Denial of Service aanval: netwerk onder vuur

Hacktivisme en datalekken. Het zijn twee hardnekkige trends die de internetwereld in toenemende mate in hun greep houden. Dat het onderwerp in de belangstelling staat, komt mede door de activiteiten van een groepering als Anonymous. Hun Distributed Denial of Service (DDoS) aanvallen brachten nogal wat bedrijven en organisaties negatief in het nieuws. In deze serie artikelen gaan we dieper in op Denial of Service aanvallen en mogelijke verdedigingsmethodes.

Zoals besproken in het vorige artikel op ISP Today, hanteren hackers de laatste jaren steeds slimmere aanvalsmethodieken om een online doelwit te frustreren. Zeker voor grote organisaties is het dan ook belangrijk dat netwerkbeheerders continu op de hoogte blijven van de nieuwste ontwikkelingen om cybercriminelen voor te blijven. In de komende serie artikelen behandelen we daarom de verschillende methodieken die aanvallers tot hun beschikking hebben.

Aanvallen kunnen grofweg worden ingedeeld in twee categorieën: aanvallen op netwerken en op applicaties. Uit het 2011 Security Report van leverancier Radware blijkt dat in 46% van de geobserveerde aanvallen sprake is van een aanval op het netwerk. In de rest van de gevallen gaat het om applicaties die het doelwit zijn van hackers. In dit artikel beperken we ons tot netwerkgerelateerde aanvallen.

Netwerk aanvallen
Voorbeelden van netwerkaanvallen zijn onder meer TCP SYN (Synchronous) floods. Normaliter zet een client een verbinding op naar de server door een TCP SYN pakket te versturen. De server antwoordt vervolgens met een SYN-ACK en de client bevestigt de verbinding met een ACK (Acknowledge) pakket. Hierna kan er data worden verstuurd. Bij het ontvangen van het eerste SYN pakket zal de server een sessie reserveren voor deze client. Bij een SYN-flood stuurt de aanvaller echter een SYN-pakket met een vals afzenderadres waardoor de server een SYN-ACK verstuurt, maar nooit een ACK-pakket terugkrijgt. Als de aanvaller dit vaak genoeg herhaalt, zal het besturingssysteem op een gegeven moment geheugen of sockets te kort komen.

Andere methodes om de netwerklaag aan te vallen, zijn bijvoorbeeld UDP-floods of ICMP-aanvallen zoals Ping-of-Death. Daarbij verstuurt een aanvaller een ICMP-pakket dat groter is dan de maximale pakketgrootte. De netwerkinfrastructuur zal het betreffende pakket daarom fragmenteren. De doelhost zal het betreffende pakket echter niet weer kunnen defragmenteren, waardoor het besturingssysteem kan crashen. Ook is het mogelijk om ICMP-Nukes of Ping Floods uit te voeren. Nukes sturen ICMP-pakketen met ongeldige inhoud, terwijl Ping Floods netwerken overspoelen met enorme hoeveelheden ICMP-verkeer.

Vrij beschikbare tools
Bovenstaande netwerk aanvallen zijn eenvoudig uit te voeren met verschillende vrij beschikbare programmatuur. Voor zowel ICMP, UDP als TCP aanvallen zijn verschillende tools beschikbaar als proof of concept zoals bijv. SSPing. Daarnaast zijn ICMP of TCP/UDP flood aanvallen eenvoudig uit te voeren met eenvoudige tools zoals HPing3.

Bescherming relatief simpel
Het beschermen tegen netwerk aanvallen is relatief simpel vergeleken met het tegengaan van aanvallen die zijn gericht op applicaties. ICMP-aanvallen zijn bijvoorbeeld eenvoudig tegen te houden door het blokkeren van al het inkomende ICMP-verkeer, met uitzondering van veelgebruikte ICMP-typen als Echo-Request, Echo-Reply, TTL Exceeded, Port-Unreachable en Fragmentation-DF-Set. Met behulp van een standaard firewall of ACL (Access Control List) kan dit verkeer worden geblokkeerd. Filteren is mogelijk met een Intrusion Prevention System.

SYN-cookies zijn een relatief eenvoudige methode om TCP SYN-floods tegen te gaan. Met SYN-cookies zal de server geen reservering maken bij het ontvangen van een SYN-pakket, maar een SYN-ACK versturen met een specifieke karakteristiek. Er vindt pas een reservering plaats zodra de server een ACK-pakket ontvangt die met deze karakteristiek overeenkomt.

SYN-cookies zijn te implementeren op backend servers, maar efficiënter is het om dit te doen met een Intrusion Prevention System (IPS) of Loadbalancer. Daarnaast kan een Intrusion Prevention System een verband leggen tussen applicatie- en netwerkgerichte aanvallen, en op deze manier sneller en effectiever blokkeren zonder dat legitieme gebruikers hier last van hebben.

In het volgende artikel van deze serie komen aanvallen op applicaties aan bod.


Gert-Jan de Boer is IT-Specialist bij aaZoo en al ruim tien jaar actief als netwerk/security specialist voor diverse organisaties. aaZoo is een IT-dienstverlener gespecialiseerd in het ontwerpen, bouwen en beveiligen van internet & e-commerce omgevingen met onder andere Anti-DDoS en Intrusion Prevention oplossingen.