DDoS aanvallen in het nieuws

Onlangs werden banken en zelfs de Belastingdienst plat gelegd door zogenaamde DDoS aanvallen. Wat is dat voor een soort aanval en hoe bedreigend is dit?

Bij de aanvallen op de banken en de Belastingdienst werd al snel een link gelegd met terroristen en buitenlandse overheden. Toch lijkt het er naar uit te zien dat een aantal van deze aanvallen gewoon vanuit Nederland zijn gepleegd. Een DDoS aanval is namelijk helemaal niet zo moeilijk om te doen, maar dat maakt het natuurlijk niet minder erg.

Bij een DDoS aanval (DDoS staat voor ‘distributed denial-of-service’) wordt een dienst of computer zo zwaar belast dat het niet meer mogelijk is om er gewoon mee te werken. Om een paar eenvoudige voorbeelden te geven: als op de server voor een website, bedoeld voor maximaal 1000 bezoekers per dag, ineens 100.000 bezoekers per uur komen, dan kan men verwachten dat deze server de verzoeken van deze 100.000 bezoekers niet (snel genoeg) kan verwerken. Het systeem kan dan zo langzaam worden dat het stil lijkt te staan.

Een ander voorbeeld is dat een mailserver die staat te wachten om mail te kunnen ontvangen, een plotselinge stortvloed aan mail niet kan verwerken. In feite is dit net zo’n DDoS aanval als die van de webserver. Van buitenaf worden deze systemen zo zwaar belast dat de goede werking verloren gaat.

Het is dus niet juist te veronderstellen dat bij DDoS aanvallen de gegevens van een organisatie worden gecompromitteerd of misbruikt. Het gaat immers om een vorm van overbelasting. Maar toch maakt dat een DDoS aanval niet onschuldig. Mensen kunnen heel afhankelijk zijn van bepaalde diensten op het internet en wanneer deze door een DDoS aanval lam worden gelegd, dan kan dat hele vervelende of zelfs ernstige gevolgen hebben. De gevolgen die de DDoS aanvallen hadden op bijvoorbeeld de KLM, DigiID, de banken en de NS zijn daar goede voorbeelden van.

Bij een DDoS aanval voeren meerdere systemen tegelijkertijd deze aanval uit, vandaar de term ‘distributed’. Dit wordt meestal gedaan met software die op een bepaald tijdstip op verschillende systemen geactiveerd wordt. Dit wordt wel een botnet genoemd. Dergelijke software werkt meestal onzichtbaar op de desbetreffende machines die door deze software is geïnfecteerd. Vaak gaat het daarbij om gewone PC’s van privé personen die soms wat minder goed beschermd worden en daardoor gemakkelijker doelwit vormen voor de besmetting met botnets. De eigenaren van deze machines hebben vaak geen enkel idee dat hun computer bij DDoS aanvallen betrokken is. De aantallen machines kunnen hierdoor tot in de duizenden lopen. Dergelijke netwerken zijn zelfs te huur door kwaadwillenden voor kwaadwillenden.

De slachtoffers kunnen wel wat doen tegen (vooral eenvoudige) DDoS aanvallen, maar de complexere DDoS aanvallen kunnen soms niet of slechts heel moeizaam bestreden worden. Het is dus vooral zaak om te voorkomen dat botnet software zich kan verspreiden en, als dat wel gebeurt, snel wordt herkend en verwijderd. Een extra reden om de computers in uw organisatie of thuisomgeving van goede up-to-date beschermingssoftware te voorzien en steeds te controleren of de firewall nog wel optimaal zijn werk doet.