DDoS-combinatieaanval levert verdediging meer werk op

Onlangs signaleerde Netscout een toename in het gebruik van kwetsbare D/TLS-servers als een manier om een DDoS-aanval flink te versterken. Die trend herkent Akamai-directeur Security Technology and Strategy Richard Meeus, net als 'DDoS-hoogleraar' Aiko Pras, hoewel beiden geen cijfers hebben daarover.

D/TLS-servers zijn bedoeld voor het beveiligen van UDP-verkeer over internet, het snellere maar minder betrouwbare broertje van TCP dat voor het meeste internetverkeer wordt gebruikt. Door pakketjes met non-informatie af te vuren op zo'n - slecht geconfigureerde - server, geeft deze een waarschuwing in de vorm van antwoord dat vaak veel langer is dan de initiële pakketten. Door het retouradres te veranderen in dat van een slachtoffer, krijgt deze een lawine aan data over zich heen.

Versterking flink opgekrikt

Het gebruik van D/TLS-servers is opeens populair aan het worden omdat de aanvallers een manier hebben gevonden om de kracht van de versterking te verhogen. "Voorheen was de versterkingsfactor relatief laag, een factor 4 tot 5. Recent hebben ze die met een factor 10 weten te verhogen tot boven de 50", zegt Meeus. Daardoor wordt het veel interessanter gereedschap voor de georganiseerde aanvallers. Maar deze versterkingsfactor is echter nog steeds niets vergeleken met die te bereiken is met memcached, benadrukt Meeus.

Memcached is een veelgebruikte manier om reactietijden van databases en opslageenheden te verbeteren. Maar wanneer een server niet beschermd is en het UDP-protocol standaard aan staat, kan de data naar iedereen gestuurd worden die een query doet, dus ook naar retouradressen die veranderd zijn in die van een slachtoffer. Met deze methode is in 2018 een versterking met wel een factor 500.000 bereikt, laat Akamai in documentatie (pdf) zien. "Het is continu een kat- en muisspel, aanvallers bedenken steeds iets nieuws en de beveiliging loopt per definitie achter", zegt Pras.

Combineren maakt afweer tijdrovend

Een ander probleem is dat deze criminele dienstverleners - ook wel booters of stressers genoemd - steeds vaker gebruik maken van gecombineerde aanvalsmethoden. Dat maakt het niet per se moeilijker, vindt Pras, maar je moet steeds weer iets anders doen. Dat concludeert ook Meeuw: "Een aanval met een enkele vector is makkelijker te identificeren en te isoleren, terwijl aanvallen met meerdere technieken betekent dat bedrijven veel te lang bezig zijn met alle verschillende types na te jagen, te identificeren, te blokkeren en te zorgen dat er geen vals positieven ontstaan." De grootste aanval die Akamai moest afweren, maakte gebruik van 9 verschillende vectoren. Samen leverde het een datastroom op van 1,44 Tbps.

Juridische voetangels vertragen verweer

Door hun ervaring zijn DDoS-wasstraten zoals die van Akamai en bijvoorbeeld de NaWas van NBIP in staat sneller de gebruikte scenario's te herkennen en af te weren dan individuele organisaties. Pras werkt al enige tijd samen met SIDN om criminele organisaties beter bij de wortel te kunnen bestrijden. Door aanvalsdata van slachtoffers te verzamelen in een clearinghouse kunnen aanvalsprofielen worden opgesteld en gedeeld. "Dat is technisch niet eens zo lastig, maar juristen hebben veel tijd nodig om uitwisseling van aanvalsdata met anderen mogelijk te maken."