Beheer

Security
DDos

Zo bescherm je je tegen een DDoS-aanval

Verdediging tegen DDoS-aanvallen is nooit waterdicht. Maar deze maatregelen helpen op zijn minst voor een deel.

30 januari 2018

Verdediging tegen DDoS-aanvallen is nooit waterdicht. Maar deze maatregelen helpen op zijn minst voor een deel.

De DDoS-aanvallen die Nederlandse organisaties deze week teisteren zijn uiterst zwaar. Zwaarder dan ooit, hoewel niemand onthuld heeft hóe zwaar ze zijn. Kun je je hier nog tegen verdedigen? Moeilijk, zeker tegen de zeer grote aanvallen. Toch zijn onderstaande maatregelen bepaald niet nutteloos. Het houdt in elk geval een deel van de DDoS-aanvallen tegen.

  1. Gebruik een oplossing voor DDoS-mitigatie
    Die herkent verdacht verkeer dat op een DDoS-aanval wijst en stopt dit verkeer voordat het bij het netwerk komt. De normale verdediging tegen cyberaanvallen volstaat niet. Firewalls, intrusion prevention systems en load balancers kunnen de aanvallen niet blokkeren. De aanvallen moeten ‘verzacht’ en afgewend worden voordat ze bij die apparaten komen want die zijn hiervoor zeer kwetsbaar. De methode om je te verdedigen is de aanval op tijd afslaan – dus voordat die het netwerk bereikt. Het verkeer moet omgeleid worden. Een organisatie kan een eigen DDoS-mitigatieoplossing gebruiken of die van een externe aanbieder. Diverse dienstverleners en de NaWas (Nationale Wasstraat) bieden die service. Hierbij wordt de enorme hoeveelheid van verkeer waaruit de DDoS-aanval bestaat, omgeleid en gefilterd. Daarna krijgen de legitieme dataverzoeken van echte klanten toegang.
     
  2. Gebruik firewalls en routers en load balancers
    Firewalls en routers zijn hard nodig om bekend of herkend kwaadaardig danwel verdacht verkeer tegen te houden. Maar daarnaast zijn load balancers nodig. Die verdelen het werk tussen verschillende servers in een netwerk en staan standaard tussen de edge routers en end servers. Ze doen dat om te voorkomen dat servers  overladen worden. Bij een DDoS-aanval kunnen ze het verkeer dat daarvan afkomstig is, routeren naar andere servers zodat het aanvalsoppervlak verkleind wordt.
     
  3. DDoS-aanvallen op de applicatielaag zijn vaak kleiner en meer gericht
    Omdat ze ontworpen zijn om zo veel mogelijk buiten zicht te blijven is bescherming nodig ter plekke of in het datacenter waardoor deep-packet inspectie mogelijk is en alles op de applicatielaag zichtbaar is. Dat vereist dus een tool voor webbescherming die DDos-aanvallen op de applicatielaag aan kan. Een belangrijke functie van zo’n tool moet zijn dat je hem zelf kunt configureren.. Mitigatie op basis van het netwerk volstaan niet meer.Er kan ook redundantie toegevoegd worden aan een applicatie door deze te laten draaien bij verschillende publieke cloudproviders.
     
  4. Werk samen
    Door informatie over aanvallen en de eigen verdediging met andere mogelijk slachtoffers te delen, kunnen aanvallen eerder herkend worden en beter gepareerd. Vooral de bankenindustrie loopt hierin voorop. Men deelt informatie over aanvallen en de eigen verdediging en werkt onderling verder samen met de telecomproviders en hun service providers.
2
Reacties
Tanja de Vrede 30 januari 2018 15:17

Dank u! Ik zal het verbeteren.

Johan 30 januari 2018 13:31

"Ze doen dat om te voorkomen dat servers niet overladen worden."

Voorkomen dat iets niet gebeurt heeft tot gewenst resultaat dat het dus wel gebeurt, en dat is vast niet de bedoeling hier...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.