Distributed denial-of-service

Denial-of-service-aanvallen (DoS-aanvallen) en distributed-denial-of-service-aanvallen (DDoS-aanvallen) zijn pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de bedoelde klanten.^[1] Het verschil tussen een 'gewone' DoS-aanval en een distributed-DoS-aanval is dat in het laatste geval meerdere computers tegelijk de aanval op hun doelwit uitvoeren.

Werking[bewerken | brontekst bewerken]

Voor DDoS wordt vaak een botnet gebruikt,^[2] maar het kan ook gaan om meerdere personen die hun acties coördineren, iets wat bijvoorbeeld gebeurt bij aanvallen van de zogenaamde Anonymous-beweging of de Syrian Electronic Army.^[3] In reactie hierop werd het publiek-private Nationaal Cyber Security Centrum^[4] opgericht, Europol startte het European Cybercrime Centre^[5] en het Team High Tech Crime van de nationale recherche werd uitgebreid van 30 naar bijna 120 mensen en het ministerie van Defensie deed een oproep in 2013 voor 150 white hats als cyberreservisten.^[6]^[7] De AIVD en MIVD startten in 2014 met de Joint SIGINT Cyber Unit, een aftap- en cybercommando onder de codenaam Symbolon met 350 mensen,^[8] en hebben voor 17 miljoen euro niet toegestane systemen om grootschalig telefoon- en internetverkeer op te kunnen vangen en verwerken besteld.^[9] Voor 2013 werden er op ruim vijf miljoen .nl-domeinen^[10] 39 DDoS-aanvallen gemeld in Nederland,^[11] inclusief vermeende aanvallen die enkel een storing betroffen.^[12]

Ook al kunnen de methode, het motief en het doelwit verschillen, toch blijft het hoofddoel een website, internetdienst of server ervan te weerhouden aanvragen van reguliere gebruikers te behandelen.^[13] Vaak zijn de doelen prominente websites of diensten, zoals die van banken of creditcardservices. De term wordt gebruikt in verband met computernetwerken maar is niet beperkt tot dit gebied; hij wordt bijvoorbeeld ook gebruikt met betrekking tot CPU-resourcemanagement.

Een veelvoorkomende aanvalsvorm is het doelbewust overbelasten van het doelsysteem met externe communicatieverzoeken, zodat het niet kan reageren op legitieme verzoeken of zo traag wordt, dat het niet meer effectief te gebruiken valt. Dergelijke aanvallen leiden doorgaans tot een overbelasting van de server. Programma's die specifiek zijn ontworpen om dergelijke aanvallen uit te voeren, heten flooders. Meestal zijn DoS-aanvallen bedoeld om te bewerkstelligen dat het doelwit zijn computer moet resetten of andere zaken moet doen, waardoor het doelwit zijn beoogde diensten niet meer kan aanbieden. Denial-of-serviceaanvallen zijn in strijd met de regels van gebruik van vrijwel alle internetproviders. Daarnaast zijn ze in strijd met allerhande landeigen wetgevingen. Wanneer een DoS-aanvaller een grote hoeveelheid informatiebestanden tracht te versturen naar een netwerkgebruiker, dan ervaren alle gebruikers van dat netwerk mogelijk storingen en/of vertragingen. Een onbedoeld en nog weinig bestudeerd neveneffect van een DDoS-aanval kan zijn, dat legitieme gebruikers van de aangevallen website, die tijdens de aanval op normale wijze toegang proberen te krijgen, de site herhaaldelijk (en dus vaak tevergeefs) proberen te benaderen en zodoende het effect van de aanval versterken.

Symptomen en verschijningsvormen[bewerken | brontekst bewerken]

Het Amerikaanse computer emergency response team (US-CERT) noemt de volgende symptomen van een DDoS-aanval:^[14]

ongebruikelijke traagheid van het netwerk,
het niet beschikbaar zijn van een bepaalde website,
het onvermogen om een website te bezoeken,
een drastische toename van het aantal spam-e-mails (deze vorm van DoS-aanval noemt men een e-mailbom of mailbom).

Denial-of-serviceaanvallen kunnen ook leiden tot problemen bij andere computers of netwerken die verbonden zijn met het doelwit. Bij een grootschalige aanval kunnen hele geografische gebieden getroffen worden, ook al is dit niet de intentie van de aanvaller.

Soorten aanvallen[bewerken | brontekst bewerken]

Een denial-of-serviceaanval wordt gekenmerkt door een expliciete poging van de cybercriminelen om de legitieme gebruikers van een dienst de toegang tot die dienst te ontnemen. Er zijn twee algemene vormen van DoS-aanvallen: de crashaanvallen en de floodaanvallen. Er zijn verschillende manieren of soorten van DoS-aanvallen, maar ook verschillende vormen van aanvallen. De vijf basisvormen zijn:

verbruik van computergerelateerde middelen, zoals bandbreedte of schijfruimte,
verstoring van configuratie-informatie,
verstoring van de staat van het apparaat, zoals het ongevraagd resetten,
verstoring van netwerkcomponenten,
obstructie van communicatiemiddelen tussen de beoogde gebruikers en het doelwit, zodat ze niet meer adequaat kunnen communiceren.

ICMP-aanvallen[bewerken | brontekst bewerken]

Er zijn DoS-aanvallen die gebruikmaken van het Internet Control Message Protocol (ICMP-aanvallen). Voorbeelden van programma's die dergelijke aanvallen inzetten, zogenaamde flooders, zijn Crazy Pinger en Some Trouble.

Zo worden er bij een smurfaanval echo requests (pings) met een vervalst IP-bronadres naar een broadcastadres binnen een netwerk gestuurd. Daardoor gaat het netwerk zelf dienen als een versterker van de smurfaanval. Bij een dergelijke aanval sturen de daders grote aantallen netwerkpakketten met een vervalst bronadres naar het slachtoffer. De bandbreedte van het netwerk van het slachtoffer wordt zo opgebruikt, waardoor legitieme zaken niet meer kunnen plaatsvinden. Om een smurfaanval te voorkomen, kunnen internetproviders verkeerd ingestelde netwerken opsporen.

Bij een ping flood zal men, uitgaande van een grotere bandbreedte, een aantal pingpakketten naar het slachtoffer verzenden. Dit is eenvoudig, maar het hoofdvereiste blijft dat de bandbreedte van de aanvaller groter is dan die van het slachtoffer.

Bij de zogenaamde ping-of-death worden pakketten groter dan 65.535 bytes verstuurd. Dat mag niet volgens het protocol en daarom zal alles worden opgesplitst in meerdere, kleinere pakketten. Deze pakketten worden bij de server weer in elkaar gezet, wat een crash in het besturingssysteem veroorzaakt. Hierdoor wordt de website onbereikbaar.

SYN flood[bewerken | brontekst bewerken]

Bij een SYN flood stuurt de aanvaller TCP/SYN-pakketten, vaak met een vervalst bronadres. Elk van deze pakketten is een verzoek tot verbinding van de zender aan de ontvanger, waardoor er een halfopen verbinding bij de server wordt geopend. Deze halfopen verbindingen verzadigen het aantal verbindingen dat de ontvanger aankan. Daardoor krijgen legitieme gebruikers geen toegang meer tot het netwerk.

Teardropaanval[bewerken | brontekst bewerken]

Een teardropaanval is het verzenden van vervormde IP-fragmenten met grote ladingen naar de doelcomputer. Hierdoor kan het besturingssysteem crashen. Verschillende besturingssystemen blijken hiervoor vatbaar.

Permanente denial-of-serviceaanvallen[bewerken | brontekst bewerken]

Een permanente DoS (PDoS), ook bekend als phlashing, is een aanval die een systeem zo zwaar beschadigt, dat het vervangen of opnieuw geïnstalleerd moet worden. In tegenstelling tot de DDoS-aanvallen maakt de PDoS gebruik van veiligheidsproblemen op een computer, die het mogelijk maken om extern de computer te beheren. Wanneer het systeem extern beheerd wordt, kan de hacker het van binnenuit kapotmaken, waardoor het niet meer bruikbaar is. De PDoS is een puur hardwaregerichte aanval die sneller is dan een DDoS-aanval, waarbij botnetwerken gebruikt moeten worden. Omdat deze manier van DoS makkelijker is, zijn er al allerhande Super-PDoS-middelen op de markt gebracht, zoals PhlashDance.

Distributed-aanvallen[bewerken | brontekst bewerken]

Een distributed-denial-of-serviceaanval (DDoS) treedt op wanneer meerdere systemen vanuit meerdere webservers een flood van de bandbreedte van een ander systeem veroorzaken. Bij DDoS-aanvallen maakt men vaak gebruik van botnetwerken. Deze botnetwerken bestaan uit computers die allemaal extern aangestuurd kunnen worden. De externe bestuurder kan de computer van zijn slachtoffer laten crashen door alle computers in zijn botnetwerk tegelijkertijd bestanden te laten verzenden naar het slachtoffer. De bestanden die verstuurd worden, kunnen verschillen, zoals e-mails of verbindingsaanvragen. Er zijn tools beschikbaar die maken dat de eigenaar een botnetwerk kan besturen, zoals met een Trojaans paard.

LOIC[bewerken | brontekst bewerken]

LOIC of Low Orbit Ion Cannon is een van de mogelijke opensourceprogramma's waar een DoS-aanval mee uitgevoerd kan worden. Het programma is gemakkelijk te bemachtigen en is beschikbaar op Windows, Linux en Mac OS X. Het was ooit bedoeld om over IRC grote aanvallen te doen, waarbij duizenden netwerken op een doelwit gezet werden.

DNS amplification attacks[bewerken | brontekst bewerken]

Een DNS amplification attack is een vorm van DDoS-aanval waarbij het DNS-systeem wordt gebruikt. Bij een DNS amplification attack stuurt een server DNS-query's van een gespooft IP (het IP dat hij wil aanvallen) en in deze query vraagt hij data op. Deze query is dan bijvoorbeeld 30 bytes, maar het DNS-netwerk zal een antwoord van bijvoorbeeld 30.000 bytes naar het gespoofte IP-adres sturen. Deze vorm van DDoS werd gebruikt door CyberBunker tegen Spamhaus.^[15] Een voorbeeld hiervan is NTP amplification; hierbij wordt het NTP-protocol misbruikt om gespoofte packets te sturen.

Preventiemethoden[bewerken | brontekst bewerken]

De preventie van DoS-aanvallen wordt meestal gedaan door speciale software die een aanval kan detecteren. Deze software begint het verkeer te herkennen en classificeren. Wanneer niet-legitiem verkeer toegang tot de computer zoekt, wordt dit geblokkeerd. Een aantal mogelijke preventie- en bestrijdingsmethoden zijn:^[14]

firewall: een firewall is een systeem dat de middelen van een netwerk of computer kan beschermen tegen misbruik van buitenaf.
switches: switches veroorzaken een vertraging in verkeer, zodat het makkelijker wordt om het verkeer te identificeren en classificeren.
routers: deze hebben eenzelfde functie als firewalls. Ze hebben ook als eigenschap het verkeer te vertragen.
clean pipes: al het verkeer wordt door een "clean pipe" gestuurd. Deze controleert het verkeer op zijn legitimiteit. Het laat alleen goedgekeurd verkeer doorgaan naar de server.
scrubbing center: al het verkeer wordt gestuurd naar een anti-DDOS center, zodra nodig, waar verschillende methoden en geavanceerde monitoring wordt toegepast om legitiem te scheiden van ongewenst verkeer. Het verschil met een clean pipe is dat het alleen wordt omgeleid tijdens een aanval.

Booters[bewerken | brontekst bewerken]

Tegenwoordig zijn er verscheidene "booters" online. Dit zijn webapplicaties die meestal gebruikmaken van (gehackte) servers, hierop staat dan een script dat veel packets verstuurt, of een amplification attack uitvoert. Negentig procent van alle booters is slecht geschreven, illegaal. Dit terwijl het eigenlijk bedoeld was voor stress-testing.

DDoS met maatschappelijke impact[bewerken | brontekst bewerken]

20 oktober 2016[bewerken | brontekst bewerken]

Op 20 oktober 2016 vonden twee DDoS-aanvallen plaats op een uitbater van een DNS-systeem die ervoor zorgden dat Twitter, Spotify en PayPal onbereikbaar werden. Opmerkelijk was hierbij dat de aanval mee uitgevoerd werd door aan het internet gekoppelde toestellen.^[16]

CoronaCheck-App[bewerken | brontekst bewerken]

Er vonden in 2021 meerdere DDoS aanvallen plaats op de CoronaCheck app. Ook de GGD-sites waar men een afspraak kon plannen voor vaccinatie werden enige malen platgelegd door ddos-aanvallen.^[17]

DigiD[bewerken | brontekst bewerken]

Door meerdere DDoS-aanvallen op DigiD kon er niet worden worden ingelogd bij websites van de overheid, zoals de Sociale Verzekeringsbank (SVB) en de Dienst Uitvoering Onderwijs (DUO). Dit gebeurde onder andere in 2013, 2018 en 2022.^[18]^[19]^[20]

Rechtspraak[bewerken | brontekst bewerken]

Door een DDoS-aanval konden burgers en advocaten problemen ondervinden bij het bezoeken van Rechtspraak.nl en het raadplegen van persoonlijke dossiers in Mijn Rechtspraak, Mijn Strafdossier en andere portalen. Ook is was het niet mogelijk om online zittingen bij te wonen. Dit gebeurde in 2021 en 2023.

Zie ook[bewerken | brontekst bewerken]

Black hat
Allestoringen, website om te zien of een website, app of andere online dienst een storing heeft

Bronnen, noten en/of referenties

↑ Aanvallen op websites uitgelegd, door Pascal Vyncke (geraadpleegd op 7 juni 2012). Gearchiveerd op 19 juni 2022.
↑ Botnet, op mijndigitalewereld.nl (geraadpleegd op 7 juni 2012).
↑ Syrian Electronic Army: Disruptive Attacks and Hyped Targets. Gearchiveerd op 4 juni 2023.
↑ Meer geld voor Nationaal Cyber Security Center. Gearchiveerd op 12 april 2015. Geraadpleegd op 24 juni 2023.
↑ European Cybercrime Centre (EC3) at Europol. Gearchiveerd op 30 oktober 2016.
↑ Defensie wil 150 IT-experts als cyberreservist rekruteren. Gearchiveerd op 9 april 2023.
↑ Wanted: soldaten tegen cybercrime
↑ AIVD/MIVD-cyberteam Symbolon krijgt vorm. Gearchiveerd op 12 april 2015. Geraadpleegd op 24 juni 2023.
↑ AIVD bestelt verboden afluistersysteem
↑ Groei aantal .nl-domeinnamen neemt af. Gearchiveerd op 9 april 2023.
↑ Dit jaar 39 DDoS-aanvallen in Nederland. Gearchiveerd op 9 april 2023.
↑ DDoS-aanval op Rechtspraak.nl blijkt storing
↑ Distributed denial-of-service attack (DDoS), door Margaret Rouse, november 2010. Gearchiveerd op 9 november 2021.
↑ ^a ^b Security Tip (ST04-015), Understanding Denial-of-Service Attacks, door Mindi McDowell, 11 augustus 2004 (laatste wijziging 4 november 2009).
↑ Nederlander opgepakt voor DDoS-aanvallen Spamhaus. Gearchiveerd op 20 mei 2022.
↑ Cyberaanvallen via beveiligingscamera's, en babyfoons. deredactie.be. Geraadpleegd op 24 oktober 2016.
↑ Het Parool 22 juli 2021
↑ Hoek, Colin van, Digid onbereikbaar door DDoS-aanval. NU (24 april 2013). Geraadpleegd op 29 februari 2024.
↑ Colin van Hoek, Ook DigiD getroffen door een DDoS-aanval. NU (29 januari 2018). Geraadpleegd op 29 februari 2024.
↑ 't Hart, Lennart, DigiD was urenlang beperkt beschikbaar vanwege ddos-aanvallen. NU (12 september 2022). Geraadpleegd op 29 februari 2024.

[1] Aanvallen op websites uitgelegd, door Pascal Vyncke (geraadpleegd op 7 juni 2012). Gearchiveerd op 19 juni 2022.

[2] Botnet, op mijndigitalewereld.nl (geraadpleegd op 7 juni 2012).

[3] Syrian Electronic Army: Disruptive Attacks and Hyped Targets. Gearchiveerd op 4 juni 2023.

[:0-4] Meer geld voor Nationaal Cyber Security Center. Gearchiveerd op 12 april 2015. Geraadpleegd op 24 juni 2023.

[5] European Cybercrime Centre (EC3) at Europol. Gearchiveerd op 30 oktober 2016.

[6] Defensie wil 150 IT-experts als cyberreservist rekruteren. Gearchiveerd op 9 april 2023.

[7] Wanted: soldaten tegen cybercrime

[8] AIVD/MIVD-cyberteam Symbolon krijgt vorm. Gearchiveerd op 12 april 2015. Geraadpleegd op 24 juni 2023.

[9] AIVD bestelt verboden afluistersysteem

[10] Groei aantal .nl-domeinnamen neemt af. Gearchiveerd op 9 april 2023.

[11] Dit jaar 39 DDoS-aanvallen in Nederland. Gearchiveerd op 9 april 2023.

[12] DDoS-aanval op Rechtspraak.nl blijkt storing

[13] Distributed denial-of-service attack (DDoS), door Margaret Rouse, november 2010. Gearchiveerd op 9 november 2021.

[us-cert-14] Security Tip (ST04-015), Understanding Denial-of-Service Attacks, door Mindi McDowell, 11 augustus 2004 (laatste wijziging 4 november 2009).

[nl-15] Nederlander opgepakt voor DDoS-aanvallen Spamhaus. Gearchiveerd op 20 mei 2022.

[16] Cyberaanvallen via beveiligingscamera's, en babyfoons. deredactie.be. Geraadpleegd op 24 oktober 2016.

[17] Het Parool 22 juli 2021

[18] Hoek, Colin van, Digid onbereikbaar door DDoS-aanval. NU (24 april 2013). Geraadpleegd op 29 februari 2024.

[19] Colin van Hoek, Ook DigiD getroffen door een DDoS-aanval. NU (29 januari 2018). Geraadpleegd op 29 februari 2024.

[20] 't Hart, Lennart, DigiD was urenlang beperkt beschikbaar vanwege ddos-aanvallen. NU (12 september 2022). Geraadpleegd op 29 februari 2024.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]