Wat is een DDoS-aanval? De volledige gids

Een Distributed Denial of Service (DDoS) aanval is een kwaadaardige poging om een online dienst onbeschikbaar te maken door deze te overladen met verkeer vanuit meerdere bronnen. Deze gids leert je alles wat je moet weten over DDoS-aanvallen, inclusief hoe je je ertegen kunt verdedigen.

Wat is een DDoS-aanval?

Een DDoS-aanval is een illegale vorm van hacken waarbij een stroom van verkeer naar een server wordt gestuurd om te voorkomen dat mensen toegang krijgen tot gekoppelde online diensten en sites.

Er zijn veel redenen waarom mensen een DDoS-aanval zouden willen lanceren. Sommige mensen kunnen boze klanten of hacktivisten zijn die de servers van een bedrijf willen neerhalen om een statement te maken. Anderen doen het misschien voor de lol of uit protest tegen iets.

Hoewel DDoS-aanvallen kunnen worden gebruikt om van een bedrijf te stelen, zijn ze voornamelijk een financiële zorg. Bijvoorbeeld, de internetactiviteiten van een bedrijf worden verstoord of stopgezet door een concurrent om klanten te stelen. Een ander voorbeeld is afpersing, waarbij aanvallers een bedrijf aanvallen en hostware of ransomware op hun servers installeren voordat ze eisen dat ze een grote losgeld betalen om de schade ongedaan te maken.

Helaas zijn DDoS-aanvallen de afgelopen jaren frequenter en krachtiger geworden, aangezien het internet steeds essentiëler is geworden voor bedrijven en individuen. De toename van IoT-apparaten heeft hier ook een rol in gespeeld, aangezien veel van deze apparaten gemakkelijk te hacken zijn en kunnen worden gebruikt om botnets te creëren die aanvallen lanceren.

Hoe werkt een DDoS-aanval?

Een DDoS-aanval is wanneer veel gehackte computers worden gebruikt om verkeer naar een website of server te sturen, waardoor het moeilijk wordt voor de site of server om te functioneren. Dit kan worden gedaan door deze computers op afstand te besturen met behulp van een botnet, dat een verzameling bots is.

Na een gevestigd botnet kan de aanvaller op afstand commando's naar elke bot sturen om een aanval te richten. Dit kan het IP-adres van het doelwit overladen met verzoeken, resulterend in een denial-of-service aanval op routinetrafiek.

Omdat elke bot een echt apparaat op het internet is, kan het moeilijk zijn om te bepalen of abnormaal verkeer te verwachten is.

Hoe een DDoS-aanval te identificeren

Het lastigste aan een DDoS-aanval is dat je geen waarschuwingssignalen kunt zien. Meestal zullen prominente hackcollectieven waarschuwingen geven voordat ze een aanval lanceren, maar de meeste aanvallers zullen gewoon een aanval bestellen zonder kennisgeving.

Mensen vertellen je misschien niet altijd als ze de inhoud op je website niet leuk vinden. Ze zijn misschien bang om iets te zeggen. Maar als er iets mis is, zullen ze het je vertellen. Ze vertellen het je misschien niet meteen, maar later wel. Dat komt omdat mensen je website meestal niet controleren zoals jij dat doet. Jij denkt dat alles in orde is, maar soms is dat niet zo. Je moet voorzichtig zijn, want soms zijn er problemen die je niet meteen kunt zien.

Het vinden van de bron van een Distributed Denial of Service-aanval kan moeilijk zijn. De aanval kan vele uren doorgaan, en je bent misschien niet in staat om deze onmiddellijk te stoppen. Dit betekent dat je urenlang inkomsten en service verliest.

Een DDoS-aanval verminderen

De beste manier om je website te beschermen tegen een DDoS-aanval is om deze zo snel mogelijk te detecteren. Als je een van de volgende tekenen opmerkt, betekent dit dat je momenteel onder een DDoS-aanval staat:

• Langzaam laden 
• De server reageert met een 503
• De TTL verloopt
• Een overmatige hoeveelheid spamreacties
• Netwerk plotseling losgekoppeld
• Er zijn typische patronen in verkeer, zoals pieken op vreemde uren

De meest voorkomende soorten DDoS-aanvallen

DDoS-aanvallen worden door criminelen gebruikt om een verscheidenheid aan netwerkverbindingen aan te vallen. Het begrijpen van de basisprincipes van netwerken is essentieel om te begrijpen hoe verschillende soorten DDoS-aanvallen werken.

Een internetverbinding heeft verschillende afzonderlijke delen, ook wel lagen genoemd. Elke laag heeft een specifiek doel.

Het OSI-model is een grafische manier om weer te geven hoe verschillende delen van een netwerk zijn verbonden. Het huidige internet is echter gebaseerd op een eenvoudiger systeem genaamd TCP/IP. Het OSI-model wordt nog steeds gebruikt omdat het mensen helpt te zien en te begrijpen hoe netwerken werken en eventuele problemen op te lossen.

Er zijn drie soorten DDoS-aanvallen. Het eerste type is wanneer een apparaat wordt overladen met verkeer. Het tweede type is wanneer een netwerk wordt overladen met verkeer. Het derde type gebeurt wanneer een aanvaller meer dan één aanvalsvector gebruikt om hun doelwit te overweldigen.

Applicatielaag-aanvallen

De gebruikerservaring begint wanneer een persoon voor het eerst contact maakt met het internet. Applicatielaag DDoS-aanvallen stoppen software van werken zodat mensen geen inhoud kunnen zien. Webservers zijn vaak het doelwit van deze aanvallen, maar andere programma's zoals SIP-spraakdiensten en BGP kunnen ook worden aangevallen.

Het TCP/IP-protocol kan gegevens overbrengen tussen apparaten op een netwerk. Maar dit protocol is zeer kwetsbaar voor DDoS-aanvallen. Dit betekent dat iemand je apparaat kan aanvallen en het kan stoppen met werken door veel gegevens tegelijkertijd te verzenden. Hoewel sommige mensen hierdoor gefrustreerd kunnen raken, is het nog steeds essentieel om een veilig protocol voor online transacties te gebruiken. Het gebruik van encryptie voor communicatie beschermt beide partijen tegen onderschepping en afluisteren. De meeste DDoS-aanvallen gebruiken veel minder pakketten per seconde.

Deze aanval zou het gebruik van het specifieke protocol van de doeltoepassing vereisen, wat handshakes en naleving kan inhouden. Deze soorten aanvallen zullen voornamelijk worden aangedreven door IoT-gadgets die niet gemakkelijk kunnen worden vervalst.

Voorbeeld van applicatie DDoS-aanvallen

HTTP-flood

Dit is een server die verzoeken van veel verschillende computers accepteert. Deze methode, zoals het vernieuwen van een webpagina op veel pc's tegelijkertijd, stuurt veel HTTP-verzoeken naar de server, waardoor deze wordt overbelast. De aanval kan eenvoudig of complex zijn.

Eén URL kan worden geopend met behulp van hetzelfde bereik van aanvallende IP-adressen, verwijzende sites en gebruikersagenten. Dit maakt het gemakkelijker voor de aanvaller om de doel-URL te vinden en te gebruiken. Meer complexe varianten kunnen een verscheidenheid aan URL's targeten met behulp van verschillende verwijzers en gebruikersagenten om ze te openen.

Protocolaanvallen

Een Protocol Flood is een DDoS-aanval die veel verkeer naar een dienst of netwerk stuurt, waardoor het moeilijk te gebruiken is. Het exploiteren van kwetsbaarheden in de laag drie en laag vier protocolstack.

DDoS-aanvallen richten zich vaak op veel laagbeveiligde, onbeveiligde en onbeschermde protocollen. DDoS-aanvallen richten zich vaak op internetcommunicatiestandaarden. Dit komt omdat veel van deze systemen wereldwijd worden gebruikt en het moeilijk is om ze snel aan te passen. Bovendien, omdat veel protocollen inherente complexiteit hebben, zelfs nadat ze opnieuw zijn onderzocht om huidige bugs aan te pakken, ontstaan er nieuwe kwetsbaarheden die nieuwe soorten protocolaanvallen en netwerk aanvallen mogelijk maken.

Voorbeelden van protocol DDoS-aanvallen

(BGP) kaping

Cloudgebaseerde diensten bevatten veel waardevolle informatie die datadieven willen. Dit komt omdat ze nuttige informatie uit deze diensten kunnen halen. Als er een datalek is van een van deze providers, kan het erg gevaarlijk zijn. Iemand kan een DDoS-aanval lanceren tegen een bedrijf met behulp van protocollen hoger dan de cloud. BGP (Border Gateway Protocol) communiceert informatie over netwerkadresruimtes.

BGP-updates worden gebruikt om informatie tussen netwerken te delen. Als iemand een nep-update stuurt, kan verkeer naar een ander netwerk gaan. Dit kan middelen verbruiken en congestie veroorzaken. Upgraden naar een veiligere versie van BGP zou tijdrovend en kostbaar zijn omdat tienduizenden netwerkoperators wereldwijd het gebruiken.

SYN-flood

Een TCP SYN Flood is als een magazijnmedewerker die bestellingen ontvangt vanuit de voorkant van de winkel.

De chauffeur krijgt het pakket, wacht op verificatie en brengt het dan naar voren na ontvangst van een verzoek. De medewerker krijgt talloze leveringsverzoeken zonder bevestiging totdat ze niet meer in staat zijn om meer zendingen te dragen. Dit kan ervoor zorgen dat ze overweldigd raken.

In deze aanval stuurt een aanvaller veel pakketten naar een slachtoffer. De pakketten hebben valse adressen. Ze maken misbruik van de handshake die twee computers gebruiken om een netwerkverbinding te starten.

Het doel van een indringer is om zoveel mogelijk verbindingspogingen toe te staan voordat hij zijn middelen afsluit.

Volumetrische aanvallen

Deze aanval heeft tot doel alle internetbandbreedte tussen het doelwit en de rest van de wereld te gebruiken. De gegevens worden op een van de twee manieren naar een doelwit gestuurd: versterking of een andere methode om enorm verkeer te genereren, zoals verzoeken van een botnet.

Voorbeelden van volumetrische aanvallen

DNS-versterking

De aanvaller stuurt kleine queries naar een DNS-server, maar de server versterkt de query tot een veel grotere payload die de servers van het slachtoffer crasht. Dit type aanval staat bekend als een versterkings-DDoS-aanval.

DNS-versterking is een type netwerk aanval waarbij de aanvaller berichten naar het netwerk van een slachtoffer stuurt met behulp van DNS-servers. De pakketten kunnen worden versterkt, waardoor ze moeilijker te blokkeren zijn.

DNS-versterking is een aanval waarbij iemand een DNS-resolver misleidt om hen veel informatie te sturen. Dit gebeurt wanneer ze een nepverzoek naar de DNS-resolver sturen met een adres dat niet echt is. Omdat zoveel mensen dit doen en er zoveel DNS-resolvers zijn, kan het netwerk van het slachtoffer snel worden overweldigd.

Het verminderen van een DDoS-aanval

Wanneer een DDoS-aanval mensen treft, zijn ze vaak in de war. Veel beveiligingssystemen geven geen gedetailleerde informatie over het inkomende verkeer. Het enige dat zeker is over een DDoS is dat de online applicaties van je klanten ontoegankelijk zijn geweest vanwege een netwerkstoring. Het probleem wordt erger als een on-premises beveiligingsapparaat het doelnetwerk beschermt.

Het gebruik van oude software is niet veilig als je een computer met oude software hebt. Dit komt omdat er mogelijk beveiligingsrisico's zijn waarvan je je niet bewust bent. Je moet je computer regelmatig bijwerken met de nieuwste patches en software om dit te verhelpen. Dit kan echter moeilijk zijn omdat er voortdurend nieuwe kwetsbaarheden worden ontdekt. Hackers kunnen deze kwetsbaarheden gebruiken om je computer te hacken en je informatie te stelen.

Sommige aanvallers kunnen een DDoS gebruiken om hun doelen te bereiken. Er zijn echter verschillende obstakels. Beveiligingsoplossingen die on-premises zijn, kunnen een aanval niet voorkomen. Voordat de aanval een on-premises filterapparaat bereikt, kunnen volumetrische aanvallen de inkomende internetpijp verstoppen en ervoor zorgen dat de upstream ISP overweldigd wordt en al het inkomende verkeer naar een zwart gat leidt, waardoor het doelnetwerk van het internet wordt afgesneden. 

Hoe je je kunt verdedigen tegen DDoS-aanvallen

Er zijn veel manieren om je te verdedigen tegen DDoS-aanvallen. Het belangrijkste is om een plan klaar te hebben voordat je wordt aangevallen.

Bandbreedte verhogen

Ervoor zorgen dat je hostinginfrastructuur veel verkeer aankan, is een van de belangrijkste dingen die je kunt doen om jezelf te beschermen tegen DDoS-aanvallen. Dit betekent dat je moet plannen voor onverwachte verkeerspieken, die kunnen optreden wanneer iemand in je website hackt. Het verhogen van je bandbreedte betekent echter niet altijd dat je beschermd bent tegen DDoS-aanvallen.

Wanneer je je bandbreedte verhoogt, wordt het moeilijker voor aanvallers om in je website in te breken. Je kunt echter de beveiliging van je website verbeteren door verschillende maatregelen te gebruiken.

Stel server-level DDoS-mitigatie in

Sommige webhosts hebben DDoS-mitigatiesoftware op serverniveau. Deze functie is niet altijd beschikbaar, dus je moet je webhost vragen of ze het aanbieden. Als ze dat doen, ontdek dan of het een gratis service is of dat er kosten aan verbonden zijn. De beschikbaarheid van deze service hangt af van de provider en het hostingplan.

Ga over op cloud-gebaseerde hosting

Cloud-gebaseerde hosting is een type webhosting dat cloud computing gebruikt om zijn diensten te leveren. Cloud-gebaseerde hosting is schaalbaarder en kan betrouwbaarder zijn dan traditionele webhosting.

Een van de voordelen van cloud-gebaseerde hosting is dat het beter bestand kan zijn tegen DDoS-aanvallen. Dit komt omdat cloudproviders de middelen hebben om DDoS-aanvallen op te vangen en af te weren.

Snelheidslimiet instellen

Het beperken van het aantal verzoeken dat een server in een bepaalde tijd accepteert, kan helpen om denial-of-service-aanvallen te voorkomen. Snelheidslimieten kunnen helpen om webscrapers te stoppen met het stelen van informatie en brute force-logins te verminderen, maar het is misschien niet genoeg om een geavanceerde DDoS-aanval alleen aan te pakken.

Gebruik een content delivery network (CDN)

Een CDN is een netwerk van servers die inhoud aan gebruikers leveren op basis van hun geografische locatie. CDN's kunnen worden gebruikt om de prestaties van websites te verbeteren en ze te beschermen tegen DDoS-aanvallen.

Wanneer je een CDN gebruikt, wordt de statische inhoud van je website in de cache van de CDN-servers opgeslagen. Deze inhoud wordt vervolgens aan gebruikers geleverd vanaf de server die het dichtst bij hun locatie staat. Een CDN kan helpen om de prestaties van je website te verbeteren en deze te beschermen tegen DDoS-aanvallen.

Je kunt meerdere CDN's gebruiken om de statische inhoud van je website vanaf verschillende servers wereldwijd te leveren. Dit maakt je website betrouwbaarder en krachtiger. Bovendien kun je met een Multi-CDN-oplossing profiteren van een netwerk van PoP's die door verschillende CDN-leveranciers worden aangeboden.

Blackhole-routing

Een blackhole-route is een geweldige manier voor netwerkbeheerders om met bijna elk probleem om te gaan. Wanneer blackhole-filtering wordt gedaan zonder complexe regels, wordt een null-route gebruikt om zowel goed als slecht netwerkverkeer te weigeren.

Als een DDoS-aanval een server aanvalt, kan de internetprovider (ISP) proberen de aanval te stoppen door al het verkeer van de site naar een zwart gat om te leiden. Dit is niet ideaal omdat het de aanvaller geeft wat ze willen: het netwerk ontoegankelijk maken.

Gebruik een webapplicatie-firewall (WAF)

Een WAF is een type beveiligingssoftware dat helpt om websites te beschermen tegen aanvallen. WAF's inspecteren inkomend verkeer en blokkeren of leiden verzoeken om die kwaadaardige code bevatten.

Je kunt een WAF gebruiken om je website te beschermen tegen DDoS-aanvallen. Je moet er echter voor zorgen dat de WAF correct is geconfigureerd. Anders kan het legitiem verkeer blokkeren.

Monitor je netwerk op ongebruikelijke activiteit

Je moet je netwerk monitoren op ongebruikelijke activiteit. Dit omvat het monitoren van plotselinge toename van verkeer en vreemde verzoeken.

Als je ongebruikelijke activiteit opmerkt, moet je deze onmiddellijk onderzoeken. Het kan een teken zijn dat je website wordt aangevallen.

In een notendop

DDoS-aanvallen kunnen verwoestend zijn voor bedrijven. Ze kunnen downtime, verloren inkomsten en schade aan je reputatie veroorzaken.

Je kunt je website echter beschermen tegen DDoS-aanvallen door verschillende maatregelen te gebruiken, waaronder server-level DDoS-mitigatie, cloud-gebaseerde hosting, snelheidslimieten en het gebruik van een CDN. Je moet ook je netwerk monitoren op ongebruikelijke activiteit en verdachte activiteit onmiddellijk onderzoeken.

Door deze stappen te nemen, kun je ervoor zorgen dat je website beschikbaar en toegankelijk is voor je gebruikers, zelfs in het geval van een DDoS-aanval.

Veelgestelde vragen over DDoS-aanvallen