waarbij de bestemming (tijdelijk) onbereikbaar is omdat de weg ernaar toe hopeloos volzet is.
DDoS-aanvallen zijn mogelijk omwille van het zwakke netwerkprotocol dat het internet gebruikt. Dat protocol is immers meer dan 50 jaar oud en werd destijds geschreven door militairen die een afgezonderd netwerk in gedachten hadden en uiteraard nog nooit van cybersecurity gehoord hadden.
BESCHERMING TEGEN DDOS? Kan je DDoS-aanvallen tegenhouden? Ja, maar de kost voor die bescherming staat spijtig genoeg niet in verhouding tot de minimale kost en inspanningen die misdadigers moeten maken om hun plannen uit te voeren. Daarom is het voor bedrijven belangrijk om de juiste keuzes te maken en goed te bepalen hoe en waar ze hun security-budget besteden.
VEROUDERD NETWERKPROTOCOL De eerste D in DDoS staat dan weer voor Distributed. Bij hedendaagse DDoS-aanvallen worden immers technieken ingezet waarbij men niet van op één punt aanvalt, maar van op vele duizenden, tienduizenden of zelfs honderdduizenden punten. Dat genereert niet alleen een veelvoud aan verkeer, maar maakt het ook moeilijker om de bron van de aanval te detecteren of die bron snel uit te sluiten.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
3
IT’S ALL ABOUT THE MONEY, OF TOCH MEESTAL
AANDACHT AFLEIDEN
Misdadigers komen pas op de proppen of gaan maar aan de slag wanneer er geld te verdienen valt. Maar waar zit de winst bij een DDoS-aanval? Want zoals gezegd, bij zo’n DDoS-aanval vindt geen inbraak of diefstal plaats. Toch zijn DDoS-aanvallen om een aantal andere redenen interessant voor misdadigers.
DDoS-aanvallen worden ook gebruikt als afleidingsmanoeuvre. Als het ergens brandt, reppen alle hulpdiensten zich naar de plek van het onheil. Idem bij een DDoS-aanval, waarbij vaak de rest van de beveiliging even uit het oog verloren wordt. Het ideale moment voor misdadigers om zich een weg naar binnen te forceren. Bij deze DDoS-aanval gaat het vaak wél om hackers. Ze richten geen rechtstreekse schade aan, maar weten wel de aandacht af te leiden en andere misdrijven te verbergen.
AFPERSING
DDOS OP BESTELLING
DDoS-aanvallen kunnen onderdeel uitmaken van een afpersingsplan. Misdadigers zorgen ervoor dat je website of netwerk (regelmatig) onbereikbaar is zolang je geen losgeld betaalt. Vergelijk het met de maffia die je tegen betaling ‘bescherming’ biedt tegen eventuele schade door onbereikbaarheid van je website of server.
Bepaalde organisaties of bedrijven hebben er voordeel bij dat andere bedrijven of organisaties (tijdelijk) onbereikbaar zijn. Misdadigers spelen daar graag op in en bieden via duistere websites hun diensten aan. Een DDoS-aanval bestellen is niet moeilijk en zelfs niet duur. Je kan met een beperkt budget en weinig middelen toch grote schade berokkenen. Dat is net het wraakroepende van zo’n aanval.
Er zijn weinig cijfers beschikbaar over de omvang van deze afperspraktijken. Bedrijven die er het slachtoffer van zijn, houden de lippen stijf op mekaar. Enerzijds uit angst voor imagoschade, anderzijds om niet nog meer misdadigers te lokken door toe te geven “we zijn kwetsbaar en bereid te betalen”.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
SCRIPTKIDDIES Alle andere aanvallen zijn het terrein van een groep die men meestal scriptkiddies noemt. Misnoegde tieners, actiegroepen, protestbewegingen, enz. die een beetje hun weg weten te vinden op het internet kunnen zonder probleem een script downloaden of een duistere organisatie enkele tientallen euro’s toesteken om een uur lang eender welke website neer te halen. NUCLEUS
Hosting Solution Builder
4
DE BELANGRIJKSTE KENMERKEN VAN EEN DDOS-AANVAL We weten nu wat een DDoS-aanval is en we weten ook al wat meer over de mogelijke drijfveren van de daders. Maar hoe verloopt zo een DDoS-aanval eigenlijk? We zetten de belangrijkste kenmerken even op een rij.
Elk bedrijf zal inmiddels – dat hopen wij alleszins – zijn servers en netwerk op zijn minst beveiligen met een stateful packet filtering firewall. Helaas helpt die niet als bescherming tegen een DDoS-aanval. Een firewall stopt immers verkeer dat er niet mag zijn. Als server A bijvoorbeeld een mailserver is, dan weet je firewall dat het alle gewoon internetverkeer naar die server mag tegenhouden, maar mailverkeer moet toelaten. Helaas ook als het over heel veel mailverkeer gaat, zoals bij een DDoSaanval.
GEEN RECHTSTREEKSE SCHADE NIETSVERMOEDENDE AANVALLERS Het grootste probleem om je te beschermen tegen een DDoS-aanval, is dat je niet altijd weet waar hij vandaan komt. Het kan zelfs via het netwerkverkeer van een reguliere bezoeker van je website, zonder dat die persoon er erg in heeft. Want mogelijk is zijn computer gekaapt door misdadigers. Die maken vaak gebruik van heel wat van dit soort gekaapte computers tegelijk, zogenaamde botnets. Botnet is de naam voor een verzameling van computers, meestal computers van thuisgebruikers of computers op een kantoor, die besmet geraakt zijn door een virus of Trojaans paard. Via die weg kan een misdadiger vanop afstand de besmette computer de opdracht geven om bepaalde handelingen uit te voeren.
Een derde eigenschap van een DDoS-aanval is dat hij, zoals eerder vermeld, geen rechtstreekse schade berokkent. Er wordt niet ingebroken en zo’n aanval maakt op zich niets stuk. Het zorgt er alleen maar voor dat iets onbereikbaar wordt en dat er zo indirecte schade veroorzaakt wordt. Als je slachtoffer wordt van een DDoS-aanval en je kan je niet verweren, kan je overwegen om even de stekker uit je netwerk te halen. Op die manier wint de aanvaller het eerste gevecht, wat soms al voldoende is om zijn eerzucht te bevredigen. Maar uiteraard zijn er andere en betere manieren om je te beschermen.
In het geval van een DDoS-aanval laat men de besmette computers ongemerkt een grote hoeveelheid netwerkverkeer naar een bepaald doelwit sturen. Als gebruiker van zo’n besmette computer merk je daar niets van. De duizenden netwerkpakketjes zijn te verwaarlozen tussen al het legitiem surfverkeer. Maar als tienduizenden computers elk duizend pakketten per seconde genereren, dan spreken we uiteraard van een andere grootteorde. Als al dat netwerkverkeer dan richting één doelwit wordt gestuurd, krijg je dus een DDoS-aanval.
GEEN ILLEGAAL VERKEER Een tweede kenmerk van een DDoS-aanval is dat het niet gaat om illegaal of verkeerd verkeer. Er wordt gebruik gemaakt van legitieme netwerkprotocollen die nodig zijn om het internet te laten werken. Dat feit, samen met het feit dat het verkeer van overal kan komen, maakt dat het zo moeilijk is om je ertegen te verdedigen.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
5
DE GESCHIEDENIS VAN DE DDOS-AANVAL: VAN SCRIPTKIDDIES TOT GEORGANISEERDE MISDAAD Vandaag kan je de krant niet openslaan of er wordt wel bericht over een DDoS-aanval tegen een of ander bedrijf of een bekende website. Het lijkt alsof de DDoS-aanval een nieuw fenomeen is dat nu erg sterk opkomt. Maar niets is minder waar: de allereerste DDoS-aanval gebeurde immers al in… 1974.
DE ALLEREERSTE: EEN 13-JARIGE SCHOLIER De eerste gekende DoS-aanval had plaats in 1974 en staat op naam van ene David Dennis, een 13-jarige scholier van een middelbare school verbonden aan de Computer-Based Education Research Laboratory (CERL) van de Universiteit van Illinois. CERL had een reeks terminals staan waarop men geautomatiseerde lessen gaf, PLATO genaamd. David ontdekte dat elke terminal een commando ext, afkorting van external, kende. Dat commando gaf de terminals de opdracht te luisteren naar de input van een extern toestel. North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
Als er geen extern toestel aan de terminal gekoppeld werd om input te geven, ging de terminal hier permanent op wachten en liep hij vast. Enkel het heropstarten van de terminal kon dan nog soelaas brengen. Als nieuwsgierige 13-jarige ging David aan het experimenteren en zocht hij uit of dit commando ook extern kon doorgegeven worden aan de terminal. Hij schreef een programma dat het ext-commando tegelijk aan alle PLATO-terminals gaf en trok ermee naar het CERL. Minuten later moesten alle 31 gebruikers vaststellen dat hun terminal gecrasht was en dat enkel een heropstart hen weer liet verder werken. De eerste DoS-aanval was geboren (belangrijk: het was nog geen DDoS-aanval). Het hoeft niet te verbazen dat David al snel betrapt werd en dat men de software van de terminals zodanig aanpaste dat ze het ext-commando niet meer van buitenaf accepteerden.
TRINOO: DE GEBOORTE VAN DDOS Vanaf 1999 zien we DDoS-aanvallen de kop opsteken. De universiteit van Minnesota was een van de eerste slachtoffers toen een hacker met zijn tool Trinoo aan de slag ging. Het netwerk van de universiteit was twee dagen onbereikbaar, vooral omdat men eerst niet doorhad wat er precies aan de hand was. De hacker had echter geen NUCLEUS
Hosting Solution Builder
6
moeite gedaan om de origine van de aanval te verbergen en zo kon men na twee dagen dan toch het DDoS-verkeer een halt toeroepen.
DE GEORGANISEERDE MISDAAD KOMT IN BEELD
STACHELDRAHT & OMEGA: DDOS WORDT
Voor 2000 waren de meeste aanvallen het werk van computernerds en scriptkiddies: mensen die op zich geen kwaad in de zin hebben, maar graag wilden pochen met hun verwezenlijkingen. Vandaag zijn scriptkiddies nog steeds verantwoordelijk voor een groot deel van de (kleinere) DDoS-aanvallen.
PROFESSIONELER Een volgende belangrijke stap in het ecosysteem van DDoS-tools was de geboorte van Stacheldraht, Duits voor prikkeldraad. Stacheldraht kan zichzelf van op afstand updaten en het verkeer spoofen (de echte origine van netwerkverkeer verbergen door een valse afzender in de IP-pakketten op te nemen). De tool Omega verdient ook een *ahum* eervolle vermelding omdat het als een van de eerste tools in staat was statistieken te verzamelen over de aanval en zo aanvallers de nodige info te geven hoe men de aanval nog beter kon richten.
DDOS WORDT NIEUWS Vanaf 2000 trokken DDoS-aanvallen de aandacht van het grote publiek. Aanvallers beschikten over steeds meer tools en computers die permanent aangesloten waren op het internet. Op die manier konden ze ook hun pijlen richten op grotere doelwitten.
De echt vervelende DDoS-aanvallen worden echter georkestreerd door de georganiseerde misdaad. Zij organiseren aanvallen om er munt uit te slaan. Daarnaast zijn er nog de maatschappelijk geïnspireerde aanvallen. Bepaalde extremistische websites raken amper nog online, omdat tegenstanders of actiegroepen ze met veel plezier bestoken met DDoS-aanvallen. Tenslotte mag je er donder op zeggen dat ook iedere grote inlichtingendienst tegenwoordig een afdeling cyberoorlog heeft om netwerken en toepassingen van de politieke tegenstanders aan te vallen indien nodig. Het kan goed zijn dat wanneer je dit leest, er alweer nieuwe tools en technieken opgedoken zijn. In het DDoSverhaal is het laatste hoofdstuk nog niet geschreven.
Verschillende bedrijven, overheidsinstanties en financiële instellingen werden het slachtoffer van deze verdere professionalisering. Maar de aandacht van het grote publiek en de media werd écht getrokken toen men in 2002 de 13 rootservers van het internet ging aanvallen. Die servers leiden het verkeer op het internet in goede banen dankzij het gebruik van IP-adressen. Die IPadressen worden door Dynamic Name Servers (DNS) dan weer omgezet in bruikbare namen. Zo wordt bijvoorbeeld www.nucleus.be vertaald naar het juiste IP-adres. De rootservers staan dus aan de top van de piramide en kunnen als eerste en enige de weg wijzen op het internet. De poging om die servers onbereikbaar te maken, was dan ook een aanval op het hele internet. De aanval duurde ongeveer een uur en kon uiteindelijk afgewend worden zonder al te veel overlast. Maar de media en het grote publiek hadden meteen wel kennis gemaakt met de (potentiële) impact van een DDoS-aanval.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
7
SOORTEN DDOS-AANVALLEN Dé DDoS-aanval bestaat niet. Je hebt ze in allerlei soorten en maten. Afhankelijk van het doelwit onderscheiden we netwerk-, server-, applicatie- en SSL-protocol aanvallen. We lichten ze even toe.
wat bandbreedte door het Internet Control Message Protocol (ICMP) “destination unreachable” terug te zenden als antwoord. ICMP floods Ook ICMP of Internet Control Message Protocol is een connectieloos protocol. Het wordt voornamelijk gebruikt voor IP-operaties, diagnose en foutmeldingen. Het gekende ping-commando is een voorbeeld van ICMP. Ook bij een ICMP flood wordt geen gebruikt gemaakt van een kwetsbaarheid. Er wordt eveneens (te) veel netwerkverkeer veroorzaakt om zo de server en het netwerk te overbelasten. IGMP floods IGMP staat voor Internet Group Management Protocol en ook dit is een connectieloos protocol. IGMP wordt gebruikt door computers en routers om multicast memberships naar naburige routers te sturen. IGMP buit dus evenmin een kwetsbaarheid uit, maar wordt gebruikt om vooral routers enorm veel extra werk te geven en zo hun werking te verstoren.
1. DE NETWERKAANVAL Aanvallen op het netwerk zijn het oervoorbeeld van DDoSaanvallen. Dit is de aanval die de meeste ICT’ers goed kennen. Ze creëren een stortvloed aan netwerkverkeer met als enige doel alle netwerkcapaciteit op te souperen. Vergelijk het met een autosnelweg met drie rijstroken die 1.000 auto’s per uur aan kan en waar opeens 4.000 auto’s per uur opgestuurd worden. Het gevolg: niemand raakt nog op zijn bestemming. We lijsten even de belangrijkste netwerkaanvallen op. UDP floods UDP of User Datagram Protocol is een connectieloos protocol. Dat wil zeggen dat er geen systeem is waarbij er eerst een connectie moet opgezet worden met een handshake. Een UDP flood misbruikt geen fout, bug of kwetsbaarheid. Het is gewoon zaak om een hele hoop verkeer te sturen, meestal van een gespoofed IP-adres zodat de oorsprong niet te achterhalen is, naar willekeurige poorten van een server. Die server is doorgaans niet in staat de toevloed van verkeer af te handelen en verspilt op zijn beurt ook heel North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
Amplification attacks Zoals het woord het al aangeeft, is het typisch kenmerk van een amplification attack dat je een systeem gebruikt om een resultaat te bekomen dat -tig keer groter is qua verkeer dan wat je nodig hebt. Daarom zijn dit soort aanvallen geliefd als DDoS-aanval. Je hebt niet veel middelen nodig om toch een groot sneeuwbaleffect te creëren. Een voorbeeld: als je naar het broadcast IP van een router een aanvraag stuurt met een gespoofed bron IP-adres, zal deze router deze aanvraag verdelen naar alle IPs in zijn subnet, die op hun buurt dan een antwoord terugsturen naar dat spoofed bron IP-adres. En laat dat adres nu net het doelwit van je aanval zijn. Zo zie je meteen hoe je een distributed attack opzet met amplification. Gekende amplification technieken zijn smurf attacks (ICMP amplification) en fraggle attacks (UDP amplification). De meest gebruikte techniek is DNS amplification. Daarbij wordt gebruikt gemaakt van niet dichtgespijkerde recursive DNS-servers. Men bezorgt die een grote zonefile in de cache en laat deze dan opvragen vanop duizenden plaatsen tegelijk. Dat gebeurt opnieuw met een spoofed bron IP-adres dat het doelwit is. Doe dat met honderden van zulke DNS-servers en je krijgt miljoenen keren die grote zonefile als antwoord, met een overbezette snelweg als gevolg. NUCLEUS
Hosting Solution Builder
8
2. DE SERVERAANVAL Serveraanvallen verschillen van netwerkaanvallen: ze hebben vaak minder volume nodig en daardoor is het eenvoudiger om ze onder de radar te houden. Waar het bij netwerkaanvallen de bedoeling is om de ‘snelweg’ te verzadigen, is dit soort aanvallen erop gericht om het slachtoffer zelf te overbelasten. Je geeft een server zoveel werk dat hij niet meer op alle (legitieme) aanvragen kan antwoorden. Het slachtoffer bij dit soort aanvallen is vaak een webserver, maar het kan evengoed een firewall of eender welke applicatieserver zijn. Om een vergelijking te geven: je bouwt een parkeergarage voor 100 gasten, maar iemand verstuurt 1.000 parkeertickets in jouw naam. Die mensen duiken achteraf allemaal op om een gratis parkeerplaats te claimen. Pech dus voor je 100 legitieme gasten, want zelfs al zien jouw parkeerwachters het verschil tussen een echte uitnodiging en een valse, ze zijn toch een pak tijd kwijt en hebben handen te kort om alles te controleren. Een serveraanval maakt vaak misbruik van zwakheden die in het TCP/IP protocol zitten. Het gaat hier om de zes ‘vlaggen’ (flags) van het TCP protocol: SYN, ACK, RST, PSH, FIN en URG.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
TCP SYN Flood Een TCP SYN aanval of kortweg SYN flood maakt misbruik van de drievoudige handshake. Die gaat als volgt: eerst gaat er een aanvraag uit door middel van een SYN-pakket. Vervolgens moet er een vraag voor bevestiging komen (SYN-ACK) en tenslotte de bevestiging zelf (ACK). Een SYN flood zorgt ervoor dat een botnet SYN requests stuurt naar de server die het doelwit is van de aanval. Deze SYN-pakketten maken al dan niet gebruik van een spoof IP-adres. De server opent dus een connectie, wijst daar buffers en resources aan toe en zendt vervolgens een SYN-ACKpakket terug naar de aanvrager. Maar die geeft geen ACKbevestiging. De server wacht een tijdje op het antwoord en zal nog een aantal keren proberen een SYN-ACK te sturen voor er een time-out optreedt en de server de connectie opgeeft. Als de aanvaller dit met voldoende computers en connecties doet, zal de server geen vrije resources meer over hebben en legitieme connecties afblokken. TCP RST-aanval TCP RST is een reset-commando. Het geeft de ontvanger de opdracht de lopende connectie tussen zichzelf en de ontvanger onmiddellijk te resetten. Een TCP RSTaanval gebeurt ook via een botnet dat RST-commando’s zendt met spoof IP-adressen (in dit geval de IP-adressen van legitieme gebruikers wiens computer besmet is en onwetend deel uitmaken van een botnet). Het RSTcommando moet normaliter een correct sequentienummer NUCLEUS
Hosting Solution Builder
9
gebruiken, maar door de hoeveelheid vragen die een botnet kan verzenden, vinden ze altijd wel per toeval het juiste nummer. Daardoor reset de host de connectie en kan er dus geen legitieme data meer verzonden worden. TCP PSH+ACK-aanval TCP gebruikt de PUSH-vlag om de zender de opdracht te geven alle data meteen te pushen en te verzenden, gevolgd door een ACK-bevestiging. Dit zorgt ervoor dat de verzender zijn TCP-buffer leegmaakt en alles verstuurt. De aanvaller gebruikt een botnet en veroorzaakt veel PSHaanvragen om ervoor te zorgen dat de TCP-stack van de aangevallen server het begeeft. Low & slow aanval In tegenstelling tot flood-aanvallen, gaan deze aanvallen eerder uit van heel kleine hoeveelheden data, die gebruikt worden om een server bezig te houden. Op deze manier proberen aanvallers minder op te vallen door ervoor te zorgen dat er wel degelijk data wordt verzonden maar heel traag. Sockstress is de meest gekende variant van low en slow attacks. Bij zo’n aanval zet de aanvaller een connectie op en bij het verzenden van de ACK geeft hij ook een window 0-instructie mee. Die geeft aan de andere partij aan hoeveel plaats er nog is om data te ontvangen in de TCPbuffer. Als die op 0 staat, zegt de client tegen de server dus om te wachten met zenden, maar de connectie blijft open. De server blijft regelmatig vragen om een nieuwe window, maar als het antwoord 0 blijft, blijft de connectie open en neemt het dus de plaats in van een legitieme connectie. Met beperkte trafiek kan een aanvaller op die manier alle vrije connecties innemen van een server en ervoor zorgen dat niemand anders de server nog kan bereiken. Omdat er naar dit gedrag gescand kan worden, worden er ook andere waardes gebruikt voor de window-instructie. 8 bijvoorbeeld, waardoor alle data die verzonden wordt, opgedeeld wordt in stukjes van 8 bytes. Op die manier blijven de connecties wel degelijk data versturen, maar zo traag dat de server uiteindelijk crasht door overbelasting.
3. DE APPLICATIE-AANVAL Aanvallen op applicaties vertegenwoordigen de meerderheid van alle DDoS-aanvallen. Ze zijn vaak gericht op het http-protocol, dat nu eenmaal een van de meest gebruikte protocollen is op het internet. Het gaat daarbij meestal om slow attacks, want die zijn moeilijker te traceren. HTTP Flood Een HTTP Flood is een erg eenvoudige aanval. Er worden gewoon massaal veel HTTP GET of POST-instructies naar een server gestuurd zodat die het te druk krijgt om iedereen te antwoorden. De aanvallers maken hiervoor gebruik van grote botnets waarbij iedere besmette computer tientallen requests afvuurt naar de webserver. DNS Flood Een DNS Flood werkt volgens hetzelfde principe als een HTTP flood, maar is gericht op een DNS server. Die krijgt door zo’n aanval zoveel aanvragen dat hij niet meer kan antwoorden. Daardoor worden domeinnamen niet meer gekoppeld aan IP-adressen en worden diensten zoals e-mail of websites op die domeinnamen onbereikbaar. Slow HTTP GET Het idee achter deze aanval is identiek: zorg ervoor dat de webserver zoveel open connecties heeft dat er geen ruimte meer is voor nieuwe connecties. Dit gebeurt typisch door HTTP GET requests te sturen die onvolledig zijn of zo traag gaan dat de webserver enorm lang wacht om data terug te sturen. Doordat de HTTP GET zo traag binnenkomt, komt er geen time-out en blijft de webserver getrouw wachten terwijl hij de connectie openlaat. Slow HTTP POST Dit type aanval is venijniger dan andere aanvallen. De aanvaller zoekt naar formulieren op een website, vist dan uit wat een typische POST naar zo’n formulier is en hoe groot die maximaal kan zijn. Vervolgens gaat de aanvaller via een botnet een heleboel van zulke connecties openen en alle POST data byte per byte versturen, net snel genoeg om time-outs te voorkomen. Dit gedrag imiteert dus legitieme POSTS, maar dan wel aan schildpadsnelheid. Bijgevolg blijft de connectie extreem lang open. Als de aanvaller dit massaal doet, blijven er geen vrije connecties meer over voor legitieme gebruikers. RegEx Dos & Hash Collisions Van deze aanval bestaan een aantal varianten. De eerste is de regex dos. Een regex is een regular expression, een methode om bepaalde resultaten te filteren. Een
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
10
aanvaller zal een regex maken die relatief veel rekenkracht nodig heeft en die dan massaal gaan versturen om zo de resources van de server te gaan overbelasten. Een andere variant heeft te maken met hash collisions. Veel programmeurs gebruiken namelijk hash-functies om bepaalde POST parameters te verwerken. Denk bijvoorbeeld aan wachtwoorden. Die mogen voor een optimale veiligheid niet in tekstformaat worden opgeslagen, maar moeten ‘gehashed’ worden. Maar als je hash gebruikt, moet je ook rekening houden met hash collisions: de situatie waarbij twee dezelfde hash-resultaten optreden. Met deze uitzonderingen omgaan vergt flink wat rekenkracht voor een computer. Als een aanvaller zo’n kwetsbaarheid ontdekt in een website, kan hij zelfs van op een enkele computer, vrij gemakkelijk een webserver op de knieën krijgen.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
11
2. DE SSL-AANVAL Naast netwerkaanvallen, serveraanvallen en applicatieaanvallen, heb je tot slot ook aanvallen gericht op het SSL-protocol. SSL zorgt voor de versleuteling van dataverkeer tussen verzender en ontvanger. Dit systeem werkt op basis van sleutels die uitgewisseld worden in een complexe handshake en met het nodige rekenwerk om alle data te encrypteren aan de hand van deze sleutels. SSL-aanvallen zullen proberen foute handshakes te sturen of de nodige rommel in de SSL-pakketten te stoppen, enkel om de computer aan de andere kant voortdurende bezig te houden. Deze aanvallen zijn lastig om mee om te gaan, net omdat het om versleutelde data gaat. Je kan immers niet zomaar in de pakketten kijken om op basis daarvan te beslissen of een bepaald SSL-pakket legitiem is of niet.
Aangezien HTTPS vandaag de facto de standaard wordt voor webverkeer, heeft dit soort aanvallen een behoorlijke impact. HTTPS floods veroorzaken sneller overbelasting dan HTTP floods, omdat er meer resources moeten gebruikt worden omwille van de versleutelingstechnieken. THC SSL The Hackers Choice (THC) krijgt een aparte vermelding, omdat zij een aanval bedacht hebben die SSL-servers relatief eenvoudig op de knieën krijgt. Ze versturen in een legitieme HTTPS-verbinding constant de aanvraag om de encryptiesleutels te heronderhandelen. Dit type van aanvraag vraagt van de server tien- tot vijftienmaal zoveel resources als van de aanvrager. Met andere woorden, met één computer op het internet kan je op deze manier zelfs een vrij krachtige server plat leggen.
Het is bovendien, net zoals bij de amplification attacks, een aanval waarvoor je weinig middelen en data nodig hebt om veel resources van je slachtoffer in te palmen. HTTPS Floods HTTPS floods zijn de SSL-versie van de gewone HTTP flood. Er wordt simpelweg veel data verzonden om de httpsserver bezig te houden. Net omdat de data versleuteld is, zullen de meeste anti-DDoS maatregelen falen, omdat ze anders verplicht zijn alle https-verkeer eerst te ontsleutelen. North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
12
WAT ZIJN BOTNETS EN HOE WERKEN ZE? Welk type DDoS-aanval een aanvaller ook kiest, hij zal meestal gebruik maken van een botnet. Een botnet is een verzameling van computers die misbruikt kunnen worden vanop afstand. Dit gebeurt meestal omdat de computer geïnfecteerd is door een virus of een Trojaans paard en zo zonder het medeweten van de eigenaar kan misbruikt worden voor malafide praktijken.
ZOMBIES, ZOMBIE MASTERS EN HERDERS
herder genoemd. Zulke herders zijn vaak onderdeel van hackerscollectieven of de georganiseerde misdaad.
100 DOLLAR = 1 DAG BOTNET Onderzoek naar botnets heeft zowel kleine als grote botnets aan het licht gebracht. Kleinere botnets tellen enkele duizenden computers, maar er zijn ook al sporen gevonden van botnets met miljoenen computers. Stel je voor dat één miljoen computers elk 10 requests naar je server sturen en je snapt hoe makkelijk het is om een DDoS-aanval op te zetten. Des te meer als je weet dat je een botnet kan ‘huren’. Je hoeft er zelfs niet veel geld voor te hebben: voor amper 100 dollar heb je vandaag al een botnet een dag ter beschikking.
Botnets ontstaan doordat gewone internetgebruikers onvoldoende aandacht hebben voor de beveiliging van hun toestellen. Verouderde besturingssystemen of softwarepakketten hebben vaak lekken waarvan hackers dankbaar gebruik maken. Daarnaast installeren veel gebruikers zonder het te weten ook virussen en Trojaanse paarden op hun toestel. Dat soort malware wordt onder meer gebruikt om je gegevens te verzamelen en te misbruiken, maar evengoed om je onderdeel te maken van botnets. De besmette computers in een botnet worden doorgaans zombies genoemd. De instructies komen van zombie masters. De ‘beheerder’ van een botnet wordt dan weer een North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
13
HOE BESCHERM JE JEZELF TEGEN EEN DDOS-AANVAL?
ingewikkelde beslissingen nemen tijdens een stortvloed van verkeer.
NETWERKCAPACITEIT
Het grote probleem bij elke DDoS-aanval is dat er met relatief weinig middelen grote schade kan aangericht worden. De financiële impact is immers dubbel: enerzijds is er het financiële verlies door de tijdelijke onbeschikbaarheid, anderzijds zijn er ook de kosten van de bescherming tegen DDoS-aanvallen. Die kosten liggen vrij hoog – denk aan enkele duizenden euro per maand simpelweg omdat het technisch niet eenvoudig is om je te beschermen tegen DDoS-aanvallen.
Tegelijk moet ook het netwerk enorm uitgebouwd zijn. Wat baat het immers om aan jouw kant van de lijn werkende DDoS-bescherming te hebben, als er op je 1 Gbps- lijn 40 Gbps staat de drummen om binnen te mogen? Uit eigen cijfers van Nucleus blijkt dat ongeveer 80% van de aanvallen kleiner is dan 5 Gbps. Maar we zien wel een groeicurve. Vandaag is een 10 Gbps-aanval al geen uitzondering meer. Er zijn wereldwijd zelfs al aanvallen van 400 Gbps gemeld.
HEURISTISCHE SOFTWARE
GEEN SLUITENDE OPLOSSING?
DDoS-bescherming moet intelligent zijn, omdat het meeste DDoS-verkeer amper te onderscheiden is van legitiem verkeer. Het is dus geen zwart-wit keuze, maar een speelveld met meer dan 50 tinten grijs. Om je te beschermen tegen DDoS-aanvallen is een heuristische aanpak nodig, waarbij je werkt met patroonherkenning.
De combinatie van complexe heuristische software met een nood aan rekenkracht en de uitbouw van een supernetwerk, maakt dat anti-DDoS tools niet goedkoop zijn.
Een bepaald aantal ping requests naar een server is bijvoorbeeld normaal, maar vanaf een hoger aantal wordt het verdacht. Omdat de meeste van die grenzen relatief zijn, vergt het dus ingewikkelde software om de juiste beslissingen te nemen. Bovendien moet die software deze North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
De vraag is dan ook hoe ver je wil gaan in je bescherming tegen DDoS-aanvallen. De kenmerken van een DDoSaanval zorgen er immers voor dat er geen echt sluitende oplossing is. Wat is dan beter? Je met een beperkt budget 95% van de tijd beschermen? Of een enorm budget besteden aan veiligheid tijdens 99,99% van de tijd? Een overzicht van enkele alternatieven. NUCLEUS
Hosting Solution Builder
14
BLACKHOLING Blackholing is de meest gebruikte ‘bescherming’ tegen DDoS-aanvallen. Blackholing is een techniek waarbij men beslist om het IP-adres van het slachtoffer van het internet te halen door al het verkeer dat er naar toe verzonden wordt te laten verdwijnen in een ‘zwart gat’. Vandaar de naam blackholing.
voor DDoS-aanvallen. Stel dat je bijvoorbeeld een CDN hebt dat enkel de statische content van je website in de cache houdt en de dynamische onderdelen toch real time van je webserver haalt. Dan blijft het vrij simpel om een aanval op te zetten die zich net op die stukken richt die niet door het CDN worden afgehandeld. CDN’s kunnen het aanvallers dus moeilijker maken, maar het zijn geen anti-DDoS oplossingen.
Blackholing betekent dus dat we de aanvaller zijn zin geven en zijn doel onbereikbaar maken. Dit gebeurt in de hoop dat hij daardoor voldoende pluimen op zijn hoed kan steken en stopt met de aanval. Aangezien de meeste DDoS-aanvallen het werk zijn van script kiddies, is dit vaak effectief. Daarnaast probeer je via blackholing de aanvaller zelf in zijn portefeuille te raken: een botnet gebruiken kost immers geld. De vraag is dus hoeveel geld de tegenpartij kan en wil blijven spenderen om je aan te vallen. Blackholing is de zwakste vorm van ‘bescherming, want als de aanvaller koppig is en voldoende middelen heeft, blijf je lange tijd offline.
MITIGATION Een betere vorm van DDoS-bescherming is mitigation. Vergelijk het met een carwash: al het verkeer gaat de wasstraat in en al het vuil wordt weggespoeld. Enkel het propere verkeer komt de carwash uit. Dat gebeurt dus middels de eerder besproken heuristische software, die bliksemsnel op basis van patronen intelligente beslissingen neemt over al dan niet legitiem verkeer. Vandaag zijn er al gespecialiseerde aanbieders als Incapsula en Akamai die mitigation-as-a-service aanbieden. Zij spelen als het ware carwash voor het ‘propere’ verkeer jouw richting uit gestuurd wordt.
CDN VERSUS DDOS Er wordt ook vaak gesuggereerd dat Content Delivery Networks (CDN) een oplossing vormen tegen DDoSaanvallen. Een CDN is immers ontworpen om wereldwijd een netwerk aan proxies te beheren, zodat zeer drukbezochte websites permanent online blijven. Aangezien een CDN zeer veel verkeer aankan, kan het een hulp vormen in de strijd tegen DDoS. Maar CDN’s bestaan in heel wat vormen en enkele kenmerken zorgen ervoor dat ook zij kwetsbaar blijven North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
15
HOE KIES JE EEN GOEIE DDOSBEVEILIGINGSOPLOSSING? Zoals zo vaak in ICT bestaat de beste bescherming uit meerdere lagen. Als je bijvoorbeeld je website wil beschermen tegen een DDoS-aanval, kan je best een een hosting partij (hoster) zoeken die je website analyseert en vervolgens adviseert over de verschillende beveiligingslagen die je nodig hebt. Hierbij alvast een lijstje van eigenschappen die je kan nagaan:
1. Heeft de hoster een systeem waarmee DDoSaanvallen worden herkend? Zonder heeft hij namelijk geen idee wanneer er een DDoS-aanval plaatsvindt en kan hij zich er al zeker niet tegen verweren. 2. Biedt de hoster blackholing aan op een geautomatiseerde manier? Tegenwoordig zou die dienst standaard moeten aangeboden worden op het netwerk van de hoster, zodat je zeker bent dat wanneer je onder aanval ligt, je systemen tenminste veilig worden gesteld en de aanvaller misschien de zin verliest om door te zetten.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
3. Heeft de hoster een mitigation dienst? Kan je, tegen een bepaalde prijs, mitigation as a service afnemen bij de hoster? Wij raden aan om te kiezen voor een hoster die je verschillende niveaus kan aanbieden. Bijvoorbeeld mitigation tot een bepaalde grootteorde van aanval. Zo kan je zelf kiezen of je bijvoorbeeld enkele honderden euro’s spendeert om 95% van de tijd beschermd te zijn en in die uitzonderlijke 5% naar blackholing over te gaan of dat je een groter budget hebt voor meer bescherming. 4. Heeft de hoster een DDoS-oplossing op meerdere niveaus? Gaat het om een oplossing die niet enkel layer 3/4 (de floods op netwerk en serverniveau) kan tegen houden, maar ook de meer gangbare DDoS aanvallen op layer 7 zoals de HTTP slow en low aanvallen? 5. Heeft de hoster een o--nline oplossing? Met andere woorden, is het een oplossing die altijd draait of pas ingeschakeld wordt bij problemen? Dit laatste zorgt er immers voor dat er altijd eerst een probleem moet zijn en vastgesteld worden, voor er ingegrepen wordt. 6. Beschermt de oplossing ook tegen SSLaanvallen? Aangezien deze steeds meer en meer voorkomen, is het belangrijk om te weten of de aangeboden oplossing hiervoor ook werkt. NUCLEUS
Hosting Solution Builder
16
7. Heeft de hoster de mogelijkheid om bij die 1% supergrote aanvallen extra maatregelen te nemen? Er is altijd een punt waarop het netwerk van de hoster verzadigd kan worden. Heeft hij in zulk geval de mogelijkheid om met je verkeer uit te wijken naar een externe wasstraat zodat er meerdere mitigations gaan samenwerken om je verkeer proper te krijgen? Vraag daarbij zeker of je verkeer in eigen land wordt gehouden, of binnen de Europese Unie of daarbuiten. Dit kan belangrijk zijn om compliance redenen. 8. Krijg je rapporten? Als je geld gaat spenderen aan een oplossing, wil je ook wel weten of dat geld goed besteed is. In het beste geval merk je niks en zou je je kunnen afvragen of je dat geld moet blijven besteden. Daarom is het handig om maandelijks rapporten te krijgen over de DDoS-bescherming. Stel je daarnaast ook de volgende vragen, die eigenlijk buiten de scope van DDoS-beveiliging vallen, maar toch belangrijk zijn voor de algemene beveiliging: 1. Welke statefull firewalling gebruikt uw hoster? Dit is nog steeds de klassieke bescherming. Maar in deze dagen van cloud is het wel belangrijk om weten of er enkel een firewall aan de perimeter staat of dat iedere individuele server in de cloud beschermd is tegen aanvallen van je buren in de cloud. 2. Kan je aanbieder ook IPS/IDS (intrusion prevention system/intrusion detection system) aanbieden? Al dan niet in combinatie met een WAF (Web Application Firewall)? Heeft je hoster een Security Information and Event Management system? Met andere woorden, heeft hij de nodige maatregelen genomen om op gedocumenteerde manier om te gaan met security en bijhorende inbreuken op die security? Een simpele ja volstaat niet als antwoord. Deze manier van omgaan met security is vaak zo cruciaal, dat het beter is dit extern te laten toetsen. Vraag daarom zeker of uw aanbieder een ISO27001-certificaat heeft. Blackholing is de meest gebruikte ‘bescherming’ tegen DDoS-aanvallen. Blackholing is een techniek waarbij men beslist om het IP-adres van het slachtoffer van het internet te halen door al het verkeer dat er naar toe verzonden wordt te laten verdwijnen in een ‘zwart gat’. Vandaar de naam blackholing.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
17
CHECKLIST: WORD JIJ SLACHTOFFER VAN EEN DDOS-AANVAL? Heel wat bedrijven en organisaties denken dat de kans klein is dat zij ooit slachtoffer worden van een DDoSaanval. Maar is dat zo? Onderstaande checklist helpt je bepalen hoe groot het risico is om slachtoffer te worden van een DDoS-aanval. Als je op één van volgende vragen ja antwoordt, dan ben je een interessant slachtoffer voor DDoS-aanvallers: Je hebt een webshop of werkt met online transacties Je zit in een erg concurrentiële markt Je bent een financiële instelling Je werkt met patiëntengegevens Je bent een politieke partij Je bent een bekend merk of je hebt een sterke reputatie in de online wereld Je draait voldoende omzet om online afpersers aan te trekken Je bent al eerder het slachtoffer geweest van cyberafpersing, hacking of DDoS-aanvallen
Indien uit bovenstaande checklist blijkt dat je effectief een potentieel doelwit bent, is het goed na te gaan of je voldoende beschermd bent tegen een DDoS-aanval. Volgende vragenlijstje kan daarbij helpen: Beschik je over minstens 4 gescheiden 10GE uplinks? Beschik je over een geavanceerde network monitoring tool die een DDoS-aanval kan onderscheiden en rapporteren? Beschik je over automatische bescherming van het netwerk voor aanvallen? Beschik je over een oplossing voor mitigation (van minimaal 5 Gbps met mogelijkheid tot meer)? Als je vier maal ja geantwoord hebt, mag je (redelijk) gerust zijn. Is dat niet het geval, dan kan je best een gesprek hebben met je hosting partner of op zoek gaan naar een betere oplossing. Het is uiteraard geen exacte wetenschap, maar beide lijsten zijn een goede leidraad om je bescherming tegen DDoS grondig onder de loep te nemen.
North Trade Building | Noorderlaan 133/8 | B-2030 Antwerpen T +32 (0) 3 275 01 60 | F +32 (0) 3 275 01 69 | www.nucleus.be
NUCLEUS
Hosting Solution Builder
18