DDoSdIstrIbutEd dEnIal of sErvIcE-aanval rEËEl gEvaar voor IEdErE organIsatIE

Maart 2015

Een whitepaper van proserve®

Een whitepaper van proserve®DDoS, reëel gevaar voor iedere organisatie

2 3

Inhoud

1. InlEIdIng 3

2. Wat Is EEn dIstrIbutEd dEnIal of sErvIcE? 4

3. HoE bEscHErm jE jE tEgEn EEn ddos? 6

4. antI-ddos-dIEnstvErlEnIng van prosErvE 7

5. voordElEn van antI-ddos-sErvIcE van prosErvE 8

Het type aanvallen en de gebruikte methoden

zijn in de loop van de jaren regelmatig veranderd.

ook de motieven veranderden mee. ddos is

steeds meer een middel van cybercriminelen of

cyberactiegroepen geworden om financiële of

politiek-morele druk op bedrijven en organisaties uit

te oefenen. veel organisaties zijn of worden onder

druk gezet om losgeld te betalen of belemmerd in

hun werk. daarnaast is er de ontevreden student of

boze werknemer die met relatief simpele middelen

een organisatie lam kan leggen.

Verschuiving

aanvankelijk speelden ddos-aanvallen zich af

op de netwerklagen 3 en 4. omdat deze relatief

eenvoudig met netwerkfirewalls te beschermen

zijn, zochten aanvallers nieuwe doelen, waaronder

ssl en de applicatielaag. daar hebben traditionele

firewalls – die geen inzicht hebben in verkeer –

geen vat op. daarnaast is er ook een verschuiving

in de middelen die aanvallers gebruiken. lange tijd

waren dat zogenaamde zombie-pc’s, die ongemerkt

geïnfecteerd werden met malware en op afstand

inzetbaar waren voor aanvallen.

nu pc-gebruikers zich beter bewust zijn van

veiligheid zoeken aanvallers naar andere middelen,

zoals servers in datacenters en consumentenrouters.

servers in datacenters zijn aantrekkelijk omdat

ze vaak gigabitsnelheden ondersteunen. routers

zijn een ideaal middel omdat ze nagenoeg in

iedere woning of kantoor wel te vinden zijn en er

nauwelijks naar omgekeken wordt. de meeste zijn

typische consumentenproducten die slechts licht

beveiligd zijn.

Blackholing

lange tijd was blackholing het enige antwoord

op een ddos-aanval. Hierbij leidt een bedrijf of

serviceprovider bij een aanval alle verkeer om naar

een zwart gat, zodat het de servers niet bereikt en

kan beschadigen. nadeel van deze methodiek is dat

alle verkeer – dus ook het legale – in de omleiding

wordt meegenomen. Er zijn nu nieuwe technologieën

beschikbaar die deze ongewenste situatie oplossen.

Hierbij wordt Ip-verkeer bij een aanval ‘gewassen’

en gescheiden. proserve heeft zijn netwerk geschikt

gemaakt voor deze voorziening. In deze whitepaper

beschrijven we deze voorziening en gaan we dieper in

op verschillende aspecten van ddos.

1. Inleiding

De afgelopen jaren zijn Distributed Denial of Service-aanvallen (DDoS) regelmatig in het nieuws geweest.

Zowel grote, wereldwijd actieve multinationals als nationale onderwijsinstellingen en lokale bedrijven

waren het slachtoffer van een stortvloed aan dataverkeer op hun server(s).

Over proserve proserve is onderdeel van de It-Ernity groep. met circa honderd werknemers bedient het

bedrijf meer dan 50.000 klanten, beheert het 150.000 domeinnamen en ruim 6.000 servers.

vanuit haar vestigingen in amsterdam, Zwolle, son en papendrecht levert zij – samen met

diverse gerenommeerde partners – internetservices in de breedste zin van het woord.

Kwaliteit en veiligheid zijn belangrijke pijlers in de dienstverlening, hetgeen zich laat

onderschrijven door de Iso 9001 en 27001 certificering. Het dna van de organisatie laat

zich het beste vertalen in no-nonsense, ‘business aware’, innovatief, pro-actief, professioneel

en mensgericht. bekende klantnamen zijn Kpmg, vakantieveilingen.nl, bol.com,

Wegener en funda.

Maart 2015

Een whitepaper van proserve®DDoS, reëel gevaar voor iedere organisatie

4 5

2. Wat is een Distributed Denial of Service?

Een DDoS-aanval is in feite niets meer dan een poging om het netwerk, de (web)server en de

applicaties van een organisatie uit te schakelen door ze te overbelasten. Een DDoS-aanval

is mogelijk vanaf enkele hosts of in het geval van een botnet vanaf tientallen, duizenden of

honderdduizenden machines.

op dit moment zijn dat nog vooral geïnfecteerde pc’s. omdat gebruikers de laatste jaren voorzichtiger

zijn met het openen van verdachte e-mails of websites, verleggen cybercriminelen hun aandacht naar

andere middelen. Zo zijn servers in datacenters interessant omdat ze snel zijn en veel bandbreedte

bieden. dat vergroot de potentiële aanvalskracht. daarnaast blijken ook consumentenrouters een steeds

interessanter doelwit. de meeste van deze devices zijn maar heel beperkt beveiligd. Ze werken vaak met

protocollen waar in geen jaren naar gekeken is en waar vervolgens heel onverwacht gaten in worden

ontdekt.

technologieleverancier prolexic constateerde in 2013 een groei van maar liefst 718 procent in de

gemiddelde bandbreedte van een aanval naar gemiddeld 48,25 gbps. de onderzoekers van gartner

stelden vast dat 25 procent van de ddos-aanvallen in 2013 plaatsvond op de applicatielaag. Het vakblad

It World noemde in een publicatie china, de verenigde staten, duitsland en Iran als belangrijkste

bronlanden voor aanvallen.

Aanvalsvectoren

ddos-aanvallen bestaan er in verschillende soorten en er zijn allerlei manieren waarop een aanval

kan plaatsvinden – de zogenoemde aanvalsvectoren. deze vectoren zijn over het algemeen onder te

verdelen in drie brede categorieën:

De volumetrische aanvallen. deze proberen alle bandbreedte binnen het netwerk of de

service of tussen het netwerk en de dienst en de rest van het internet te vullen met data. dat

leidt uiteraard tot verstopping en uiteindelijk tot volledige onbereikbaarheid. organisaties

hebben in het verleden geprobeerd deze aanvallen op te vangen door te investeren in meer

bandbreedte. omdat de aanvallen probleemloos mee konden groeien met die grotere

bandbreedte, is meer capaciteit geen optie meer.

TCP State-Exhaustion-aanvallen. deze aanvallen proberen de connection state-tabellen in

bijvoorbeeld load-balancers, fi rewalls en de applicatieservers zelf te overvoeren. Zelfs zeer

zware devices die miljoenen connecties kunnen ondersteunen, zijn met dit type aanvallen uit

de lucht te halen.

Aanvallen op de applicatielaag. deze richten zich op een bepaald aspect van een applicatie

of dienst op laag 7 van het osI-model. dit zijn de gevaarlijkste aanvallen, omdat ze zeer

eff ectief zijn en slechts een aanvalsmachine nodig hebben die maar heel langzaam verkeer

genereert. deze aanvalsmethodieken zijn de laatste jaren populair geworden, mede omdat ze

moeilijk proactief te detecteren en af te slaan zijn.

Risico’s

binnen deze verschillende categorieën zijn de

daadwerkelijke aanvalsvectoren steeds weer

anders. Zij worden binnen de hackersgemeenschap

ontwikkeld en zijn soms al voor tien dollar aan te

schaff en. daadwerkelijke ddos-aanvallen zijn te

koop op het internet voor enkele dollars per uur

tot een paar tientjes voor een hele dag. dat geeft

meteen de ernst van de situatie aan. Het is relatief

eenvoudig een ddos-aanval uit te voeren.

voor iedere organisatie die afhankelijk is van een

website of webdienst zijn de risico’s groot.

Een webwinkel bijvoorbeeld kan zich geen

downtime veroorloven. dat tast direct de omzet en

winst aan. Hetzelfde geldt voor het toenemende

aantal bedrijven dat gebruik maakt van diensten

als software-as-a-service. bij een aanval op een

serviceprovider lopen deze diensten het risico uit

te vallen. dat zal het hele bedrijfsproces bij een

gebruiker stilleggen.

In de afgelopen jaren is geen enkele sector

gevrijwaard gebleven van aanvallen, variërend

van de fi nanciële sector en de overheid tot aan

gamingbedrijven en horeca.

Maart 2015

DDoS types

- Volumetrisch

- Protocol attacks

- Application layer attacks

DDoS types- Volumetrisch- Protocol attacks- Application layer attacks

TCP - SCN Flood

25%

iPv6

2%

VOIP

2%SMTP

9%HTTPS

13%HTTP

21%

DNS

11%

ICMP

6%UDP

7%TCP Other

6%Bescherm je server!

Network 46%Application 54%

DDoS types- Volumetrisch- Protocol attacks- Application layer attacks

TCP - SCN Flood

25%

iPv6

2%

VOIP

2%SMTP

9%HTTPS

13%HTTP

21%

DNS

11%

ICMP

6%UDP

7%TCP Other

6%Bescherm je server!

Network 46%Application 54%

Een whitepaper van proserve®DDoS, reëel gevaar voor iedere organisatie

6 7

3. Hoe bescherm je je tegen een DDoS?

In de netwerksector wordt dagelijks gewerkt aan oplossingen waarmee de negatieve gevolgen

van een DDoS-aanval zoveel mogelijk te beperken zijn. Tot nu toe werd alle dataverkeer bij

een aanval omgeleid naar een zogenaamde black hole. Dat was weliswaar afdoende om een

totale uitval van systemen te voorkomen, maar leidt ertoe dat ook het reguliere verkeer wordt

omgeleid.

daarom zijn er nieuwe technologieën ontwikkeld die onderscheid kunnen maken tussen legaal

en illegaal verkeer. die komen in het volgende hoofdstuk aan de orde. Zij zijn onderdeel van een

algemene aanpak die bedrijven kunnen hanteren om de risico’s en impact van een ddos-aanval te

minimaliseren.

Die aanpak bestaat uit de volgende stappen.

1. stel een risicoplan op, inclusief alle procedures en stappen die nodig zijn als een ddos-aanval

wordt ontdekt. Er zijn tal van praktijkvoorbeelden waarbij een organisatie veel tijd nodig

had om een team samen te stellen dat daadwerkelijk in actie kon komen. In het risicoplan

staan alle namen en actuele contactgegevens van alle betrokkenen (interne medewerkers en

externe leveranciers) bij een calamiteit vermeld.

2. creëer een whitelist. organisaties die te maken hebben met regelmatig terugkerende of vaste

klanten kunnen overwegen een whitelist aan te leggen, zodat het verkeer van deze partijen

door te laten is bij een aanval.

3. Wees alert op rookgordijnen. aanvallers maken soms gebruik van afl eidingsmanoeuvres

om een security-afdeling in een verkeerde richting te sturen. terwijl de specialisten zich

op een bepaald aanvalsdoel richten, kunnen aanvallers elders in het netwerk actief zijn en

bijvoorbeeld systemen platleggen.

4. Overleg regelmatig met toeleveranciers over risico’s, regelgeving en technologische

ontwikkelingen, zodat het mogelijk is om best practices te hanteren bij het tegengaan van

ddos-aanvallen.

5. Zorg intern voor optimale beveiliging zodat de eigen It-middelen niet geïnfecteerd kunnen

worden en misbruikt worden voor een aanval.

6. Zorg intern voor bewustwording over de risico’s van een aanval. Het tegengaan van aanvallen

en het voorkomen van een negatieve impact zijn niet alleen de verantwoordelijkheid van

de Internet service provider of de hostingleverancier. organisaties hebben ook hun eigen

verantwoordelijkheid om voorzorgsmaatregelen te treff en en een doelgericht plan te

ontwikkelen dat direct in werking treedt bij een aanval.

4. Anti-DDoS-dienstverlening

Naast het opstellen van risicoplannen zijn er

verschillende technische mogelijkheden om

de negatieve gevolgen van een DDoS-aanval

zoveel mogelijk op te vangen. Het gaat om zeer

gespecialiseerde apparatuur die in de sector

bekend staat als Intelligent DDoS Mitigation

Systems (IDMS). Deze systemen zijn aan de

randen van het netwerk, in de cloud of in een

hybride opstelling te installeren en reageren

direct bij een aanval. De markt voor deze

apparatuur groeit volgens IDC met zo’n achttien

procent per jaar en is in 2017 goed voor een

omzet van 870 miljoen dollar.

In nederland zijn deze systemen geïnstalleerd bij

stichting nationale beheersorganisatie Internet

providers (nbIp). deze organisatie behartigt de

beheerbelangen van een groot aantal nederlandse

Internet service providers en hostingbedrijven.

op initiatief van de nbIp is de nationale anti-ddos

Wasstraat (naWas) in het leven geroepen. deze

voorziening – die het nbIp beheert – maakt het

mogelijk om het dataverkeer van een aangesloten

nbIp-lid bij een ddos-aanval naar de wasstraat te

leiden waar het wordt gescheiden in gewenst en

ongewenst verkeer. proserve is lid van de nbIp en

heeft zijn netwerk geschikt gemaakt om gebruik te

maken van de nationale Wasstraat.

Netwerk

om gebruik te kunnen maken van de nationale

Wasstraat heeft proserve zijn eigen core netwerk

voorzien van analyzers. deze gespecialiseerde

devices inspecteren en analyseren alle verkeer

dat bij proserve binnenkomt. de analyzers zijn

zelfl erende devices die net als antivirusoplossingen

werken met signatures. Zij zijn bijvoorbeeld in staat

om verkeer met weinig data te herkennen. dat kan

wijzen op een ddos-aanval.

de analyzers zijn na verloop van tijd in staat om

volledig geautomatiseerd verdacht verkeer dat bij

proserve binnenkomst, door te routeren naar de

nationale Wasstraat. deze reinigt het verkeer en

stuurt het schone verkeer naar proserve terug.

Belang

Een enquête die de nbIp uitvoerde onder Internet

service providers onderstreept het belang van

goede anti-ddos-voorzieningen. Zo hadden dertig

organisaties gemiddeld bijna negen keer per jaar

te maken met een ddos-aanval. In 75 procent van

de aanvallen werd de hele infrastructuur geraakt

of negatief beïnvloed. Een gemiddelde aanval

was tussen de 100 mbit/sec. en 25 gbit/sec. groot

en in bijna veertig procent van de gevallen was

de Isp niet in staat om een aanval zelfstandig te

pareren. vandaar ook dat een ruime meerderheid

van de Isp’s zich zeer geïnteresseerd toonde in een

gezamenlijke voorziening tegen ddos-aanvallen.

Maart 2015

Valide verkeer

Tra�c Analyzer

DDoS Attack

Klant

NaWas

7MBps

10MBps

3GBpsProserve

DDoS + NaWas

nieuwland parc 155

3351 lj papendrecht

the netherlands

postbus 363

2950 aj alblasserdam

t +31 88 25 25 252

E sales@proserve.nl

proserve®

5. Voordelen van anti-DDoS-service van proserve

De anti-DDoS-service van proserve biedt klanten verschillende voordelen:

Het volledige core-netwerk van proserve wordt 24x7 gemonitord op verdacht verkeer.

bij het vermoeden van een aanval is meteen actie te ondernemen.

de beschikbaarheid van de servers en websites stijgt en de risico’s die horen bij het

exploiteren van websites of het gebruiken van diensten als software-as-a-service nemen af.

de dienstverlening aan klanten, partners en leveranciers blijft ook bij een aanval beschikbaar.

Klanten zijn een minder aantrekkelijk doelwit voor aanvallers.