‘Toename DDoS-aanvallen wereldwijd probleem: spoofing niet meer toestaan’

De afgelopen dagen is er veel berichtgeving over DDoS-aanvallen. Het ‘grote publiek’ komt ineens in aanraking met wat een DDoS-aanval kan veroorzaken, bijvoorbeeld door de aanval bij ING en iDeal. Ook hoster Trans-IP vertelde zijn klanten getroffen te zijn door een DDoS-aanval. Wij vroegen expert Frans ter Borg, eigenaar van Quanza Engineering, wat er volgens hem aan de hand is.

Wat heb jij van de DDoS-aanvallen van afgelopen dagen meegekregen? Komen ze als een verrassing?

“Dat iDeal en ING doelwit zijn in een aanval komt niet perse als een verrassing,” vertelt ter Borg. “Het aanvallen van grote financiële-instellingen of -knooppunten (iDeal) raakt een hoop mensen en kan voor verschillende type DDoS-aanvallers helpen hun doel sneller te bereiken.”

Drie typen aanvallers
Ter Borg onderscheidt drie typen aanvallers: activisten, criminelen en scriptkiddies (hobbyisten). “Activisten zien een DDoS-aanval als een ‘demonstratie’ op internet,” legt hij uit. “Criminelen kunnen een DDoS-aanval gebruiken als afpersing. Scriptkiddies doen het voor ego-streling of om hun vrienden en bekenden te imponeren. Vooralsnog heb ik van de aanvallen van vrijdag 5 april op ING en iDeal helaas nog niet gehoord of het duidelijk is wat voor type aanvaller er achter de aanvallen heeft gezeten. Als het activisten waren, dan hadden ze er beter aan gedaan om de wereld eerder te laten weten welke misstand ze wilden belichten. Scriptkiddies lijken het ook niet te zijn, omdat er anders waarschijnlijk al was uitgelekt wie er achter zat. Als dat klopt, dan resteren boze klanten, concurrenten of criminelen.” Over de aanvallen bij iDeal en ING zijn mij op dit moment geen technische gegevens bekend.

Zijn de aanvallen de afgelopen tijd toegenomen? 

Sinds jaarwisseling flinke stijging
“Ja, het aantal aanvallen is sinds de jaarwisseling flink aan het stijgen. Wij merken na een redelijk rustige tweede helft van 2012, dat we sinds januari consequent, ondertussen meerdere keren per week door verschillende partijen worden benaderd om te helpen de impact van DDoS-aanvallen te beperken of teniet te doen.”

Hoe moeten we als sector tegen deze recente aanvallen aankijken? 

Zorgwekkend
“De toename in frequentie en hevigheid van DDoS aanvallen is zorgwekkend,” vindt ter Borg. “In de afgelopen maanden zien wij vooral een toename in het aantal DNS reflection-attacks. Die attacks lijken de nieuwste hippe vorm, vermoedelijk vooral vanwege de eenvoud. Je hebt er zelfs niet perse een heel groot botnet met geïnfecteerde PC’s voor nodig om deze te lanceren. Iedere hobbyist kan DNS reflection-attacks starten. De hevigheid van de aanvallen zal variëren afhankelijk van de vastberadenheid van de hobbyist en de mate waarin hij z’n sporen zal proberen te verbergen. Het is op zich vreemd dat deze aanvallen nu pas toenemen, want de problematiek van DNS reflection-attacks was al bekend in 2006.”

Aandachtspunten
Volgens ter Borg weet iedereen binnen de ISP-sector wel dat niets doen geen optie is als je netwerk of website belangrijk is. Hij hamert voor de zekerheid nog maar eens op de aandachtspunten. “Bereid je voor en zorg voor on-premise detectie en migratie als ‘first-line-of-defense’,” legt hij uit. “Vergeet de DNS-servers niet! Blijf op je hoede en weet wie je klanten zijn.”

Wat kunnen bedrijven in de ISP-sector doen om te helpen dit soort aanvallen te beperken?

Voor ‘DNS Reflection Attacks’ spelen volgens ter Borg twee belangrijke ingrediënten een rol:

1. Verkeerd geconfigureerde nameservers – Open resolvers, die eigenlijk geconfigureerd zouden moeten zijn om een beperkte set clients te antwoorden.

2. ISPs (zowel hosters als access ISPs) die het toestaan dat er dataverkeer hun netwerken verlaat met een bron-IP adres dat niet in hun netwerk thuishoort (spoofed IP-packets).

ISP’s als startpunt
Ter Borg geeft aan dat iedere ISP bij zichzelf zou moeten beginnen en kijken of de recursive nameservers die in haar eigen netwerk actief zijn (zowel de nameservers van de ISP zelf, als eventuele nameservers die door klanten in het netwerk van de ISP worden gedraaid) netjes zijn afgesloten en alleen toegang bieden aan de gebruikers (of IP-adressen) die er gebruik van mogen maken. “De volgende stap is dat ISP’s kijken of ze voldoende maatregelen hebben getroffen om de authenticiteit van IP-adressen die hun netwerk verlaten te kunnen garanderen, dus het tegengaan van IP-spoofing.”

Wereldwijd zelfde maatregelen
“Daarnaast zouden de hosters hun collega’s in binnen en buitenland moeten aansporen om dezelfde maatregelen te nemen,” laat ter Borg weten. “Hoe meer ISP’s wereldwijd deze maatregelen implementeren, hoe minder mogelijkheden er zijn om deze DDoS-variant te gebruiken.”

Spoofing niet meer toestaan
“Andere typen aanvallen maken gebruik van botnets, netwerken van met virussen of trojans geïnfecteerde PC’s, die via een centrale commandopost worden aangestuurd. Deze aanvallen zijn moeilijker tegen te gaan, omdat dit probleem meer in het domein van eindgebruikers ligt. Echter veel van deze door eindgebruikers veroorzaakte problemen zouden al beperkt kunnen worden als ISP’s spoofing niet meer zouden toestaan. Verder zou het zinvol kunnen zijn als ISP’s zich verenigen en direct reageren zodra er een ‘centrale commandopost’ van een botnet bekend wordt. Ze kunnen die botnet dan onbereikbaar maken door middel van een ‘nullroute’; er zijn op dat moment ook diverse manieren denkbaar om te achterhalen welke van haar klanten geïnfecteerd zijn en de ISP zou op basis daarvan specifieke klanten kunnen benaderen en helpen om hun besmette PC’s schoon te maken.”

Wereldwijde aanpak
“Iedere oplossing werkt vooral als het op globale schaal wordt doorgevoerd,” vertelt ter Borg tot slot. “Alleen in Nederland ons eigen straatje vegen zal wel een beetje helpen, maar dit is een wereldwijd probleem.”

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.