Soorten DDoS-aanvallen en hoe ze te voorkomen

Blog

Verschillende soorten DDoS-aanvallen hebben een aanzienlijke ravage aangericht in de digitale wereld - laten we eens onderzoeken wat ze zijn en hoe ze te voorkomen.

door Ahona Rudra

Laatst bijgewerkt:
10 leestijd: 10 minuten
Soorten DDoS-aanvallen en hoe ze te voorkomen
Inhoudsopgave-

Van alle cyberbedreigingen behoren DDoS-aanvallen (Distributed Denial of Service) en de soorten DDoS-aanvallen tot de meest verraderlijke en wijdverspreide. Volgens een rapport was er in 2022 een stijging van 74% in het aantal DDoS-aanvallen vergeleken met voorgaande jaren. Zelfs in een beginstadium moeten organisaties stappen ondernemen om DDoS-aanvallen te voorkomen. DDoS-bescherming is belangrijk omdat het kwaadwillende actoren in staat stelt een netwerk te overspoelen met verkeer waardoor het permanent of tijdelijk wordt afgesloten. Overbelasting van het verkeer verstoort de connectiviteit, waardoor legitieme gebruikers je website niet meer kunnen bezoeken.

In principe is een DDoS- of Distributed Denial of Service-aanval een cybermisdaad waarbij hackers een netwerk of server willen laten crashen door het te overladen met vals verkeer. De onvoorziene piek in berichten, verbindingsverzoeken of gegevenspakketten overweldigt het beoogde systeem waardoor het vertraagt of wordt uitgeschakeld. Het motief van de daders of hacktivisten van verschillende soorten DDoS-aanvallen is vaak om het netwerk of systeem van het doelwit te overspoelen met verzoeken om de bedrijfsactiviteiten te belemmeren of de website/applicatie ontoegankelijk te maken voor de beoogde gebruikers.

Andere motieven kunnen zijn het manipuleren van doelwitten om flink losgeld te betalen, het verstoren van de service vanwege professionele rivaliteit, het schaden van het merkimago of het afleiden van het incidentresponsteam om een grotere aanval uit te voeren. Deze aanvallen zijn in de loop der jaren geëvolueerd, waardoor ze moeilijker te verdedigen zijn. Met de juiste strategie en een goed begrip van deze aanvallen kunt u echter de gevolgen ervan beperken. Dit kan verder leiden tot andere vormen van cybercriminaliteit zoals phishing en spoofing, die kunnen worden beperkt door SPF, DKIM en DMARC te gebruiken.

In dit artikel nemen we je mee door verschillende soorten DDoS-aanvallen en strategieën om je digitale activa te beschermen en een ononderbroken bedrijfsvoering te behouden in de hyperverbonden wereld van vandaag. De impact van een IP DDoS-aanval kan aanzienlijk zijn, waaronder inkomstenverlies, reputatieschade en zelfs wettelijke aansprakelijkheid. Bovendien nemen de frequentie en de intensiteit van deze aanvallen toe, waardoor het cruciaal is voor netwerkbeheerders en beveiligingsprofessionals om de aard en de gevolgen ervan te begrijpen.

Belangrijkste Conclusies

  1. DDoS-aanvallen maken gebruik van verschillende netwerklagen (Toepassing, Protocol, Volumetrisch) met technieken zoals SYN Floods, UDP Floods en Reflection-aanvallen om systemen te overweldigen.
  2. Voor een effectieve verdediging is een meerlaagse aanpak nodig, waaronder het verkleinen van het aanvalsoppervlak (WAF, CDN), netwerkbewaking, serverredundantie en robuuste beveiligingspraktijken.
  3. DDoS detecteren houdt in dat er basislijnen voor het verkeer worden opgesteld, dat er wordt gecontroleerd op afwijkingen (zoals C&C servercommunicatie) en dat er realtime analyse wordt uitgevoerd.
  4. Een uitgebreid DDoS-responsplan, inclusief een getraind team en duidelijke protocollen, is cruciaal voor het minimaliseren van downtime en schade.
  5. De kosten van DDoS-aanvallen gaan verder dan downtime en omvatten aanzienlijke financiële, reputatie- en operationele verliezen, wat de noodzaak van proactieve bewustwording en preventie op het gebied van cyberbeveiliging benadrukt.

Verschillende soorten DDoS-aanvallen

Hoewel het basisprincipe van alle DDoS-aanvallen hetzelfde is, namelijk de IT-infrastructuur van het slachtoffer verstoppen met verkeer en activiteiten hinderen, kunnen ze op verschillende manieren worden uitgevoerd. Deze verschillende soorten DDoS-aanvallen worden geclassificeerd op basis van de netwerkverbindingslagen waarop ze gericht zijn, wat de manier waarop ze gedetecteerd en verdedigd worden aanzienlijk kan veranderen. Ze vallen meestal uiteen in drie hoofdcategorieën: Volumetrische aanvallen, Protocol aanvallen en Applicatielaag aanvallen.

  • Volumetrische aanvallen: Deze zijn erop gericht om alle beschikbare bandbreedte tussen het doelwit en het bredere internet te verbruiken. Ze verminderen de bandbreedte van je website met behulp van versterkingstechnieken. Het is moeilijk om dit te detecteren omdat het verkeer van meerdere IP-adressen afkomstig lijkt te zijn. Voorbeelden zijn UDP floods en ICMP floods.
  • Protocolaanvallen: Deze richten zich op het verbruiken van serverbronnen of de bronnen van tussenliggende communicatieapparatuur zoals firewalls en loadbalancers. Voorbeelden zijn SYN floods en Ping of Death aanvallen.
  • Aanvallen op de toepassingslaag: Deze richten zich op specifieke applicaties of diensten door kwetsbaarheden uit te buiten (zoals SIP, spraakdiensten, BGP) of ze te overspoelen met ogenschijnlijk legitieme verzoeken, waardoor de applicatie niet meer in staat is om inhoud af te leveren. HTTP floods zijn een veelvoorkomend voorbeeld.

Enkele veelvoorkomende voorbeelden van specifieke DDoS-aanvaltypes en hun praktijkvoorbeelden zijn:

CLDAP terugspiegelingsaanval

Een CLDAP Reflection-aanval is een van de meest voorkomende en fatale DDoS-aanvallen, waarbij de impact van nieuwe exploits de afgelopen jaren tot 70 keer zo groot is geworden als in het verleden. 70 keer de afgelopen jaren. De aanval is gericht op het Connectionless Lightweight Directory Access Protocol (CLDAP), een alternatief voor LDAP (Lightweight Directory Access Protocol).

Bij deze aanval gebruikt de aanvaller een vervalst afzender-IP-adres van het slachtoffer om verzoeken in te dienen bij een kwetsbare LDAP-server. De kwetsbare server antwoordt vervolgens op het IP-adres van het slachtoffer met versterkte antwoorden en veroorzaakt zo een reflectieaanval. Dit is een soort volumetrische aanval.

De DDoS-aanval op AWS: 2020

In 2020 onthulde Amazon Web Services Inc. onthuld dat het erin geslaagd is om 2,3 terabytes per seconde gedistribueerde denial-of-service te ontwijken, de grootste klap in de geschiedenis van DDoS-aanvallen. Volgens het rapport van AWS was deze aanval gebaseerd op een CLDAP DDoS-reflectieaanval, georkestreerd om de werking van de app of website te verstoren door het doelwit te overspoelen met een enorme hoeveelheid verzoeken.

DDoS-aanval op Memcached

Net als alle andere DDoS-aanvallen is een Memcached DDoS-aanval een aanval waarbij de dreiger de server van het doelwit overstelpt met internetverkeer. 

Bij deze aanval maakt de aanvaller gebruik van een vervalst IP-adres om een kwetsbare UDP memcached server te misbruiken met kleine queries om versterkte antwoorden te ontlokken gericht op het IP-adres van het slachtoffer, waardoor de indruk wordt gewekt dat de verzoeken van het slachtoffer zelf komen. Dit is een ander voorbeeld van een op reflectie gebaseerde volumetrische aanval.

De GitHub DDoS-aanval: 2018

In 2018 was een DDoS-aanval gericht op GitHub, een online platform voor codebeheer dat wordt gebruikt door ontwikkelaars over de hele wereld. De aanval bracht de servers van GitHub in een stroomversnelling met maar liefst 1,2 Tbps aan verkeer, verzonden met een snelheid van 126,9 miljoen per seconde.. De bron van de aanval werd getraceerd naar meer dan duizend verschillende autonome systemen (ASN's) verspreid over tienduizenden individuele eindpunten.

HTTPS DDoS-aanval

Een HTTP flood aanval, ook bekend als Layer 7 DDoS aanval (een Application Layer aanval), maakt gebruik van een ogenschijnlijk legitiem HTTP GET of POST verzoek om een server of applicatie te overbelasten. In plaats van grote pakketten te verzenden, stuurt een aanvaller veel verzoeken over een HTTP/HTTPS-verbinding. Dit resulteert in een hoog CPU-gebruik en geheugenverbruik op de doelhost omdat deze deze verzoeken moet verwerken voordat er wordt gereageerd, mogelijk met een foutmelding met de tekst "server te druk" of "resource niet beschikbaar". Dit soort DDoS-aanvallen maakt gebruik van een botnet, een netwerk van gecompromitteerde computers die worden bestuurd door een enkele entiteit. Omdat de aanvaller standaard URL-verzoeken gebruikt, is het vervalste verkeer bijna niet te onderscheiden van het geldige verkeer. 

De Google-aanval: 2022

Een opmerkelijk voorbeeld van een HTTPS DDoS-aanval is de aanval die Google werd getroffen op 1 juni 2022. De infrastructuur en services van Google werden verstoord toen de aanvaller verschillende adressen gebruikte om meer dan 46 miljoen verzoeken per seconde te genereren, wat 76% groter was dan het eerder gerapporteerde record.

SYN Vloedaanval

Een SYN flood aanval (een type protocol aanval) is een van de meest voorkomende aanvallen op je netwerk. Bij deze aanval stuurt een aanvaller een stortvloed van SYN pakketten (onderdeel van de TCP handdruk) naar je server, vaak met vervalste bron IP adressen. De server antwoordt met een SYN-ACK pakket op elk SYN verzoek, wachtend op het laatste ACK pakket dat nooit aankomt van het gespoofde adres. Hierdoor blijven er veel half-open verbindingen over, die bronnen van de server verbruiken totdat deze geen legitieme verzoeken meer kan verwerken.

UDP Vloedaanval

Bij een UDP flood aanval (een Volumetrische aanval) stuurt de aanvaller een grote hoeveelheid UDP-pakketten (User Datagram Protocol) naar willekeurige poorten op de doelserver. De server probeert deze pakketten te verwerken en controleert of er applicaties op die poorten luisteren. Als hij er geen vindt, antwoordt hij met een ICMP "Destination Unreachable" pakket. Alleen al het volume van binnenkomende UDP pakketten en uitgaande ICMP antwoorden kan de bronnen van de server en de netwerkbandbreedte uitputten, wat kan leiden tot onderbreking van de service.

Smurf aanval

Een Smurf-aanval (een type Volumetrische/Reflectie-aanval) maakt gebruik van vervalste ICMP-echo requests (pings). De aanvaller stuurt deze pings naar het broadcastadres van een netwerk, met het IP-adres van het slachtoffer als bron-IP. Alle apparaten op het broadcast netwerk reageren vervolgens met ICMP echo antwoorden naar het gespoofde adres van het slachtoffer. Hierdoor wordt de doelcomputer overspoeld met duizenden pings per seconde, waardoor deze mogelijk wordt overweldigd.

Ping des doods aanval

De Ping of Death-aanval (een protocolaanval) is een van de oudere DDoS-aanvallen die gebruik maakt van IP-fragmentatie. Een aanvaller stuurt een IP pakket dat groter is dan de maximaal toegestane grootte (65.535 bytes) door het te fragmenteren. Wanneer het doelsysteem het te grote pakket opnieuw probeert samen te stellen, kan dit bufferoverflows en systeemcrashes veroorzaken op oudere, ongepatchte systemen. Hoewel dit tegenwoordig minder effectief is door betere OS afhandeling, blijft het principe van het uitbuiten van protocol kwetsbaarheden relevant.

Beschermen tegen Distributed Denial of Service-aanvallen 

Nu de ernst en frequentie van verschillende soorten DDoS-aanvallen dringende problemen worden voor organisaties en hun beveiligingsteams, is het cruciaal dat ze een strategische aanpak volgen om de impact van deze kwaadaardige aanvallen te ontwijken en te beperken. Het volgen van een goed omvattend cyberbeveiligingsplan helpt bedrijven niet alleen hun netwerkinfrastructuur te versterken, maar handhaaft ook de integriteit van hun website/applicatie. 

Hier zijn een paar manieren om DDoS-aanvallen te voorkomen en een naadloze online ervaring voor je gebruikers te garanderen:

Blootstelling aan aanvalsoppervlak verminderen

Een van de eerste stappen om te zorgen voor een veerkrachtige digitale infrastructuur is het beperken van de zwakke plekken waar aanvallers zich op kunnen richten. Bescherm uw belangrijke documenten, toepassingen, poorten, protocollen, servers en andere potentiële toegangspunten. Hiervoor kunt u vertrouwen op een web application firewall (WAF) of CDN-service om te voorkomen dat bedreigers rechtstreeks toegang krijgen tot uw digitale bronnen die op de server of de applicatie worden gehost. Een CDN cachet inhoud wereldwijd en serveert verzoeken, terwijl een WAF schadelijke verzoeken filtert. U moet ook loadbalancers gebruiken om het verkeer te verdelen en webservers te beschermen. Maak websites of applicaties regelmatig schoon door irrelevante services of open poorten waar hackers misbruik van zouden kunnen maken, te verwijderen.

Netwerkverkeer bewaken en analyseren

Als je ongewone activiteiten of anomalieën opmerkt in je netwerkverkeer, neem dit dan als een teken om ze te analyseren en er onmiddellijk op te reageren. Een efficiënte manier om dit te doen is door een basislijn of benchmark vast te stellen van hoe het typische netwerkgedrag eruit ziet (Baseline Traffic Analysis). Alles wat significant afwijkt van deze baseline kan duiden op een mogelijke inbreuk op de beveiliging. Let op rode vlaggen zoals slechte connectiviteit, trage prestaties, overmatig verkeer naar een specifiek eindpunt, frequente crashes of ongebruikelijke verkeerspatronen van een enkel IP-adres of groep. Aanvallen van geringe omvang en korte duur kunnen ook gevaarlijk zijn. Vroege detectie door middel van continue verkeers- en pakketprofilering is onmisbaar. Zoek naar communicatie met bekende commando- en controleservers (C&C) die door botnets worden gebruikt. In realtime reageren, misschien met behulp van op regels gebaseerde eventcorrelatiesystemen die automatisch verdachte activiteiten detecteren en hierop reageren, is cruciaal.

Zorg voor robuuste netwerkbeveiliging

Implementeer meerdere lagen van netwerkbeveiliging om aanvallen vroegtijdig te detecteren en hun impact te beperken. Gebruik firewalls en inbraakdetectiesystemen (IDS) om verkeer te filteren. Gebruik antivirus- en antimalwareprogramma's. Gebruik tools om IP address spoofing te voorkomen door bronadressen te verifiëren (bijv. ingress filtering). Zorg ervoor dat alle netwerkeindpunten (desktops, laptops, mobiele apparaten) beveiligd zijn, aangezien deze vaak worden misbruikt. Overweeg netwerksegmentatie om systemen op te delen in subnetten, zodat de explosieradius wordt beperkt als één segment wordt gecompromitteerd. Het beperken van netwerk broadcasting kan ook helpen; beperk of schakel broadcast forwarding uit en schakel waar mogelijk onnodige diensten zoals echo en chargen uit.

Redundantie van servers

Het gebruik van meerdere gedistribueerde servers maakt het voor aanvallers een uitdaging om alle servers tegelijk aan te vallen. Als één hostingapparaat wordt aangevallen, kunnen de anderen operationeel blijven en de verkeersbelasting overnemen totdat het doelsysteem zich herstelt. Host servers in geografisch verspreide datacenters of colocatiefaciliteiten om netwerkknelpunten te voorkomen. Een Content Delivery Network (CDN) biedt ook inherent redundantie door inhoud over veel servers te verdelen.

Overschakelen op cloudgebaseerde oplossingen en gebruikmaken van de mogelijkheden van de provider

Cloud-gebaseerde oplossingen zorgen niet alleen voor naadloze schaalbaarheid van resources, maar zijn vaak ook veiliger en betrouwbaarder dan traditionele on-premise setups. Cloudproviders hebben doorgaans veel meer bandbreedte dan individuele organisaties, waardoor volumetrische aanvallen moeilijker slagen. De gedistribueerde aard van cloudinfrastructuur vermindert ook inherent de gevoeligheid. Verder spelen internetproviders (ISP's) en cloudproviders een cruciale rol. ISP's kunnen kwaadaardig verkeer stroomopwaarts blokkeren, controleren op verdachte activiteiten, bandbreedte op aanvraag leveren tijdens aanvallen en aanvalsverkeer distribueren. Veel cloudproviders bieden gespecialiseerde DDoS-beschermingsdiensten aan en maken gebruik van hun schaal en expertise om aanvallen effectief te detecteren en te beperken.

Zorg voor een reactieplan

Een goed uitgewerkt responsplan is cruciaal voor elke organisatie om incidenten effectief af te handelen, schade te minimaliseren en bedrijfscontinuïteit te garanderen in het geval van een aanval. Hoe complexer je infrastructuur, hoe gedetailleerder het plan moet zijn. Je DDoS-responsplan moet het volgende omvatten:

  • Een systeemchecklist
  • Een goed getraind reactieteam
  • Maatregelen/protocollen voor detectie en waarschuwing
  • Uitgebreide risicobeperkingsstrategieën (hoe afweermechanismen activeren, contact opnemen met leveranciers, enz.)
  • Communicatieplannen voor interne en externe belanghebbenden (inclusief een lijst van wie moet worden geïnformeerd)
  • Procedures voor het in stand houden van de bedrijfsvoering tijdens een aanval
  • Een lijst met missiekritieke systemen

Kwetsbaarheidsbeoordelingen uitvoeren

Kwetsbaarheidsbeoordelingen stellen organisaties in staat om systematisch de mazen in hun netwerken, systemen en applicaties te bekijken en te onderzoeken voordat een aanvaller er misbruik van maakt. Dit omvat netwerk- en draadloze beoordelingen, beleidsbeoordelingen en het controleren van webapplicaties en broncode op gebreken, vaak met behulp van geautomatiseerde scantools. Het beoordelen van risico's, het genereren van uitgebreide rapporten en het voortdurend werken aan de beoordeling draagt bij aan een robuuste cyberbeveiligingsstrategie en helpt de voortzetting van de activiteiten te garanderen. Deze aanpak helpt organisaties de gevaren van DDoS-aanvallen en hun typen te beperken.

Ontwikkel en oefen goede cyberhygiëne gewoonten

Je team moet worden getraind in goede cyberhygiëne om te voorkomen dat systemen worden aangetast en mogelijk worden gebruikt in botnets. Deze omvatten:

  • Stel sterke, unieke wachtwoorden in (minstens 12 tekens met cijfers, symbolen, hoofdletters en kleine letters) en wijzig ze regelmatig.
  • Vermijd het delen en hergebruiken van wachtwoorden.
  • Gebruik waar mogelijk twee-factor authenticatie (2FA) om een extra beveiligingslaag toe te voegen.
  • Gebruik apparaatversleuteling op laptops, tablets, smartphones, externe schijven en cloudopslag.
  • Houd software en systemen bijgewerkt met de nieuwste beveiligingspatches.

De kosten van DDoS-aanvallen

DDoS-aanvallen worden steeds langer, geavanceerder en groter, waardoor de kosten voor bedrijven aanzienlijk toenemen. Volgens onderzoek van het Ponemon Institute kunnen de gemiddelde kosten per minuut downtime als gevolg van een DDoS-aanval aanzienlijk zijn en oplopen tot 22.000 dollar. De exacte kosten zijn afhankelijk van factoren zoals de bedrijfstak, de grootte van het bedrijf, de duur van de aanval en de merkreputatie. De werkelijke kosten reiken echter veel verder dan onmiddellijke financiële verliezen en omvatten:

  • Directe kosten: Verbruik van bandbreedte, schade aan of vervanging van hardware, servicekosten voor mitigatie.
  • Juridische kosten: Mogelijke rechtszaken of wettelijke boetes als gevoelige gegevens gecompromitteerd zijn of afspraken over serviceniveaus geschonden zijn.
  • Verlies van intellectueel eigendom: Als de aanval dient als rookgordijn voor gegevensdiefstal.
  • Productie- en operationele verliezen: Verloren verkoop, verminderde productiviteit, klantenverlies door onbeschikbaarheid van de service.
  • Reputatieschade: Verlies van vertrouwen van klanten, partners en investeerders, wat langdurige gevolgen kan hebben.
  • Verliezen als gevolg van hersteltechnieken: De kosten van het implementeren en onderhouden van scrubcentra, gespecialiseerde hardware en inspanningen om te reageren op incidenten.

In het kort 

Nu je weet dat de impact van DDoS-aanvallen (Distributed Denial of Service) veel kostbaarder en verstorender is dan ooit, is het essentieel om de urgentie van de situatie in te zien en proactieve maatregelen te nemen om je merkidentiteit te beschermen en een naadloze bedrijfsvoering te behouden. De toekomst van IP DDoS-aanvallen blijft onzeker, maar ze zullen een belangrijke bedreiging blijven vormen. Naarmate de technologie voortschrijdt, zullen aanvallers toegang krijgen tot geavanceerdere tools, waardoor verdediging een steeds grotere uitdaging wordt. Organisaties moeten daarom proactief zijn in hun benadering van cyberbeveiliging. Door gebruik te maken van uitgebreide tools om kwetsbaarheden te beoordelen, proactieve incidentbestrijdingsprotocollen, netwerkbewakingstools, serverredundantie, robuuste netwerkbeveiliging, cloudoplossingen en het stimuleren van een sterk bewustzijn van cyberbeveiliging onder medewerkers, kan uw organisatie de ongekende toename van verkeer in de vorm van verschillende soorten DDoS-aanvallen tegengaan.

Vertrouw op onze experts bij PowerDMARC om uw bedrijfsmiddelen te beschermen tegen illegale hacking en voor allround bescherming tegen cyberaanvallen via e-mail. Met onze diepgaande kennis en uitgebreide ervaring zorgen wij ervoor dat uw digitale activa veilig blijven en dat uw activiteiten soepel verlopen, zelfs als er tegenstanders zijn. Voor meer informatie over onze cyberbeveiligingsoplossingen, neem dan met ons op!

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
Laatst bijgewerkt:
Phishing-aanvallen door leidinggevenden - Praktische inzichten en preventiestr...Executive-Phishing-Is-de-E-mail-van-uw-CEO-FakeAfblijven-verdedigen-tegen-hishingUit de haak blijven: Verdedigen tegen phishing