De afgelopen maanden zijn verschillende organisaties het slachtoffer geweest van een DDoS-aanval. Kranten, overheden en banken waren alle op enig moment de dupe. DDoS-aanvallen hebben tot doel de beschikbaarheid van een (web)dienst te verstoren. Dit is mogelijk door grote hoeveelheden verkeer naar deze dienst te leiden. Uiteindelijk leidt een DDoS-aanval tot bottlenecks in verschillende onderdelen van een infrastructuur en valt de website uit.
Een DDOS-aanval volledig uitsluiten is lastig. Maar het is wel mogelijk om het aanvallers moeilijk te maken. Het is net als bij een fysieke inbraak. Hoe beter de sloten en andere maatregelen, hoe kleiner de kans dat een inbreker bij je binnenkomt. Hieronder dertien tips om de negatieve gevolgen van een DDoS-aanval zoveel mogelijk te beperken.
- Spreid content en functies van de online dienst zo mogelijk over verschillende componenten, providers en/of geografisch gescheiden locaties. Er is vooral winst te behalen in het opdelen van dynamische en statische content. Breng statische content onder bij gespecialiseerde providers om het publieke deel van websites beschikbaar te houden, zelfs bij een DDoS-aanval. Houd de dynamische content in eigen huis.
- Maak gebruik van een firewall met voldoende capaciteit om een DDoS-aanval te herkennen en af te slaan, en combineer die eventueel met een DDoS-filter en een Intrusion Detection System.
- Splits de online dienstverlening en de ondersteunende/onderliggende infrastructuur.
- Sta op de perimeter alleen inkomend verkeer toe op protocollen die akkoord zijn.
- Gebruik reverse-proxy-servers bij voorkeur in een clusteromgeving op basis van Web Cache Communication Protocol V2.
- Plaats de ‘proxy-cache’-omgevingen altijd zo dicht mogelijk bij de webserveromgeving (in ieder geval achter load balancers en stateful apparatuur die in het netwerk aanwezig zijn).
- Zet Intelligent DoS Mitigation System (IDMS) en Remotely-Triggered Black Hole (RTBH) in voordat het verkeer het datacenter binnenkomt om overbelasting van web-, DNS- en mailservers te voorkomen.
- Zorg ervoor dat authoratieve DNS-servers en recursive/caching DNS-servers logisch gescheiden zijn door ze in aparte, afgeschermde netwerken te plaatsen.
- Zorg voor voldoende DNS-servercapaciteit. Verlaag de TTL van records. Hierdoor kan services(domein)migratie naar een ander IP-adres sneller plaatsvinden.
- Routeer aanvallen op uw online dienst naar een dood punt via de zogenaamde ’NULL-routering’.
- Scheid de aangevallen online dienst af van de rest van het netwerk.
- Maak gebruik van antispoofing-mechanismen.
- Installeer de laatste patches. Patching biedt weliswaar geen echte oplossing tegen DDoS-aanvallen, maar vermindert wel de kans op negatieve gevolgen.
Imre Kaposi is Consultant Virtualization bij Bull Nederland. Een meer uitgebreid rapport kan hier gedownload worden.
