Beheer

Security
DDos-aanval

Geef DDoS-aanval geen kans

Tips en maatregelen om DDos-aanvallen in de kiem te smoren.

© Pixabay CC0 Public Domain
23 augustus 2013

De dreiging van DDoS-aanvallen leek tot voor kort voor veel organisaties ver van hun bed. In 2012 had ook nog geen kwart van de organisaties bescherming hiertegen geïmplementeerd, volgens marktonderzoeker Forrester, en de meerderheid had er ook geen plannen voor. Dat was echter vóór de grote aanvalsgolf van dit voorjaar. Cijfers zijn er nog niet voorhanden, maar de interesse in bescherming is sindsdien ongetwijfeld gegroeid. Want een paar flinke aanvallen die publiekelijk bekend worden, doen de omzet van IT-beveiligers altijd groeien.

DDoS-aanvallen zijn er in tientallen soorten, maar in de meeste gevallen gaat het erom dat aanvallers met behulp van botnets netwerken bombarderen met informatieverzoeken, zogeheten requests. Het doel daarbij is bepaalde websites, webdiensten of servers zo te overladen dat ze legitieme requests niet meer beantwoorden en ontwricht raken. De aanvallen richten zich ook steeds meer op webapplicaties, ofwel laag 7 in het OSI-model. Hierbij sturen de aanvallers gerichte commando’s naar applicaties om de CPU en het geheugen te overbelasten waardoor de applicatie niet meer beschikbaar is. Gartner verwacht dat een kwart van de DDoS-aanvallen dit jaar gericht zullen zijn op de applicatielaag.

Internetbandbreedte

Wie zich tegen DDoS-aanvallen wil beschermen moet in elk geval de internetbandbreedte in de gaten houden, stelt Forrester. Die moet zo veel mogelijk in stand gehouden worden om de website, webdienst of applicatie in de lucht te houden. Daar draait de DDoS-aanval immers meestal om. Een scrubbing service is dan een goede oplossing. Dit zijn zogenaamde wasstraten die volumegebonden aanvallen filteren. Het verkeer wordt via deze scrubbingcentra omgeleid als er een aanval is. Maar voordat tot scrubbing overgegaan kan worden moet eerst duidelijk zijn dat er een vloed van verdacht verkeer aan komt. Dat kan een gebruikersorganisatie zelf doen met behulp van gespecialiseerde apparaten en detectiesystemen. Forrester pleit voor een bescherming in twee fasen. Dat betekent: ter plekke een verdedigingsmechanisme voor de korte termijn. En een dienst van een derde partij voor de langetermijnbescherming.

IPS

Die lokale verdedigingstechnologie kan het beste bij de gateway voor het internet of webfarm staan, vindt Forrester. Dat kan de website of het netwerk in de lucht houden tijdens de aanval. Een vorm van DDoS-bescherming is al ingebouwd in veel netwerkbeveiligingsplatforms zoals firewalls en intrusion protection systems (IPS). Dit werkt alleen bij kleine en korte aanvallen. Want hiermee heb je alleen enige controle over de verbindingen vanaf de router die aan de rand van het netwerk staat. Een firewall die voor het netwerk is geplaatst kan zo ingesteld worden dat de toegang tot webservers beperkt wordt tot enkele poorten. Ook zijn er gespecialiseerde anti-DDoS-apparaten die het verkeer dat richting de webservers gaat inspecteren. Dat kan onder meer aan de hand van bekende signatures van aanvallen.

Upstreamdiensten

Maar dat volstaat allemaal niet bij echt grote aanvallen. Want zowel een firewall als een IPS kan een echte grote DDoS-aanval niet tegenhouden. Beide kunnen er niet voor zorgen dat het netwerk beschikbaar blijft, wat juist de bedoeling is bij het bestrijden van DDoS-aanvallen. Bovendien zijn IPS-apparaten en firewalls zelf vaak doelwitten van DDoS-aanvallen. Daarom is hulp van gespecialiseerde dienstverleners vereist. Ook al omdat een gebruikersorganisatie meestal zelf geen toegang tot het verkeer ‘upstream’ de eigen verbinding heeft.

Deze upstreamdiensten kunnen de cloudaanvallen ook tegenhouden. Daarbij zitten ze veel dichter op de aanvaller. Belangrijk is bovendien dat ze preventief werken in plaats van reactief. ­Forrester: “Deze dienstverleners overzien een veel groter deel van het internet waardoor ze mogelijke aanvallen eerder zien aankomen. Daarnaast hebben ze vaak gespecialiseerd personeel met veel kennis van DDoS-aanvalstechnologieën. Een beveilgingsgeneralist lukt dat niet.”

Zwaar geschut: vier upstreamdiensten

  • CheckPoint DDoS-protector

Een voorbeeld van een apparaat dat zich geheel richt op DDoS-bescherming is DDoS-protector van CheckPoint. Deze appliance wordt bij de netwerken geplaatst die beschermd moeten worden. Hij scant het verkeer op uitzonderlijk gedrag. Eerst maakt het een blauwdruk van het normale verkeer. Dat is een automatisch zelflerend proces. Vervolgens controleert het apparaat het verkeer en herkent dan niet-standaard gedrag, als bijvoorbeeld pieken. Die worden gecontroleerd op volume en opbouw. Zo laten bijvoorbeeld TCP-instellingen die steeds terugkomen de alarmbellen afgaan. Vervolgens wordt gecontroleerd of dit legitiem verkeer is door middel van een check op http-niveau. Is sprake van een browsersessie met een mens erachter of is hier een tool bezig? Door het verkeer te voorzien van een code en het te redirecten naar dezelfde webpagina wordt dat duidelijk. Als sprake is van een tool wordt de sessie op een blacklist gezet.

Deze oplossing richt zich op alle soorten DDoS-aanvallen. Het is bedoeld voor de wat grotere bedrijven en daarboven. Voor een adviesprijs van 19.000 dollar is een appliance verkrijgbaar die een performance van 500 Mbit per seconde haalt. Dat volstaat voor een gemiddelde bandbreedte. Er zijn ook zwaardere appliances, tot 12 Gbit. In één, hooguit twee dagen is DDoS-protector geïnstalleerd.

 

  • Barracuda Web Application Firewall

De Web Application Firewall van Barracuda richt zich op het verkleinen van de impact van aanvallen door botnets op de ­netwerk- en applicatielaag.

De firewall scant al het inkomende internetverkeer en controleert het op basis van geografie, IP-adressen en type clients. Met behulp van de IP Reputation-tool kan de firewall botnets herkennen en onderscheiden van menselijke gebruikers met onder meer Captcha-testen. Verdacht verkeer kan dan vervolgens worden geblokkeerd.

 

Ook firewalls van andere merken zoals Dell Sonicwall, Fortinet en Palo Alton Networks bevatten DDoS-verdedigingsfunctionaliteit.

 

  • HP TippingPoint NextGen IPS

De IPS van HP staat binnen het netwerk en houdt ongewenst verkeer tegen. Gewenst verkeer mag natuurlijk door. Daarvoor worden alle packets geïnspecteerd op de OSI-lagen 2 tot en met 7. De IPS maakt gebruik van duizenden filters. De diverse IPS-modellen van HP voorzien in een inspectiecapaciteit variërend van 20 Mbps tot 20 Gbps. Belangrijk onderdeel is de zogeheten Digital Vaccine Service. Die garandeert een op zijn minst wekelijkse update van de filters voor de IPS, gebaseerd op de nieuwste informatie over vulnerabilities, lekken, exploits en namaakapps. De updates kunnen indien gewenst volautomatisch op de IPS worden gedownload en geactiveerd zodat de gebruiker geen tijd verliest aan update-procedures en -beheer.

Om DDoS-aanvallen af te slaan of op zijn minst te doorstaan, heeft het IPS filters die communicatiekanalen detecteren en blokkeren. Zo wordt het command&control-netwerk van het DDoS-leger hevig verstoord. Ook zijn er filters die packet floods vinden en uiteen rafelen zodat de aanval veel minder impact heeft op de bandbreedte. De beschikbare inspectiecapaciteit volstaat voor het gros van de DDoS-aanvallen. Volgens onderzoek van Neustrar onder Britse bedrijven is in 70 procent van de DDoS-aanvallen sprake van minder dan 1 Gbps dataverkeer.

 

  • Prolexic Scrubbing Centers

De oplossingen van Prolexic zijn vooral bestemd voor zeer grote organisaties en zijn zowel preventief als reactief. De SOC’s (security operation centers) staan verspreid over de wereld waar het netwerk 24x7, 365 dagen per jaar gemonitord wordt. Gecombineerd met vier zogeheten network traffic scrubbing centers in vrijwel alle werelddelen vormen zij de beschermende oplossing van Prolexic.

De vier scrubbing centers in Londen, Hong Kong, Californië en Virginia vormen een gedistribueerd netwerk. Daarbij beschikt het over een zeer riante bandbreedte van ruim 800 Gbps. Dat is deels te danken aan samenwerking met diverse grote telecomproviders. Verdacht verkeer wordt naar het dichtstbijzijnde scrubbing center geleid, opgeschoond en vervolgens teruggestuurd naar de klant. Grote bandbreedte is cruciaal bij het verweer tegen DDoS-aanvallen, juist omdat die er op gericht zijn netwerken te overstromen met verzoeken. Bovendien moet Prolexic in staat zijn diverse aanvallen tegelijk te stoppen omdat het meer dan één klant heeft.

Het daadwerkelijke scrubben wordt gedaan met behulp van vele, geavanceerde tools. “Maar er blijven altijd mensen nodig”, zegt Tom de Jongh van Prolexic. Want die moeten uiteindelijk bepalen of verdacht verkeer inderdaad wijst op een DDoS-aanval en welke methodes gebruikt moeten worden om de aanval te stoppen. “Dat kunnen tools niet zo goed als mensen.” Wanneer de DDoS-aanval te groot of te complex is voor de infrastructuur van de klant wordt uiteindelijk het netwerkverkeer van de bedreigde klant omgeleid via het netwerk van Prolexic.

Akamai smoort aanvallen in haar eigen netwerk

Akamai is groot geworden met een service die het internetverkeer van zijn klanten sneller laat verlopen via een eigen 132.000 servers tellend ‘eigen internet’. Akamai is in staat voor de afhandeling van internetverkeer de snelste route te kiezen, rekening houdend met opstoppingen en gebruikmakend van die eigen servers. Performance is alles voor de klanten van Akamai. En een DDoS-aanval kan daar korte metten mee maken. Om die reden heeft Akamai een dienst ontwikkeld om DDoS-aanvallen tegen te gaan.

Beveiliging is niet ‘core business’ van Akamai. Maar het is al wel vanaf 2000 een onderdeel van de acceleratiediensten en sinds twee jaar is het een zelfstandige dienst. Daarvan wordt een zeer sterke groei verwacht. Nu nog heeft het bedrijf daarin een omzet van 22 miljoen dollar, terwijl de totale omzet 1,3 miljard bedroeg over 2012. In 2020 hoopt Akamai een omzet te behalen van 5 miljard. En beveiliging wordt geacht daar fors aan bij te dragen. “Zo ongeveer wat we nu met acceleratie doen”, zegt CEO Tom Leighton.

De vele DDoS-aanvallen van de afgelopen maanden kunnen alleen maar bijdragen aan het realiseren van die doelstelling, want Kona Security, de beveiligingsoplossing, lijkt een krachtig wapen tegen zelfs zeer grote DDoS-aanvallen. Leighton legt uit: “De traditionele bescherming van websites gaat zo: je koopt een apparaat en plaatst dat in een datacenter. Een firewall bijvoorbeeld, of een IPS, of een IDS. Bij een datacenter is dat niet genoeg. Je hebt niet genoeg kracht om te filteren. Je hebt een schone pijplijn nodig van de telecomaanbieder om de aanval eruit te filteren. Maar dat werkt met die apparaten alleen op laag 3 en alleen bij een paar aanvallen tegelijk want je hebt niet genoeg bandbreedte. Bovendien is het reactief. Dat geldt ook voor scrubbing. Dat beperkt ook je performance.”

Akamais oplossing werkt anders. “Wij ondervangen het verkeer al op onze servers. We hebben heel veel capaciteit. 10 Tbps is voor ons heel normaal. Wij verwerken de requests al, dus zitten we al diep in de packages. We gebruiken het DNS-systeem. Na een request wordt het adres omgezet naar Akamai en krijgt de aanvrager een IP-adres in een server die dicht in de buurt van de aanvrager is – en ver van onze klant. De browser stuurt het request dan in feite naar ons toe. Wij krijgen alle informatie. Alles is dan lokaal af te handelen, wat heel veel performance scheelt.”

Kona Site Defender scant eerst of er verdachte requests binnenkomen die erop uit zijn zo veel mogelijk bandbreedte te consumeren. Daarbij hanteren we verschillende niveaus van ‘verdachtheid’. Als aan bepaalde voorwaarden is voldaan, wordt het request als verdacht beschouwd, zo verdacht dat het geblokkeerd wordt of zelfs dat het aangeduid wordt als een botnet. Dat is het hoogste gevarenniveau.”

Grote aanvallen kunnen zo in de kiem worden gesmoord. Leighton: “De gedistribueerde factor is het kritische component hierbij. We doen dit al jaren, maar niet commercieel. Want heel veel klanten maakten zich hier gewoon geen zorgen over. Pas met de grote aanvallen van de laatste jaren is dat aan het veranderen.”

De beveiligingsoplossing is rond 2000 ontwikkeld op initiatief van de Amerikaanse overheid. Leighton: “Zij zag wat wij deden en begreep ook hoe onze oplossing werkt. Zij hebben toen zelf de link gelegd naar beveiliging. Het is een heel natuurlijke pasvorm.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!