DDoS-aanval niet perse downtime

Als je mag afgaan op de berichtgeving in de media, is er de afgelopen tijd een ware hausse geweest van hack-pogingen, DDoS-aanvallen, en andere activiteiten van kwaadwillenden. Zo heeft alleen al in de afgelopen twee maanden het PlayStation-netwerk wereldwijd zeer zwaar onder vuur gelegen, is de site van Nintendo gehackt , is de module waarmee de Rabobank het internetbankieren beheert lamgelegd door een DDoS-attack, is het abonneebestand van Duinrell gekraakt en is de website van Grolsch gehackt. Alle gevallen werden breed uitgemeten in de pers, en de journalisten lijken meer dan ooit op zoek naar een nieuwe ‘gehackt-dag’. Om vervolgens te wijzen op de gevaren die een DDoS-aanval onherroepelijk met zich meebrengt.

Maar is dat wel zo? Is er inderdaad sprake van een hausse? En leidt een DDoS-aanval per definitie tot downtime? Volgens mij is dat wel degelijk het geval. DDoS-attacks zijn natuurlijk niets nieuws, daar kunnen we duidelijk over zijn. Maar de aantallen aanvallen en de hevigheid en impact ervan lijken te zijn toegenomen. Hetgeen de berichtgeving rond het fenomeen natuurlijk doet exploderen. Op de zoektermen DDoS en flooding krijg je een enorm aantal hits, en als je even iets dieper in de materie duikt, zie je dat er volgens specialisten ruim 7000 attacks per dag zijn en dat het grootste bot-netwerk bestaat uit meer dan 1,2 miljoen bots.

De grote media-aandacht blijkt overigens vaak behoorlijk eenzijdig gericht te zijn. Niet in de laatste plaats omdat ‘ellende scoort’ en feiten en cijfers als de bovenstaande mooie koppen maken. Terwijl specialisten natuurlijk graag de mogelijkheden belicht zien die voorhanden zijn om aanvallen af te wenden. Zo heeft het Deense bedrijf Secunia bijvoorbeeld in april nog een whitepaper gepubliceerd waarin het aangeeft dat het beperken van gebruikersrechten een goede start is om het risico op ‘host exploitation’ op zijn minst te reduceren. De schrijver van de paper voegt daar overigens meteen aan toe dat de inperking van administrator-rechten nooit als vervanging gebruikt kan worden voor vulnerability management en snelle softwarepatches, en dat het minstens van even groot belang is antivirus- en andere vormen van bescherming in te stellen.

En daarmee komen we op mijn territorium, want ik hoor en lees geregeld dat het afwenden van een DDoS-aanval zo goed als onmogelijk is. Terwijl er toch diverse hard- en softwareoplossingen zijn om dergelijke aanvallen tegen te gaan. Het filteren van internetverkeer of het gebruik van web-application firewalls zijn slechts enkele voorbeelden van middelen die kunnen worden ingezet tegen veel voorkomende DDoS-aanvallen.

Casus
Zo hebben wij in de zomer van 2010 voor een niet nader te noemen multinational een DDoS-aanval met succes weten af te wenden door direct de sterk in te grijpen in de architectuur en met toevoeging van onder andere een hardwarematige oplossing. Direct nadat de aanval was gestart, gingen er bij ons alarmbellen af bij de monitoring die we hebben draaien op de sites van dit bedrijf omdat de performance van deze sites zeer snel achteruit ging.

Op donderdagochtend kregen we officieel de opdracht om te zoeken naar een oplossing voor de DDoS-aanval die toen al meer dan een dag gaande was. De volgende dag begon het malafide verkeer al terug te lopen nadat de oplossingen waren geïmplementeerd.

image_preview (5)
Screenshot van de meetsoftware die de site performance in kaart brengt

Diezelfde avond nog was de website weer volledig bereikbaar en merkten de bezoekers niets meer van de DDoS-aanval, die zeker nog een week aanhield. Als bonus is de response-tijd van de site significant verbeterd doordat we deze via proxies beschikbaar stelden.

image_preview (6)
Hoeveelheid malafide verkeer dat de oplossingen hebben tegengehouden (paars) t.o.v. het legitieme verkeer (blauw).

Natuurlijk zijn er nog vele andere mogelijke aanvallen en remedies, en er komen steeds weer nieuwe aanvalsmethoden en verdedigingstechnieken bij. Waarbij je je overigens niet blind moet staren op de eerdergenoemde grootschaligheid van het probleem. Die is namelijk niet altijd relevant.

David en Goliath
Een DDoS-aanval kent altijd minstens twee partijen, die in ieder geval onder te verdelen zijn in een aanvallende en een lijdende kant. Er zijn veel gevallen bekend waarin een handvol thuisgebruikers met een ADSL-verbinding grote web-omgevingen op de knieën kregen omdat de lijdende kant langzame of intensieve applicaties via het web beschikbaar stelde. In een dergelijk geval is de grootte van de aanval of het aantal aanvallers niet zo relevant. Het DDoS-bestendig maken van een webapplicatie heeft alles met de architectuur en dus ook performance te maken, en niet – zoals vaak gedacht wordt – door eenvoudigweg een filter-appliance in te zetten.

De belangrijkste aanvalsmethoden en verdedigingstechnieken zijn uitstekend in kaart gebracht door Open Web Application Security Project (OWASP), een wereldwijde not-for-profit organisatie die zich inzet voor een optimale beveiliging van applicatiesoftware.

Bottom line is volgens mij in ieder geval: het feit dat een aanval met grote aantallen gepaard gaat of meer media-aandacht genereert dan gebruikelijk wil niet zeggen dat er ook daadwerkelijk een issue is. DDoS- en andere aanvallen zijn aan de orde van de dag, maar de echte specialisten zijn tot de tanden bewapend.


Eelco van Beek is CEO van IC&S / Jitscale uit Nieuwegein. Het bedrijf is gespecialiseerd in het ontwerp, de inrichting en de optimalisatie van bedrijfskritische IT-infrastructuren, inclusief het operating systeem, web-, database-, caching- en applicatieservers. Voor de oprichting van IC&S / Jitscale was Van Beek actief betrokken bij de ontwikkeling van onder meer grote videostreaming-infrastructuren, storage-netwerken en high-traffic internetplatformen.

Over Eelco van Beek

Laatste artikelen