DDoS-aanvallen: hoe bedreigen ze je website en wat doe je eraan?
‘DDoS’. Het klinkt nogal apocalyptisch, alsof de term rechtstreeks uit The Matrix komt. Maar de dreiging van een DDoS-aanval loert altijd om de hoek als je een website beheert. Dat blijkt uit onderzoekscijfers van Kaspersky. Het aantal DDoS-aanvallen is, in lijn met de andere cyberbedreigingen zoals ransomware, door onze toegenomen online activiteit al jarenlang in stijgende lijn aan het gaan. Sinds het tweede kwartaal van 2020 ligt het aantal geregistreerde DDoS-aanvallen per kwartaal bijna dubbel zo hoog dan voor de pandemie.
Maar wat is een DDoS-aanval nu precies? En hoe bescherm je jezelf ertegen als websitebeheerder?
DoS en DDoS
Allereerst is het belangrijk om het verschil tussen Dos en DDoS te kennen. DoS staat voor Denial of Service. Bij een DoS-aanval zal een bepaald computersysteem zich richten op een ander systeem met als doel om het aangevallen systeem te beletten zijn taak uit te voeren. Vaak gaat het dan om activisten of hackers die servers, toestellen, diensten, netwerken of applicaties viseren. Het gaat hier dus om één systeem dat de aanval uitvoert, in tegenstelling tot DDoS (Distributed Denial of Service) waarbij meerdere systemen zich richten op een bepaald slachtoffer.
File op de snelweg
Hoe gaat zo’n aanval precies in zijn werk? Concreet gaat het erom dat er zoveel requests naar een systeem worden gestuurd zodat de server de requests niet langer de baas kan en bezwijkt onder de druk. Bij een gemiddelde DDoS-aanval gaat het om 1 Gb data per seconde, wat meer dan genoeg is om de gemiddelde website 30 minuten tot een paar uur te verstoren. De langste DDoS-aanval ooit geregistreerd heeft echter een website eens twee weken weten plat te leggen.
Vergelijk het gerust met een autosnelweg waar het zodanig druk wordt dat alles vertraagt en uiteindelijk tot stilstand komt. Zo kan een webserver zodanig veel requests krijgen om een bepaalde pagina te tonen dat alle resources van de webserver (bandbreedte, CPU en RAM) naar de valse requests gaan. Echte bezoekers die vervolgens ook een pagina willen opvragen, krijgen te maken met een vertraagde server of een server die helemaal niet meer reageert. Hetzelfde kan gebeuren bij een database die een kolossaal aantal queries te verwerken krijgt.
Bij een DDoS-aanval krijgt een systeem zodanig veel requests te verwerken dat hij eronder bezwijkt.
Er kan vervolgens nog een onderscheid gemaakt worden tussen een volumetrische en een applicatieve DDoS-aanval. Bij een volumetrische aanval is het aantal requests van belang, terwijl bij een applicatieve aanval de aanvallers veel selectiever te werk gaan en requests uitsturen waarvan ze weten dat deze veel werk vragen van de servers.
Een DDoS-aanval is niet altijd kwaadwillig. Soms kan een pagina die om welke reden dan ook viraal gaat veel meer verkeer dan gebruikelijk naar je website loodsen dat je servers het niet meer kunnen bolwerken. Schaalbaarheid is daarom een belangrijk gegeven om in het achterhoofd te houden bij het ontwerpen van een website.
De krachten bundelen
Wie heeft er baat bij het uitvoeren van een DDoS-aanval? Net zoals bij andere hacking-aanvallen, zijn er hiervoor ook genoeg redenen. De ene doet het om zichzelf te bewijzen als hacker en ‘street cred’ op te bouwen, terwijl de anderen er grof geld mee willen verdienen via afpersing. Eenmaal je als hacker een grote website hebt platgelegd, kan je ook geld blijven verdienen zonder dat je actief moet blijven hacken. Je kan immers gebruikmaken van het principe van ‘protection money’. Je zoekt contact met een andere grote website en dreigt om hen ook plat te leggen wanneer ze je niet betalen. Soms boezemt de reputatie van een hacker of hackerscollectief organisaties al voldoende angst in dat ze het risico niet willen lopen.
DDoS-aanvallen zijn vaak resultaat van een collectieve actie. Cybercriminelen bespreken op online fora welk target ze selecteren en hoe ze te werk gaan. Door op deze manier te werken kan je een DDoS-aanval uitvoeren zonder dat er nauwelijks hackerstrucjes bij aan de pas komen. Maar ook een individu kan een grootschalige DDoS-aanval op poten zetten door gebruik te maken van een botnet. Een botnet is een netwerk van softwaresystemen die met elkaar in verbinding staan. Door zich toegang te eigenen tot verschillende systemen kan een behendige hacker zelf zo’n botnet creëren.
Hoe bescherm je je website?
Je beschermen tegen DDoS-aanvallen is grotendeels de verantwoordelijkheid van het hostingbedrijf waar je website staat. We nemen het voorbeeld van Combell. De eerste stap om DDoS-aanvallen de baas te kunnen, is om een infrastructuur te hebben die niet zomaar bezwijkt onder de druk. Om terug te komen op de analogie van de autosnelweg, een hostingprovider zoals Combell zal extra ‘rijstroken’ toevoegen zodat de wegen niet dichtslibben. Ook wanneer er veel verkeer komt, blijft het netwerk in staat om alles te verwerken. In essentie komt het dus neer op het verhogen van de netwerkcapaciteit.
Verder is het als hostingprovider belangrijk om aan proactieve monitoring te doen zodat je meteen op de hoogte wordt gebracht wanneer er een DDoS-aanval plaatsvindt. Om de hacker te slim af te zijn, maakt Combell bijvoorbeeld gebruik van de anti-DDoS Wasstraat of NaWas. Wanneer er mogelijk kwaadwillende requests worden gedetecteerd, zal Combell dit verkeer doorgeven aan een backbone provider die vervolgens het verkeer doorstuurt naar NaWas die moet bepalen of het al dan niet om malafide verkeer gaat. Indien dit zo is, wordt het verkeer geblokkeerd en geldig verkeer doorgestuurd naar de correcte bestemming. De wasstraat heeft dus als functie om legitiem van malafide verkeer te onderscheiden. Op die manier kunnen legitieme bezoekers gewoon je website blijven gebruiken, zelfs wanneer er een DDoS-aanval plaatsvindt.
Je website beschermen tegen DDoS-aanvallen kan je niet zonder hulp van buitenaf. Hoeveel die bescherming je zal kosten hangt af van welke provider je selecteert. Het selecteren van een goede hostingpartner is dus één van de belangrijkste keuzes die je als website-eigenaar moet maken.
