Ze zijn regelmatig in het nieuws: DoS en DDoS aanvallen. Maar wat zijn dat precies? De namen DoS en DDoS staan voor Denial of Service en Distributed Denial of Service. Het zijn een soort cyberaanvallen waarbij een server of dienst zo zwaar belast wordt dat die het reguliere werk niet meer kan doen en daardoor (tijdelijk) niet meer gebruikt kan worden.

Hoe gaat een aanvaller te werk

Als voorbeeld kunnen wij een website nemen. Iemand die deze server wil raken met een DoS aanval zal zoeken naar de onderdelen van deze site die de meeste rekenkracht of tijd eisen. Het tonen van een simpel nieuwsbericht zal weinig van de onderliggende server vragen, maar een complexe zoekopdracht verwerken zal waarschijnlijk zwaarder wegen. Laten we zeggen dat de server 10 tot 100 keer meer rekenkracht nodig heeft voor een (complexe) berekening of zoekopdracht vergeleken met het tonen van een nieuwsartikel.

Als de server makkelijk 1000 gelijktijdige bezoekers aankan wanneer die alleen nieuwsartikelen lezen, dan kan de server bij 100 gelijktijdige zoekopdrachten mogelijk vastlopen. Dit is juist waar een aanvaller op uit is.

Door plekken te zoeken waar de server duidelijk meer tijd nodig heeft om een resultaat te tonen kan de aanvaller zien dat er waarschijnlijk meer rekenkracht nodig is. Wanneer deze plekken gevonden zijn kan de aanvaller met een programma snel opeenvolgend aanvragen naar de server sturen voor deze zware berekeningen. Doordat de aanvragen er “normaal” uitzien zal de server pogen om de berekeningen uit te voeren, maar zal door de grote werkdruk uiteindelijk niet meer de reguliere bezoekers kunnen bedienen. Daarmee is de “denial of service” voltooid.

Nu is een aanval vanuit één plek makkelijk te stoppen. Als een beheerder van een server ziet dat er bijzonder veel zwaar te verwerken verkeer wordt gegenereerd vanuit één IP adres, dan kan dit snel via een firewall worden geblokkeerd. De aanval wordt daarmee meteen gestopt.

Om hier omheen te komen wordt de distributed denial of service (DDoS) aanval ingezet. Deze aanval werkt hetzelfde als bij de hierboven omschreven DoS aanval, met het verschil dat de verzoeken vanuit een groot aantal verschillende IP adressen komt.

Omdat het voor een beheerder bijna onmogelijk is om zo snel een verschil te zien tussen een reguliere bezoeker en een script, is het onmogelijk om de individuele aanvragen te stoppen. En omdat bijna elk verzoek weer van een ander IP adres is kan er ook niet op basis van de bron van de aanvraag gefilterd worden.

Methodes

In de voorbeelden hierboven hebben wij een aanval omschreven dat de rekenkracht van de server aanvalt. Een andere vaak voorkomende vorm richt zich puur op bandbreedte. Elke server heeft met de beschikbare aansluitingen een beperkte hoeveelheid verkeer wat via de lijn verzonden kan worden. De hoeveelheid die door een provider beschikbaar gesteld wordt is meestal lager dan de hoeveelheid data die een server (theoretisch) zou kunnen verzenden. Door verzoeken te verzenden die veel data bevatten en/of veel data als antwoord eisen wordt de capaciteit van de internetverbinding overvraagd.

Hiernaast zijn er ook een scala aan andere methodes. Wie daar meer over wil lezen kan een overzicht vinden op het betreffende Wikipedia artikel1.

Botnets

Voor het uitvoeren van een DDoS aanval heeft een aanvaller toegang nodig tot een groot aantal machines waarmee de aanval uitgevoerd kan worden. De meeste van dit soort aanvallen worden daarom uitgevoerd door het gebruik van z.gn. botnets. Dit zijn losse netwerken van grote aantallen machines. Dit kunnen PC's zijn die door een virus zijn besmet, maar tegenwoordig ook vaak kleine aan het internet verbonden apparaten zoals modems, IP camera's of smart TV's. Dit soort IoT devices zijn een gewild doelwit omdat ze vaak slecht beveiligd zijn en constant zonder toezicht verbonden zijn aan het internet.

De besmette apparaten worden meestal door een centrale server aangestuurd. Een aanvaller geeft een signaal om een bepaald doelwit aan te vallen, waarna de apparaten zelfstandig de aanvallen uitvoeren.

Een botnet maken en werkend houden vergt veel werk, en daardoor is nu ook een economie ontstaan waarbij verschillende soorten cybercriminelen hun eigen specialisme hebben. Iemand die gespecialiseerd is in het uitvoeren van DDoS aanvallen huurt dan vaak een botnet in dat in handen is van een andere partij.

Doel

De DoS en DDoS aanvallen kunnen puur destructief lijken, waarom worden deze uitgevoerd? Er zijn meerdere redenen maar over het algemeen zijn er drie terugkerende thema's.

Vaak is er een financiële motivatie. Een aanval, of dreigement van een aanval, wordt gebruikt om een doelwit af te persen.

Een tweede is puur gericht op het aanbrengen van schade. Een goed voorbeeld hiervan is de digitale component van moderne oorlogsvoering.

Een laatste toch vaak voorkomende reden is om een naam op te bouwen of als “grap”. De toename in botnets en tools om DDoS aanvallen uit te voeren betekent dat het bij voorbeeld ook mogelijk wordt voor een scholier om het netwerk van de eigen school plat te leggen.

Hiernaast zijn uiteraard ook andere motivaties mogelijk. Een aanvaller kan een DDoS aanval bij voorbeeld ook inzetten als component van een meer complexe aanval op een netwerk.

Een aanval kan ook per ongeluk gebeuren. Het is vaak gebeurd dat er bij voorbeeld een filmpje binnen een bedrijf viral gaat, en zo vaak heen en weer gestuurd wordt dat de interne mailservers het niet meer aan konden. Ook kunnen verkeerde configuraties van servers onbedoeld tot grote belasting leiden.

Praktijkvoorbeelden

DoS en DDoS aanvallen komen in alle soorten en maten voor. De grootste is waarschijnlijk een aanval die in juli 2021 plaats vond en door Cloudflare werd gemeten met een piek van 17,2 miljoen aanvragen per seconde2. De aanval werd uitgevoerd door een botnet met 20.000 bots verspreid over 125 landen. Dit is een extreem volume. Ter vergelijking verwerkt Google wereldwijd ongeveer 63.000 zoekopdrachten per seconde, en heeft een enorm netwerk aan datacentra om deze te verwerken.

In Nederland zijn ook een aantal soortgelijke aanvallen in het nieuws geweest. De aanval die het meeste aandacht kreeg is die gericht op de Belastingdienst en DigID in 2018, die een aantal uur totaal onbereikbaar waren waardoor mensen geen aangifte konden doen. Ook andere grote organisaties zijn vaker het doelwit. Het CBR werd in mei 2021 getroffen en GGD sites werden in juni 2021 grootschalig aangevallen.

Wereldwijd zijn DDoS aanvallen een toenemend probleem. In de DDoS benchmark 2021 van het security bedrijf Link11 is was een jaarlijkse verdubbeling van het aantal DDoS aanvallen gemeten3. Ook in het Microsoft Azure cloud platform werd een toename gemeten, in de tweede helft van 2021 werden 40% meer DDoS aanvallen uitgevoerd vergeleken met de eerste helft van hetzelfde jaar4.

Het gemak waarmee DDoS aanvallen tegenwoordig gekocht kunnen worden is zo groot dat ook particulieren doelwit kunnen worden. Microsoft heeft zelf tussen de veelgestelde vragen voor de Xbox game console een waarschuwing toegevoegd over dat spelers ook doelwit kunnen worden5.

Bescherming

Voor particulieren die een DoS of DDoS aanval ondervinden, zoals bij de Xbox hierboven genoemd, is er weinig te doen. Bij een aanhoudende aanval kan er aan de provider gevraagd worden om een nieuw IP adres, maar of dat verzoek wordt ingewilligd is sterk afhankelijk van de provider. Wanneer er gebruik wordt gemaakt van mobiel internet kan een reset van een modem of apparaat leiden tot een wissel in IP adres, wat waarschijnlijk de aanval zal stoppen.

Voor bedrijven zijn de mogelijkheden afhankelijk van wat er precies beschermd moet worden. Wanneer er een risico is dat er een rechtstreekse aanval op een bedrijfsnetwerk plaats zal vinden, dan is een voor de hand liggende optie om in ieder geval een extra netwerkaansluiting te realiseren. Bij een aanval op een primaire verbinding kan er overgeschakeld worden op de tweede lijn.

Afhankelijk van de omvang van de organisatie kan het ook helpen om alleen bepaalde IP adressen toe te staan om een verbinding te maken. Een firewall kan veel meer malafide data verwerken en afkeuren dan een achterliggend systeem zoals een VPN of applicatieserver dat kan. Door een aanvaller het moeilijker te maken wordt het risico op een verstoring ook kleiner.

Bedrijven kunnen ook hulp krijgen van de eigen internetprovider. Een aantal providers zijn aangesloten bij NaWas, de Nationale Wasstraat tegen DDoS-aanvallen6. Dit is een systeem waarbij verkeer van verschillende netwerkdiensten samen geanalyseerd wordt om zo op een lager niveau DDoS aanvallen te detecteren en stoppen.

Wanneer er gebruik wordt gemaakt van een cloud platform zoals Microsoft Azure of Amazon AWS kan er ook gebruikt gemaakt worden van de beschermingen die door het platform aangeboden worden.

Tot slot kunnen websites beschermd worden door specifiek daarvoor een dienst in te schakelen. Deze diensten laten al het verkeer door eigen servers gaan voordat ze naar de uiteindelijke website worden doorgestuurd. Een voorbeeld hiervan is Cloudflare. Dit soort diensten kunnen goed helpen tegen aanvallen, maar er is altijd een afweging nodig in hoeverre er bescherming nodig is. Omdat al het verkeer naar de website via een extra dienst loopt, wordt er een nieuwe mogelijke point of failure geïntroduceerd. Als de servers van Cloudflare niet goed werken, dan zijn alle websites die door Cloudflare beschermd worden plotseling volledig onbereikbaar. Een website van een kleine mkb'er loopt waarschijnlijk een groter risico om offline te gaan door onderbrekingen van een beschermende dienst dan een daadwerkelijke aanval.