Hoe lang kunt u het zich permitteren dat uw website offline is?Een dag? Een uur? Tien minuten?
Het doel van een Denial-of-Service-aanval, kortweg: een DoS, is het onbruikbaar maken van een service, zoals een applicatie, website of een webwinkel. Bij een succesvolle DoS-aanval wordt het netwerk, systeem of applicatie overbelast. Hierdoor (zijn web)applicaties gedurende de aanval niet meer bereikbaar voor legitieme bezoekers. Een dergelijke aanval kan leiden tot enorme hinder voor uw klanten. En tot een aanzienlijke omzetderving. Bovendien kan een DoS-aanval ook nog eens heel goed gebruikt worden om de IT-afdeling bezig te houden tijdens de aanval. Via een achterdeurtje wordt ondertussen een digitale inbraak gepleegd.
Bij een DDoS-aanval maakt een groot aantal computers, vaak enkele duizenden vanaf veel verschillende locaties ter wereld, verbinding met één enkele server (of platform). De server is het doelwit. De daders proberen deze server traag te maken of in het ergste geval onbereikbaar. Een dergelijke aanval veroorzaakt men door een server te overspoelen met webverkeer. Om dit voor elkaar te krijgen zet men vaak botnets in. Botnets kunt u zien als een verzameling van softwarerobots, die automatisch en zelfstandig kunnen opereren. Meestal zijn dit geïnfecteerde computers met software die ongemerkt geïnstalleerd is door een computervirus of Trojaans paard.
Waarom zou u zich zorgen maken?
In 2016 werd een recordaantal DoS-aanvallen uitgevoerd. De voortekenen lijken op nog meer groei te wijzen. De aanvallen worden steeds groter, complexer én goedkoper. U kunt nu voor de prijs van een krant een uur lang een botnet huren. Een hacker kan tegenwoordig tegen geringe kosten uw website permanent uit de lucht halen. En hoe groter uw bedrijf is, des te groter de kans dat u wordt getroffen. Gezien deze trends is de vraag niet of u wordt aangevallen, maar wanneer.
Wat niet werkt
Om deze aanvallen tegen te gaan wordt vaak gebruik gemaakt van enkele standaardmethoden. Die zijn niet helemaal toereikend.
- Blackholing of sinkholing
Hierbij wordt u uit uw netwerk verwijderd, waardoor de rest van het netwerk tegen aanvallen wordt beschermd. Hierdoor krijgen aanvallers geen toegang tot uw netwerk. Maar uw website gaat nog steeds offline. Geen ideale oplossing.
- Firewalls
Firewalls zijn de standaardoplossing om uw netwerk tegen indringers te beschermen. Maar firewalls zijn bedoeld om kleine aantallen illegale entiteiten te weren. DoS-aanvallen zijn echter bestaande entiteiten die worden verstuurd in aantallen die groot genoeg zijn om een netwerk te overspoelen. Deze tegenstrijdigheid houdt in dat firewalls vaak hoofdzakelijk als bottleneck functioneren en uw website alleen maar trager maken.
- Intrusion Prevention Systems (IPS)
Een IPS voert een ‘deep packet inspection’ (DPI) uit die de databestanden van pakketten screent als ze uw netwerk binnenkomen. Maar als een IPS grote hoeveelheden verkeer wil analyseren, zoals bij een DoS-aanval, ontstaat een extra bottleneck. Bovendien laten IPS’en alleen verkeer door waarvan ze zeker weten dat het onschadelijk is. Dit kan bij grote druk op het IPS leiden tot fout-positieven. Daarbij komt nog dat ze handmatig moeten worden geüpdatet om te beschermen tegen de nieuwste beveiligingsproblemen. En als ze niet constant worden beheerd maken ze een systeem onnodig kwetsbaar.
Het probleem met de hierboven genoemde methoden is dat ze niet bedoeld zijn om DoS-aanvallen te stoppen. Ze zijn slechts ontwikkeld om afzonderlijke sessies te screenen. Ze zijn niet bedoeld voor situaties waarin tegelijkertijd miljoenen legitieme sessies worden gestart. Deze methoden zijn vervolgens als bescherming tegen DoS-aanvallen ingezet omdat er geen specifiek ontwikkelde bescherming beschikbaar was. Het gevolg is dat het aantal succesvolle DoS-aanvallen elk jaar toeneemt.
De oplossing? DoS-mitigatie
Bij DoS-mitigatie wordt uw verkeer omgeleid via een speciaal hiervoor gebouwd DoS-beschermingsplatform. Dit monitort en analyseert de webverkeerpatronen in realtime. Als een DoS-aanval wordt waargenomen, wordt het verkeer naar het dichtstbijzijnde ‘scrubbing center’ geleid. Hier wordt het ‘goede’ verkeer van het ‘slechte’ verkeer gescheiden. Vervolgens wordt het doorgestuurd om de gevolgen van de DoS-aanval tot een minimum te beperken. Het schone verkeer wordt vervolgens teruggeleid naar het netwerk of platform van de klant. Deze techniek is niet alleen zeer effectief, maar hierdoor is ook minder dure hardware nodig. U hoeft geen tijd te besteden aan het configureren van ingewikkelde instrumenten als routers en firewalls.
Bigger is better!
En met een provider die toegang heeft tot een groot netwerk verspreid over meerdere belangrijke netwerkknooppunten, waarmee meer verkeer verwerkt kan worden, kunt u beschermd worden tegen veel grotere DoS-aanvallen dan uw eigen netwerk en apparatuur zelf ooit had aangekund.
Wiebe Nauta, Claranet
