DDOS (Distributed denial-of-service)

BRON: Wikipedia

Denial-of-service aanvallen (dos-aanvallen) en distributed denial-of-service aanvallen (DDoS-aanvallen) zijn pogingen om een computer, computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker. Het verschil tussen een 'gewone' dos-aanval en een distributed dos-aanval is dat in het laatste geval meerdere computers tegelijk de aanval uitvoeren. Hiervoor wordt vaak een botnet gebruikt, maar het kan ook gaan om meerdere personen die hun acties coördineren, iets wat bijvoorbeeld gebeurt bij aanvallen van de zogenaamde Anonymous-beweging.

Ook al kunnen de methode, het motief en het doelwit verschillen, toch blijft het hoofddoel een website, internetdienst of server ervan te weerhouden aanvragen van reguliere gebruikers te behandelen.[3] Vaak zijn de doelen prominente websites of diensten, zoals die van banken of creditkaartservices. De term wordt gebruikt in verband met computernetwerken, maar is niet beperkt tot dit gebied; hij wordt bijvoorbeeld ook gebruikt met betrekking tot CPU resource management.

Een veel voorkomende vorm van aanvallen is het verzadigen van het doelsysteem met externe communicatieverzoeken, zodat het niet kan reageren op legitieme verzoeken, of zodat het zo traag wordt, dat het niet meer effectief te gebruiken valt. Dergelijke aanvallen leiden doorgaans tot een overbelasting van de server. Programma's die specifiek zijn ontworpen om dergelijke aanvallen uit te voeren, heten flooders. Meestal zijn dos-aanvallen bedoeld om te bewerkstelligen dat het doelwit zijn computer moet resetten of andere zaken moet doen, waardoor het doelwit zijn beoogde diensten niet meer kan aanbieden. Denial-of-service-aanvallen zijn in strijd met de regels van gebruik van vrijwel alle internetproviders. Daarnaast zijn ze in strijd met allerhande landeigen wetgevingen. Wanneer een dos-aanvaller een grote hoeveelheid informatiebestanden tracht te versturen naar een netwerkgebruiker, dan ervaren alle gebruikers van dat netwerk mogelijk storingen en/of vertragingen.

Symptomen en verschijningsvormen

Het Amerikaanse Computer emergency response team (US-CERT) noemt de volgende symptomen van een ddos-aanval:[4]

  • ongebruikelijke traagheid van het netwerk,
  • het niet beschikbaar zijn van een bepaalde website,
  • het onvermogen om een website te bezoeken,
  • een drastische toename van het aantal spam e-mails (deze vorm van dos-aanval noemt men een e-mailbom of mailbom).

Denial-of-service-aanvallen kunnen ook leiden tot problemen bij andere computers of netwerken die verbonden zijn met het doelwit. Bij een grootschalige aanval kunnen gehele geografische gebieden getroffen worden, ook al is dit niet de intentie van de aanvaller.

Soorten aanvallen

Een denial-of-service-aanval wordt gekenmerkt door een expliciete poging van de cybercriminelen om de legitieme gebruikers van een service de toegang tot die service te ontnemen. Er zijn twee algemene vormen van dos-aanvallen: de crashaanvallen en de floodaanvallen. Er zijn verschillende manieren of soorten van dos-aanvallen, maar ook verschillende vormen van aanvallen. De vijf basisvormen zijn:

  • verbruik van computergerelateerde middelen, zoals bandbreedte of schijfruimte,
  • verstoring van configuratie-informatie,
  • verstoring van de staat van het apparaat, zoals het ongevraagd resetten,
  • verstoring van netwerkcomponenten,
  • obstructie van communicatiemiddelen tussen de beoogde gebruikers en het slachtoffer, zodat ze niet meer adequaat kunnen communiceren.

ICMP-aanvallen

Er zijn dos-aanvallen die gebruikmaken van het Internet Control Message Protocol. Voorbeelden van programma's die dergelijke aanvallen inzetten, zogenaamde flooders, zijn Crazy Pinger en Some Trouble.

Zo worden er bij een smurfaanval echo requests (pings) met een vervalst IP-bronadres naar een broadcastadres binnen een netwerk gestuurd. Daardoor gaat het netwerk zelf dienen als een versterker van de smurfaanval. Bij een dergelijke aanval sturen de daders grote aantallen netwerkpakketten met een vervalst bronadres naar het slachtoffer. De bandbreedte van het netwerk van het slachtoffer wordt zo opgebruikt, waardoor legitieme zaken niet meer kunnen plaatsvinden. Om een smurfaanval te voorkomen, kunnen internetproviders verkeerd ingestelde netwerken opsporen.

Bij een ping flood zal men, uitgaande van een grotere bandbreedte, een aantal ping-pakketten naar het slachtoffer verzenden. Dit is eenvoudig, maar het hoofdvereiste blijft dat de bandbreedte van de aanvaller groter is dan die van het slachtoffer.

Bij de zogenaamde ping-of-death worden pakketten groter dan 65535 bytes verstuurt, dat mag niet volgens het protocol en daarom zal alles worden opgesplitst in meerdere, kleinere pakketten. Deze pakketten worden bij de server weer in elkaar gezet wat een crash in het besturingssysteem veroorzaakt. Hierdoor word de website onbereikbaar.

SYN flood

Bij een SYN flood stuurt de aanvaller TCP/SYN-pakketten, vaak met een vervalst bronadres. Elk van deze pakketten is een verzoek tot verbinding van de zender aan de ontvanger, waardoor er een halfopen verbinding bij de server wordt geopend. Deze halfopen verbindingen verzadigen het aantal verbindingen dat de ontvanger aankan. Daardoor krijgen legitieme gebruikers geen toegang meer tot het netwerk.

Teardropaanval

Een teardropaanval is het verzenden van vervormde IP-fragmenten met grote ladingen naar de doelcomputer. Hierdoor kan het besturingssysteem crashen. Verschillende besturingssystemen blijken hiervoor vatbaar.

Permanente denial-of-service-aanvallen

Een permanente dos (BOB’s), ook bekend als phlashing, is een aanval die een systeem zo zwaar beschadigt, dat het vervangen of opnieuw geïnstalleerd moet worden. In tegenstelling tot de ddos-aanvallen maakt de BOB gebruik van veiligheidsproblemen op een computer, die het mogelijk maken om extern de computer te beheren. Wanneer het systeem extern beheerd wordt, kan de hacker het van binnenuit kapotmaken, waardoor het niet meer bruikbaar is. De BOB is een pure hardwaregerichte aanval die sneller is dan een ddos-aanval, waarbij botnetwerken gebruikt moeten worden. Omdat deze manier van dos makkelijker is, zijn er al allerhande anti-BOB-middelen op de markt gebracht, zoals PhlashDance.

Distributed aanvallen

Een distributed-denial-of-service-aanval (ddos) treedt op wanneer meerdere systemen vanuit meerdere webservers een flood van de bandbreedte van een ander systeem veroorzaken. Bij ddos-aanvallen maakt men vaak gebruik van botnetwerken. Deze botnetwerken bestaan uit computers die allemaal extern aangestuurd kunnen worden. De externe bestuurder kan de computer van zijn slachtoffer laten crashen door alle computers in zijn botnetwerk tegelijkertijd bestanden te laten verzenden naar het slachtoffer. De bestanden die verstuurd worden, kunnen verschillen, zoals e-mails of verbindingsaanvragen. Er zijn tools beschikbaar die maken dat de eigenaar een botnetwerk kan besturen, zoals met een Trojaans paard.

LOIC

LOIC of Low Orbit Ion Cannon is een van de mogelijke opensourceprogramma's waar een ddos aanval mee uitgevoerd kan worden. Het programma is gemakkelijk te bemachtigen en is beschikbaar op Windows, Linux en Mac OS X].

DNS amplification attacks

Een DNS amplification attack is een vorm van DDOS-aanval waarbij het DNS-systeem wordt gebruikt. Bij een DNS amplication attack stuurt een server dns queries van een gespooft ip (het ip dat hij wil aanvallen) en in deze query vraagt hij data op. Deze query is dan bijvoorbeeld 30 bytes, maar het DNS-netwerk zal een antwoord van bijvoorbeeld 30000 bytes naar het gespoofte ip adres sturen. Deze vorm van DDOSen werd voor het eerste gebruikt door cyberbunker tegen spamhaus [5]

Preventiemethodes

De preventie van dos-aanvallen wordt meestal gedaan door speciale software die een aanval kan detecteren. Deze software begint het verkeer te herkennen en classificeren. Wanneer niet-legitiem verkeer toegang zoekt tot de computer, wordt dit geblokkeerd. Een aantal mogelijke preventie- en bestrijdingsmethoden:[4]

  • Firewall: een firewall is een systeem dat de middelen van een netwerk of computer kan beschermen tegen misbruik van buitenaf.
  • Switches: switches veroorzaken een vertraging in verkeer, zodat het makkelijker wordt om het verkeer te identificeren en classificeren.
  • Routers: deze hebben eenzelfde functie als firewalls. Ze hebben ook het doel om het verkeer te vertragen.
  • Clean pipes: al het verkeer wordt door een "clean pipe" gestuurd. Deze controleert het verkeer op zijn legitimiteit. Het laat alleen goedgekeurd verkeer doorgaan naar de server.
  • Scrubbing center: al het verkeer wordt gestuurd naar een anti-DDOS center, zodra nodig, waar verschillende methoden en geavanceerde montitoring wordt toegepast om legitiem en te scheiden van ongewenst verkeer. Verschil met een Clean pipe is dat het alleen wordt omgeleid tijdens een aanval.

Klanten beoordelen ons

Volg ons ook op

Wned.nl

Op weg naar jouw eigen online succes. Zoek of verhuis je domeinnaam, bouw je eigen website en maak er een succes van. Met onze snelle servers en klantenservice maken wij dit mogelijk.