Distributed denial-of-service

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
Een distributed denial-of-service aanval

Denial-of-service aanvallen (dos-aanvallen) en distributed denial-of-service aanvallen (DDoS-aanvallen) zijn pogingen om een computer, computernetwerk of dienst onbruikbaar te maken voor de bedoelde gebruiker.[1] Het verschil tussen een 'gewone' dos-aanval en een distributed dos-aanval is dat in het laatste geval meerdere computers tegelijk de aanval uitvoeren.

Werking[bewerken]

Voor DDoS wordt vaak een botnet gebruikt,[2] maar het kan ook gaan om meerdere personen die hun acties coördineren, iets wat bijvoorbeeld gebeurt bij aanvallen van de zogenaamde Anonymous-beweging of de Syrian Electronic Army.[3]. In reactie hierop werd het publiek-private Nationaal Cyber Security Centrum[4] opgericht, Europol startte het European Cybercrime Centre[5] en het Team High Tech Crime van de nationale recherche werd uitgebreid van 30 naar bijna 120 mensen en deed het Ministerie van Defensie een oproep in 2013 voor 150 white hats als cyberreservisten.[6][7]. De AIVD en MIVD starten in 2014 met de Joint SIGINT Cyber Unit, een aftap- en cybercommando onder de codenaam Symbolon met 350 mensen.[8] en hebben voor 17 miljoen euro niet toegestane systemen om grootschalig telefoon- en internetverkeer op te kunnen vangen en verwerken besteld.[9] Voor 2013 werden er op ruim vijf miljoen .nl-domeinen.[10] 39 DDoS aanvallen gemeld in Nederland.[11] inclusief vermeende aanvallen die enkel een storing betroffen.[12]

Ook al kunnen de methode, het motief en het doelwit verschillen, toch blijft het hoofddoel een website, internetdienst of server ervan te weerhouden aanvragen van reguliere gebruikers te behandelen.[13] Vaak zijn de doelen prominente websites of diensten, zoals die van banken of creditkaartservices. De term wordt gebruikt in verband met computernetwerken, maar is niet beperkt tot dit gebied; hij wordt bijvoorbeeld ook gebruikt met betrekking tot CPU resource management.

Een veel voorkomende vorm van aanvallen is het verzadigen van het doelsysteem met externe communicatieverzoeken, zodat het niet kan reageren op legitieme verzoeken, of zodat het zo traag wordt, dat het niet meer effectief te gebruiken valt. Dergelijke aanvallen leiden doorgaans tot een overbelasting van de server. Programma's die specifiek zijn ontworpen om dergelijke aanvallen uit te voeren, heten flooders. Meestal zijn dos-aanvallen bedoeld om te bewerkstelligen dat het doelwit zijn computer moet resetten of andere zaken moet doen, waardoor het doelwit zijn beoogde diensten niet meer kan aanbieden. Denial-of-service-aanvallen zijn in strijd met de regels van gebruik van vrijwel alle internetproviders. Daarnaast zijn ze in strijd met allerhande landeigen wetgevingen. Wanneer een dos-aanvaller een grote hoeveelheid informatiebestanden tracht te versturen naar een netwerkgebruiker, dan ervaren alle gebruikers van dat netwerk mogelijk storingen en/of vertragingen.

Symptomen en verschijningsvormen[bewerken]

Het Amerikaanse Computer emergency response team (US-CERT) noemt de volgende symptomen van een ddos-aanval:[14]

  • ongebruikelijke traagheid van het netwerk,
  • het niet beschikbaar zijn van een bepaalde website,
  • het onvermogen om een website te bezoeken,
  • een drastische toename van het aantal spam e-mails (deze vorm van dos-aanval noemt men een e-mailbom of mailbom).

Denial-of-service-aanvallen kunnen ook leiden tot problemen bij andere computers of netwerken die verbonden zijn met het doelwit. Bij een grootschalige aanval kunnen gehele geografische gebieden getroffen worden, ook al is dit niet de intentie van de aanvaller.

Soorten aanvallen[bewerken]

Een denial-of-service-aanval wordt gekenmerkt door een expliciete poging van de cybercriminelen om de legitieme gebruikers van een service de toegang tot die service te ontnemen. Er zijn twee algemene vormen van dos-aanvallen: de crashaanvallen en de floodaanvallen. Er zijn verschillende manieren of soorten van dos-aanvallen, maar ook verschillende vormen van aanvallen. De vijf basisvormen zijn:

  • verbruik van computergerelateerde middelen, zoals bandbreedte of schijfruimte,
  • verstoring van configuratie-informatie,
  • verstoring van de staat van het apparaat, zoals het ongevraagd resetten,
  • verstoring van netwerkcomponenten,
  • obstructie van communicatiemiddelen tussen de beoogde gebruikers en het doelwit, zodat ze niet meer adequaat kunnen communiceren.

ICMP-aanvallen[bewerken]

Er zijn dos-aanvallen die gebruikmaken van het Internet Control Message Protocol. Voorbeelden van programma's die dergelijke aanvallen inzetten, zogenaamde flooders, zijn Crazy Pinger en Some Trouble.

Zo worden er bij een smurfaanval echo requests (pings) met een vervalst IP-bronadres naar een broadcastadres binnen een netwerk gestuurd. Daardoor gaat het netwerk zelf dienen als een versterker van de smurfaanval. Bij een dergelijke aanval sturen de daders grote aantallen netwerkpakketten met een vervalst bronadres naar het slachtoffer. De bandbreedte van het netwerk van het slachtoffer wordt zo opgebruikt, waardoor legitieme zaken niet meer kunnen plaatsvinden. Om een smurfaanval te voorkomen, kunnen internetproviders verkeerd ingestelde netwerken opsporen.

Bij een ping flood zal men, uitgaande van een grotere bandbreedte, een aantal ping-pakketten naar het slachtoffer verzenden. Dit is eenvoudig, maar het hoofdvereiste blijft dat de bandbreedte van de aanvaller groter is dan die van het slachtoffer.

Bij de zogenaamde ping-of-death worden pakketten groter dan 65535 bytes verstuurd, dat mag niet volgens het protocol en daarom zal alles worden opgesplitst in meerdere, kleinere pakketten. Deze pakketten worden bij de server weer in elkaar gezet wat een crash in het besturingssysteem veroorzaakt. Hierdoor wordt de website onbereikbaar.

SYN flood[bewerken]

Bij een SYN flood stuurt de aanvaller TCP/SYN-pakketten, vaak met een vervalst bronadres. Elk van deze pakketten is een verzoek tot verbinding van de zender aan de ontvanger, waardoor er een halfopen verbinding bij de server wordt geopend. Deze halfopen verbindingen verzadigen het aantal verbindingen dat de ontvanger aankan. Daardoor krijgen legitieme gebruikers geen toegang meer tot het netwerk.

Teardropaanval[bewerken]

Een teardropaanval is het verzenden van vervormde IP-fragmenten met grote ladingen naar de doelcomputer. Hierdoor kan het besturingssysteem crashen. Verschillende besturingssystemen blijken hiervoor vatbaar.

Permanente denial-of-service-aanvallen[bewerken]

Een permanente dos (BOB’s), ook bekend als phlashing, is een aanval die een systeem zo zwaar beschadigt, dat het vervangen of opnieuw geïnstalleerd moet worden. In tegenstelling tot de ddos-aanvallen maakt de BOB gebruik van veiligheidsproblemen op een computer, die het mogelijk maken om extern de computer te beheren. Wanneer het systeem extern beheerd wordt, kan de hacker het van binnenuit kapotmaken, waardoor het niet meer bruikbaar is. De BOB is een pure hardwaregerichte aanval die sneller is dan een ddos-aanval, waarbij botnetwerken gebruikt moeten worden. Omdat deze manier van dos makkelijker is, zijn er al allerhande Super-BOB-middelen op de markt gebracht, zoals PhlashDance.

Distributed aanvallen[bewerken]

Een distributed-denial-of-service-aanval (ddos) treedt op wanneer meerdere systemen vanuit meerdere webservers een flood van de bandbreedte van een ander systeem veroorzaken. Bij ddos-aanvallen maakt men vaak gebruik van botnetwerken. Deze botnetwerken bestaan uit computers die allemaal extern aangestuurd kunnen worden. De externe bestuurder kan de computer van zijn slachtoffer laten crashen door alle computers in zijn botnetwerk tegelijkertijd bestanden te laten verzenden naar het slachtoffer. De bestanden die verstuurd worden, kunnen verschillen, zoals e-mails of verbindingsaanvragen. Er zijn tools beschikbaar die maken dat de eigenaar een botnetwerk kan besturen, zoals met een Trojaans paard.

LOIC[bewerken]

LOIC of Low Orbit Ion Cannon is een van de mogelijke opensourceprogramma's waar een ddos-aanval mee uitgevoerd kan worden. Het programma is gemakkelijk te bemachtigen en is beschikbaar op Windows, Linux en Mac OS X.

DNS amplification attacks[bewerken]

Een DNS amplification attack is een vorm van DDOS-aanval waarbij het DNS-systeem wordt gebruikt. Bij een DNS amplication attack stuurt een server DNS queries van een gespooft IP (het IP dat hij wil aanvallen) en in deze query vraagt hij data op. Deze query is dan bijvoorbeeld 30 bytes, maar het DNS-netwerk zal een antwoord van bijvoorbeeld 30000 bytes naar het gespoofte IP-adres sturen. Deze vorm van DDOS'en werd voor het eerste gebruikt door cyberbunker tegen spamhaus [15]

Preventiemethodes[bewerken]

De preventie van dos-aanvallen wordt meestal gedaan door speciale software die een aanval kan detecteren. Deze software begint het verkeer te herkennen en classificeren. Wanneer niet-legitiem verkeer toegang zoekt tot de computer, wordt dit geblokkeerd. Een aantal mogelijke preventie- en bestrijdingsmethoden:[14]

  • Firewall: een firewall is een systeem dat de middelen van een netwerk of computer kan beschermen tegen misbruik van buitenaf.
  • Switches: switches veroorzaken een vertraging in verkeer, zodat het makkelijker wordt om het verkeer te identificeren en classificeren.
  • Routers: deze hebben eenzelfde functie als firewalls. Ze hebben ook het doel om het verkeer te vertragen.
  • Clean pipes: al het verkeer wordt door een "clean pipe" gestuurd. Deze controleert het verkeer op zijn legitimiteit. Het laat alleen goedgekeurd verkeer doorgaan naar de server.
  • Scrubbing center: al het verkeer wordt gestuurd naar een anti-DDOS center, zodra nodig, waar verschillende methoden en geavanceerde monitoring wordt toegepast om legitiem te scheiden van ongewenst verkeer. Verschil met een Clean pipe is dat het alleen wordt omgeleid tijdens een aanval.

Zie ook[bewerken]

Voetnoten[bewerken]

  1. Aanvallen op websites uitgelegd, door Pascal Vyncke (geraadpleegd op 7 juni 2012).
  2. Botnet, op mijndigitalewereld.nl (geraadpleegd op 7 juni 2012).
  3. Syrian Electronic Army: Disruptive Attacks and Hyped Targets
  4. Meer geld voor Nationaal Cyber Security Center
  5. European Cybercrime Centre (EC3) at Europol
  6. Defensie wil 150 IT-experts als cyberreservist rekruteren
  7. Wanted: soldaten tegen cybercrime
  8. AIVD/MIVD-cyberteam Symbolon krijgt vorm
  9. AIVD bestelt verboden afluistersysteem
  10. Groei aantal .nl-domeinnamen neemt af
  11. Dit jaar 39 DDoS-aanvallen in Nederland
  12. DDoS-aanval op Rechtspraak.nl blijkt storing
  13. Distributed denial-of-service attack (DDoS), door Margaret Rouse, november 2010.
  14. a b Security Tip (ST04-015), Understanding Denial-of-Service Attacks, door Mindi McDowell, 11 augustus 2004 (laatste wijziging 4 november 2009).
  15. Nederlander opgepakt voor DDoS-aanvallen Spamhaus