Met juiste strategie DOS-aanvallen tegengaan

Onlangs werd na de uitspraak van de rechter in de zaak van Stichting Brein tegen XS4ALL en Ziggo over de blokkade van de website van ‘the Pirate Bay’, de website van Brein bestookt met DOS-aanvallen uit verschillende bronnen. ISP Today vroeg aan twee experts op dit gebied naar de mogelijkheden om dit soort aanvallen tegen te gaan.

Malafide verkeer
Frans ter Borg, eigenaar van Quanza Engineering, benoemt de mogelijkheden van de apparatuur die zij als DDoS mitigation appliance leveren. “Zodra malafide verkeer onze apparatuur bereikt zal deze middels tientallen intelligente algoritmes kijken naar het verkeer en typische aanvalspatronen herkennen. Nadat de appliance voldoende vertrouwen heeft opgebouwd zal het malafide verkeer gaan worden gedropt. Dit gebeurt gebruikelijk tussen de 30 en 120 seconden.”

Ontwrichten
“Het merendeel van de aanvallen die we tegenwoordig zien, is gericht op het ontwrichten van de draaiende applicatie,” geeft Ter Borg aan. “Die zijn relatief voordelig uit te voeren, omdat er veel minder bandbreedte nodig is op het botnet en je kan met een paar handjes vol bots al een eenvoudige server uit de lucht kan halen.”

Verstopt in legitiem verkeer
Jorik Jonker, Manager Special Projects bij Equinix Nederland, is het hier mee eens: “Waar vroeger een DOS-aanval simpelweg één of meerdere lijnen afvulde, worden ze tegenwoordig vaak een stuk compacter uitgevoerd. Zo min mogelijk slim gemaakte pakketjes vallen dan de logica van de applicaties aan. De aanval zit als het ware verstopt tussen legitiem verkeer. Dit maakt de aanval een stuk lastiger te detecteren, maar ook lastig om te bestrijden.”

Hij twijfelt echter wel aan de garanties die je kan bieden met DDoS-appliances: “Een mitigation appliance is een hele mooie oplossing om deze slimme aanvallen te lijf te gaan, maar het zal lastig zijn om veiligheid hiermee echt te garanderen.”

Voldoende capaciteit
Ter Borg en Jonker bevestigen beiden dat ouderwetse ‘domme’ aanvallen nog steeds voorkomen. “De aanvaller heeft het dan gemunt op de uplinks van de aan te vallen dienst,” vertelt Jonker. “Hierbij wordt vaak gebruik gemaakt van botnets en gekraakte machines, zodat de bron van de aanval weinig aanknoping biedt tot blokkering, het komt immers overal vandaan. De voornaamste manier om dit te bestrijden is het beschikbaar hebben van voldoende capaciteit, zodat de aanval je lijnen niet verzadigt.”

Ter Borg noemt een mogelijke oplossing. “We hebben naar aanleiding van een DDoS aanval die de meervoudige 1Gbps lijnen vol drukten, de infrastructuur en lijnen opgewaardeerd naar 10Gbps. Daarop hebben we ‘10Gbps capable’ apparatuur aangesloten. Daarbij hebben we ondertussen alle netwerkcomponenten in beheer genomen en sinds die tijd is 100% uptime behaald.”

Volgens Jonker is dit inderdaad een goede strategie. “Een combinatie van een DOS mitigation appliance en voldoende ruimte in de uplinks is een goede oplossing, maar deze kosten moeten uiteraard opwegen tegen de schade die er mee bespaard wordt.”

Juiste apparatuur en bandbreedte
Voor ISP’s is er apparatuur om de applicatie-gerichte aanvallen tegen te gaan. Een klant die regelmatig aangevallen wordt, kan nu baat hebben aan deze apparatuur. De ISP zelf zal daarnaast voldoende bandbreedte moeten hebben, om ook de traffic flood DOS-aanvallen te kunnen doorstaan.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.