Overslaan en naar de inhoud gaan

Nieuwe DDoS-strategie belooft meer ontwrichting

De 'DDoS-as-a-Service'-aanbieders hebben een nieuwe methode aan hun aanbod toegevoegd die gebruik maakt van een misconfiguratie van een veelgebruikt internetprotocol. Aanvallen kunnen zo in combinatie met andere methoden wel oplopen tot een volume van 207 Gbps.
DDoS
© Shutterstock
Shutterstock

De nieuwe criminele 'dienstverlening' maakt gebruik van de Datagram Transport Layer Security, afgekort tot D/TLS. IT-beveiliger Netscout heeft 4.300 kwetsbare D/TLS-servers ontdekt die misbruikt kunnen worden om DDoS-aanvallen mee op te zetten. Een D/TLS-server kan worden ingezet om de kracht van een aanval te versterken, in dit geval met een factor 37.

Tot nog toe was het misbruiken van de kwetsbare D/TLS-servers voorbehouden aan geavanceerde aanvallers. Nu blijkt volgens Netscout de methode ook te zijn opgenomen in het aanbod van zogeheten 'booter and stresser services'. Die maken het voor kwaadwillenden mogelijk de hele infrastructuur die nodig is om een DDoS-aanval op te zetten met een paar klikken in te richten voor een actie.

Het D/TLS-protocol beschermt UDP data pakketjes op een vergelijkbare manier als het Transport Layer Security (TLS) dat doet voor het Transmission Control Protocol (TCP) voor het meeste mail- en webverkeer. UDP verschilt van het vaker gebruikte TCP in dat het geen controle op pakketverlies heeft. Daardoor is het onbetrouwbaarder maar werkt wel veel sneller. UDP wordt vaak ingezet voor webdiensten waarbij het verlies van enkele datapakketten niet zo'n probleem vormt, maar vertraging wel. Denk bijvoorbeeld aan videobellen, internettelefonie en snelle online games.

Spoofing niet geblokkeerd

De 4.300 kwetsbare D/TLS-servers zijn het gevolg van het verkeerd configureren van de server of het gebruik van verouderde software die geen bescherming biedt tegen spoofing, leggen Netscout-onderzoekers uit bij Ars Technica. Het idee van het gebruik van een versterker in een aanval is namelijk dat iemand die een DDoS-aanval wil opzetten verzoeken stuurt van een redelijk kleine omvang naar een intermediaire server. Die geeft een respons die vele malen meer data bevat dan het originele verzoek. Door de afzender in het verzoek te veranderen in het IP-adres van het slachtoffer van de aanval (spoofing) stuurt de intermediare server al deze informatie daar naar toe. Deze aanvalsmethode kent inmiddels vele vormen. Zo kunnen kwetsbare Network Time Protocol-servers een aanval wel met een factor 58 versterken en verkeerd geconfigueerde DNS-servers leveren een versterking van een factor 50 op.

Netscout ziet het gebruik van de D/TLS-serverroute toenemen. In de krachtigste aanval werd een datastroom van 45 Gbps gemeten. Die werd echter door de criminele dienstverlener gecombineerd met andere aanvalsmethoden zodat een totaal volume van 207 Gbps ontstond. Door verschillende aanvalsroutes te combineren raakt het slachtoffer niet alleen bedolven onder het vele dataverkeer dat op de server wordt afgevuurd, maar door de diversiteit van het verkeer is het ook lastiger om de aanval af te wenden.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in