Beheer

Security
DDoS

Nieuwe DDoS-strategie belooft meer ontwrichting

Methode nu opgenomen in 'DDoS-dienstverlening'.

© Shutterstock BeeBright
18 maart 2021

Methode nu opgenomen in 'DDoS-dienstverlening'.

De 'DDoS as a Service'-aanbieders hebben een nieuwe methode aan hun aanbod toegevoegd die gebruik maakt van een misconfiguratie van een veelgebruikt internetprotocol. Aanvallen kunnen zo in combinatie met andere methoden wel oplopen tot een volume van 207 Gbps.

De nieuwe criminele 'dienstverlening' maakt gebruik van de Datagram Transport Layer Security, afgekort tot D/TLS. IT-beveiliger Netscout heeft 4300 kwetsbare D/TLS-servers ontdekt die misbruikt kunnen worden om DDoS-aanvallen mee op te zetten. Een D/TLS-server kan worden ingezet om de kracht van een aanval te versterken, in dit geval met een factor 37.

Tot nog toe was het misbruiken van de kwetsbare D/TLS-servers voorbehouden aan geavanceerde aanvallers. Nu blijkt volgens Netscout de methode ook te zijn opgenomen in het aanbod van de zogeheten 'booter and stresser services'. Die maken het voor kwaadwillenden mogelijk de hele infrastructuur, nodig om een DDoS-aanval op te zetten, met een paar klikken in te richten voor een actie.

Het D/TLS-protocol beschermt UDP data pakketjes op een vergelijkbare manier als het Transport Layer Security (TLS) dat doet voor het Transmission Control Protocol (TCP) voor het meeste mail- en webverkeer. UDP verschilt van het vaker gebruikte TCP in dat het geen controle op pakketverlies heeft. Daardoor is het onbetrouwbaarder maar werkt wel veel sneller. UDP wordt vaak ingezet voor webdiensten waarbij het verlies van enkele datapakketten niet zo'n probleem vormt, maar vertraging wel. Denk bijvoorbeeld aan videobellen, internettelefonie en snelle online games.

Spoofing niet geblokkeerd

De 4300 kwetsbare D/TLS-servers zijn het gevolg van het verkeerd configureren van de server of het gebruik van verouderde software die geen bescherming biedt tegen spoofing, leggen Netscout-onderzoekers uit bij Ars Technica. Het idee van het gebruik van een versterker in een aanval is namelijk dat iemand die een DDoS-aanval wil opzetten verzoeken stuurt van een redelijk kleine omvang naar een intermediaire server. Die geeft een respons die vele malen meer data bevat dan het originele verzoek. Door echter de afzender in het verzoek te veranderen in het IP-adres van het slachtoffer van de aanval (spoofing) stuurt de intermediare server al deze informatie daar naar toe. Deze aanvalsmethode kent inmiddels vele vormen. Zo kunnen kwetsbare Network Time Protocol-servers een aanval wel met een factor 58 versterken en verkeerd geconfigueerde DNS-servers leveren een versterking van een factor 50 op.

Netscout ziet het gebruik van de D/TLS-serverroute toenemen. In de krachtigste aanval werd een datastroom van 45 Gbps gemeten. Die werd echter door de criminele dienstverlener gecombineerd met andere aanvalsmethoden zodat een totaal volume van 207 Gbps ontstond. Door verschillende aanvalsroutes te combineren raakt het slachtoffer niet alleen bedolven onder het vele dataverkeer dat op de server wordt afgevuurd, maar door de diversiteit van het verkeer is het ook lastiger om de aanval af te wenden.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.