Cybercrime10.07.2014

DDoS attacks, wat doe je er tegen?


Onlangs werden twee grote affiliate netwerken (waaronder TradeDoubler) platgelegd door DDoS-aanvallen, cyberaanvallen die zich richten op de beschikbaarheid van een netwerkdienst. Hoewel beide bedrijven snel reageerden, was de schade voor de netwerken groot. En niet alleen voor hen, maar ook voor hun affiliates. Want een paar uur geen website in de lucht betekent immers geen geld voor je kliks. Belangrijk dus om maatregelen tegen DDOS-aanvallen te ondernemen. Maar kan dat eigenlijk wel?

DDoS

DDoS staat voor Distributed Denial of Service en zegt in feite vooral iets over de intentie van de aanvaller. Anders dan bij andere aanvallen is het de hackers niet zozeer te doen om binnen te komen, maar proberen ze een bepaalde webdienst plat te leggen. Ze genereren extreem veel netwerkverkeer met behulp van met kwaadaardige software overgenomen computers en overspoelen de servers die de webdienst in de lucht houden. De dienst gaat offline en de schade is enorm.

DDoS-aanvallen komen onder andere zoveel voor, omdat het risico voor de aanvaller klein is. De aanvallers zijn nauwelijks te traceren en in de landen waar deze aanvallen vandaan komen zijn vaak weinig tot geen internetregels. Het ziet er niet naar uit dat dit snel gaat veranderen en dit soort aanvallen gaat in de toekomst waarschijnlijk nog veel vaker voorkomen. Google heeft zelfs een website in het leven geroepen, digitalattackmap.com, waarbij de DDoS-aanvallen ‘realtime’ in kaart worden gebracht.

Maatregelen

Overheden en bedrijven beginnen zich nu langzamerhand meer te verdiepen in DDoS-aanvallen, maar zij lopen nog ver achter op de hackers. Er is ook te weinig mankracht om dit goed aan te pakken en de pakkans is daardoor nog steeds erg klein. Reden genoeg dus voor webshops om zich goed op dit soort aanvallen voor te bereiden. Maar wat kan je er eigenlijk tegen doen? Drie tips:

Wegsluizen: Allereerst is het zaak de DDoS-aanval snel te herkennen. Een enorme toename van het netwerkverkeer moet alle alarmbellen doen rinkelen. Zodra je dit merkt moet je in staat zijn direct op te schalen naar meer bandbreedte. De internetserviceprovider kan dit inregelen. Zij houden internetverkeer naar je website in de gaten en leiden verkeer om wanneer er een verdachte piek is.

Tegenhouden: Er zijn echter ook DDoS-aanvallen die zich richten op een bepaalde webapplicatie. Denk bijvoorbeeld het invullen van een wachtwoord op een site. De aanvallers vullen dan constant zo’n wachtwoord in en uiteindelijk kan de server die de wachtwoordtoegang verwerkt al die aanvragen niet effectief verwerken. Bij deze aanvallen komt een stuk minder verkeer kijken en een internet service provider kan zo’n aanval daardoor ook niet goed herkennen. Om je tegen dit soort DDoS-aanvallen te verweren is het goed om gebruik te maken van een DDoS-appliance. Dat is een netwerkapparaat dat in de gaten houdt welke protocollen normaliter op de site actief zijn en kijkt of er wellicht één type request (bijvoorbeeld invullen van een wachtwoord) onevenredig voorkomt.

Voorkomen: Verder is het aan te raden adoptief beleid te voeren. De algoritmes van de DDoS-filters moeten op gezette tijden worden aangepast. Aanvallers zullen immers aanvallen proberen te maskeren door het verkeer er gevarieerder uit te laten zien. Bovendien bedenken cybercriminelen alternatieve manieren om servers te belasten of extra verkeer op te wekken. Daarnaast kan je tenminste een keer per jaar de website onder de loep nemen om te kijken of bepaalde onderdelen niet onevenredig achterliggende systemen belasten. Die zwakke plekken aanpakken helpt bij het voorkomen van een DDoS.

Deze blogpost is geschreven door Ared Yelkenci, algemeen directeur van Shopkorting.

...