Een Distributed Denial of Service (DDoS) is een type DoS-aanval waarbij meerdere gecompromitteerde systemen worden gebruikt om een enkel systeem aan te vallen. Dit soort aanvallen kan aanzienlijke, wijdverspreide schade veroorzaken, omdat ze meestal de hele infrastructuur beïnvloeden en tot ontwrichtende, dure uitvaltijden leiden.
DDoS versus DoS
Zoals hierboven vermeld, is een DDoS-aanval een soort DoS-aanval. De belangrijkste manier om een DDoS-aanval te identificeren in vergelijking met een ander type DoS-aanval, is door te kijken hoe de aanval wordt uitgevoerd. Bij een DDoS-aanval is het inkomende verkeer dat het slachtoffer overspoelt afkomstig van veel verschillende bronnen, mogelijk honderdduizenden of meer. Dit maakt het effectief onmogelijk om de aanval te stoppen door simpelweg een enkel IP-adres te blokkeren; Bovendien is het erg moeilijk om legitiem gebruikersverkeer te onderscheiden van aanvalsverkeer wanneer het over zoveel punten van herkomst is verspreid.
Hoe DDoS-aanvallen werken
DDoS-aanvallen worden vaak uitgevoerd door een Trojaans paard, een type malware dat is vermomd als een onschadelijk bestand of programma. Zodra de aanvallers meerdere apparaten hebben gecompromitteerd en een botnet hebben gemaakt, gebruiken ze een Command and Control-server (C2) om het beoogde systeem aan te vallen totdat het overbelast raakt en uiteindelijk faalt. De specifieke aanvalsmethode kan variëren.
Soorten DDoS-aanvallen zijn onder meer:
- Volumetrische aanvallen: Volumetrische aanvallen verbruiken gewoonlijk bandbreedtebronnen door een enorme hoeveelheid verkeer te creëren, waardoor legitieme gebruikers geen toegang krijgen tot het doelsysteem. Soorten volumetrische aanvallen omvatten DNS-versterking, waarbij de aanvaller het IP-adres van het doelwit gebruikt bij het initiëren van een verzoek om een grote hoeveelheid gegevens. Dit betekent dat de server tegelijkertijd dezelfde gegevens verzendt en ontvangt en vervolgens overweldigd raakt.
- Protocolaanvallen: Protocolaanvallen richten zich op de netwerkbronnen door de firewall of load balancer te overweldigen.Daarom worden ze ook wel state-exhaustion-aanvallen genoemd. Typen protocolaanvallen omvatten SYN-overstroming, waarbij de aanvaller de 3-staps handshake van een TCP-verbinding manipuleert totdat de netwerkbronnen zijn verbruikt en geen extra apparaten een nieuwe verbinding tot stand kunnen brengen.
- Applicatielaag aanvallen: Aanvallen op applicatielagen worden gebruikt om bronnen in de applicatielaag uit te putten. Bij dit soort aanvallen sturen bots meerdere miljoenen gecompliceerde toepassingsverzoeken tegelijk, zodat het systeem zeer snel overweldigd raakt. Typen aanvallen op de applicatielaag omvatten HTTP-overstroming, wat in feite vergelijkbaar is met het herhaaldelijk vernieuwen van een browser vanaf een groot aantal apparaten.
Er zijn een aantal maatregelen die gebruikers kunnen nemen om de gevolgen van een DDoS-aanval te voorkomen of te beperken. Het ontwikkelen en regelmatig herevalueren van een responsplan en het implementeren van multi-level dreigingsbeheersystemen zijn waardevolle tactieken die dure uitvaltijden als gevolg van een DDoS-aanval kunnen voorkomen. Het is ook belangrijk om het netwerk te controleren op waarschuwingssignalen. Symptomen van een op handen zijnde DDoS-aanval zijn onder meer grote verkeersvolumes die:
- Afkomstig van één IP-adres of bereik van IP-adressen
- Ga naar een enkele webpagina
- Afkomstig van één gemeenschappelijk gebruikerskenmerk (zoals geolocatie)
- Komt voor op onverwachte momenten van de dag