Tag Archives: ddos

DDoS (Denial of Service)

Een Denial Of Service is niets meer dan het zorgen dat een service of programma niet meer bereikbaar is. Naar een bedrijf rijden en de stekker van de webserver eruit trekken is feitelijk ook een Denial of Service. Echter, hackers doen liever hun taken zonder gezien te worden en dus op afstand. Het op afstand via IT communicatienetwerk platleggen van een energiecentrale ligt meer in de mogelijkheden van een black-hat hacker dan een bedrijf daadwerkelijk bezoeken.

één of meerdere aanvallers

Bij een DoS probeert 1 aanvaller een systeem plat te krijgen. Dat gaat soms goed, maar het werkt beter om via meerdere aanvallers een systeem plat te krijgen. De slagingskans is veel groter en de kans op ontdekking (herleiden van gegevens aanvaller) is veel minder. Als meerdere aanvallers tegelijkertijd een doelwit aanvallen heet dat een DDoS. Een voorbeeld hiervan is Anonymous, deze groep voert vaak DDoS aanvallen uit op overheidswebsites.

Een grafische weergave van normaal website verkeer

Zoals u hieronder kunt zien in de video, is er sprake van normaal website verkeer. Diverse verschillende aanvragers zenden verzoeken naar websites. De webservers aan de rechterkant reageren op het verzoek. Hierdoor staat de informatie op uw beeldscherm. Het ping-pong schuifje geeft aan dat een verzoek is ontvangen en wordt behandeld.

DDoS technieken

Er zijn verschillende technieken achter een (D)DoS aanval. Ik zal er 4 noemen.

Ping Of Death
Via een POD worden er netwerk pakketjes verzonden groter dan de maximale grootte van 65535 bytes waardoor de ontvanger de pakketjes gefragmenteerd binnen krijgt. De pakketjes moeten allemaal weer aan elkaar geplakt worden, Dat kost veel bandbreedte van de server, waardoor deze na verloop van tijd “vastloopt”.

SYNflood
Bij een SYNflood wordt continu een aanvraag verstuurd om verbinding te maken met het doelwit. Bij een normale TCP transactie, koppelt de ontvangende partij een aanvraag terug met een ontvangstbevestiging. De verzoeker reageert vervolgens terug met een bevestiging, pas hierna wordt het pakketje verstuurd. Stel, de aanvaller verstuurd honderden aanvragen, maar vervolgens geeft de aanvaller geen bevestiging meer. Dan zit het doelwit (vaak een webserver) met honderden onafgewerkte aanvragen. Op een gegeven moment is “de emmer vol” en crasht de server.

Smurf attack
Bij een Smurf attack wordt een verzoek tot communicatie naar de webserver verstuurd (ECHO). Echter het IP adres van de verzender (SOURCE) wordt veranderd naar die van de victim. Het antwoord op het verzoek wordt dus gegeven aan de router zelf. Hierdoor ontstaat binnen het netwerk zoveel dataverkeer – wat zich steeds sneller kwadratisch ontwikkeld – dat de server op een gegeven moment plat gaat. De buffers kunnen het werk niet meer aan.

Fraggle attack
Dezelfde opzet als een Smurf attack, alleen dan met UDP pakketten. UDP pakketten worden gebruikt voor verkeer met veel data. Bijvoorbeeld youtube maakt gebruikt van UDP pakketten. TCP is een veiliger en betrouwbaarder protocol, maar UDP kan meer data aan. Echter is er geen controle op UDP verkeer of de data daadwerkelijk is overgekomen.

Een grafische weergave van een DDoS aanval op een website

In de volgende video wordt duidelijk hoe een DDoS aanval er uitziet. Zoals u kunt zien, worden duizenden aanvragen tegelijkertijd naar dezelfde website gestuurd. Overige verzoeken kunnen nu niet meer worden gehonoreerd. De website ligt plat.

Afleidingsmanoeuvre

Het allerbelangrijkste om te realiseren is dat het de hackers niet altijd om deze DDoS-aanval te doen is, maar om het feit dat u zich met man en macht focust op het oplossen van deze attack. Daarmee komt er zeeën van ruimte voor de hackers om gevoelige data te stelen, zoals creditcard en andere betalingsgegevens van uw klanten. De financiële gevolgen gaan dus vele malen verder dan alleen uw onderneming.

Beveiligen tegen DDoS

Kunt u zo’n aanval dan voorkomen? Met geavanceerde apparatuur kunt u een heel eind komen en weet u dat uw website of online service goed beveiligd is. Maar daarmee bent u er nog niet. Een internetprovider of datacenter moet hieraan meewerken. Helaas gebeurt dat nog niet optimaal. Wettelijk gezien is dat namelijk ook nog niet vastgelegd. Toch kunt u zich dus wapenen tegen een DDoS-aanval, mits u de hoge investering daarvoor over hebt.

Investering

Is het dat geld waard? Om dat te bepalen dient u de risico’s tegen elkaar af te zetten. Wat kost de investering? En wat kost het om een week uit de lucht te zijn? Vrijwel altijd geldt dat de schade door de online diefstal van gevoelige (klant)gegevens veel grootschaliger is dan die investering. En dan hebben we het nog niet eens over de misgelopen omzet en de reputatieschade. Investering in een goede DDoS protectie is het dus vrijwel altijd waard.

Aangifte doen?

Aangifte doen is altijd zinvol, ook al is het een lastige zaak als het een ontastbare zaak als cybercriminaliteit betreft. Veel politieregio’s hebben hier nog geen goed beleid voor, met als gevolg dat u van het kastje naar de muur wordt gestuurd. Toch heeft de politie speciale cybercrime teams. Om de juiste logbestanden en andere gegevens te verzamelen voor de aangifte, helpt WeSecureIT ondernemers tijdens dit gehele proces.

Als u onverhoopt slachtoffer wordt van cybercrime helpen wij u om door de bomen het bos wél te gaan zien! We begeleiden u van het begin tot het eind, van ontdekking tot aangifte.

Een paar absolute must-do’s

  • √ Probeer tijdens de aanval logbestanden bij te houden. Vaak heeft uw IT-partner daar enige kennis van en kan hij op voorhand proberen om logs veilig te stellen.
  • √ Noteer tijden van de aanval, op welke poort de aanval plaatsvindt, op welke exacte website en het IP-adres. Uw automatiseerder kan u daar soms mee helpen.
  • √ Haal de hele website / online service offline indien u vermoedt dat er ook andere narigheden plaatsvinden (bijvoorbeeld na malware detectie). Hiermee voorkomt u dat er vertrouwelijke (klant)gegevens op straat komen te liggen.
  • √ Schat uw financiële schade in. Deze gegevens heeft u nodig bij de aangifte.
  • √ Zorg voor een noodplan. Daarin staat beschreven wat er moet gebeuren wanneer uw website of online service onder aanval ligt. Wie gaat u bellen? Hoe gaat u uw klanten informeren? Wie informeert uw klanten? Hoe gaat u de DDoS aanval stoppen? Hoe kunt u schade zoveel mogelijk beperken?
  • √ Bedenk een mogelijkheid om een bepaalde kritieke service via een noodverbinding weer in de lucht te krijgen.
  • √ U zult worden gebeld dat uw website / online service niet bereikbaar is of dat er rare meldingen in het scherm komen. Wie gaat die talloze telefoontjes op één dag afhandelen? Beschrijf dit in het noodplan, welke communicatieadviseur gaat u inschakelen of gaat u het allemaal zelf doen?

Mocht het erop aan komen – wat ik niet hoop voor u – dan is deze checklist iets om aan vast te houden. Daarnaast is het tegenwoordig helaas noodzakelijk om goede DDoS-protectie aan te schaffen in combinatie met daarbij adequate malware-beveiliging via bijvoorbeeld een IPS (Intrusion Protection System). Vanzelfsprekend helpt WeSecureIT u daar van harte bij.

DDoS. Website aanval of afleidingsmanoeuvre?

‘ING legt internet- en mobielbankieren plat’ riep Volkskrant.nl. Op webwereld.nl lazen we ‘Grote DDoS-aanval legt Rijksoverheid.nl plat’, en Elsevier.nl kopte met ‘DigiD plat na ontdekking beveiligingslek’. Hoe bent u als ondernemer beveiligd tegen DDoS-aanvallen? Kunt u grootschalige DDoS-aanvallen, zoals op ING, DigiD en de Rijksoverheid.nl, überhaupt tegengaan? En nog belangrijker, beseft u dat de DDoS een afleidingsmanoeuvre kan zijn voor online diefstal?

Continue reading

ING bank en Ideal plat door DDOS aanval

De media spreekt er al boekdelen over. Zelfs Premier Mark Rutte heeft in een korte persconferentie zijn mening al gegeven over de al lang durende storing bij ING. Er wordt beweerd dat de storing bij ING woensdag 3 april 2013 geen verband heeft met de DDOS aanval van donderdag en vrijdag 5 april. Is dat wel zo?

Continue reading

Volg ons!