Distributed denial of service (DDoS)

Een DDoS-aanval is een vorm van cyberaanval waarbij de daders een website, netwerk of andere onlinedienst trachten te verstoren of te laten crashen door deze te overbelasten met een grote hoeveelheid valse of ongewenste verzoeken.

5 minuten

5 minuten

Wat motiveert een DDoS-aanval?

Er zijn verschillende beweegredenen voor een DDoS-aanval. Voor cybercriminelen zijn deze meestal het verdienen van geld door DDoS-aanvallen als een dienst te verkopen, het chanteren van potentiële doelwitten om losgeld te betalen, hacktivisme en het verkrijgen van een concurrentievoordeel.

Het is bekend dat geavanceerde bedreigingsgroepen DDoS-aanvallen meestal gebruiken als onderdeel van of als afleiding van andere, ernstiger activiteiten zoals cyberspionage en cybersabotage.

Hoe werken DDoS-aanvallen?

Daders van DDoS-aanvallen gebruiken netwerken van gedistribueerde, aangetaste apparaten om systemen te verstoren door zich te richten op een of meer van de onderdelen die nodig zijn om een verbinding (zie het OSI-model) met een netwerkbron tot stand te brengen.

Enkele van de meest voorkomende aanvallen zijn:

Volumetrische aanvallen zijn een van de oudste soorten DDoS-aanvallen. Zij maken gebruik van grote hoeveelheden verkeer om de bandbreedtecapaciteit tussen het netwerk van het slachtoffer en het internet of de capaciteit binnen het netwerk van het slachtoffer op te vullen. De grootste volumetrische aanvallen worden (momenteel) gemeten in Terabits per seconde (Tbps), wat overeenkomt met ruwweg 9.000 gemiddelde internetverbindingen. Bij een floodaanval op het User Datagram Protocol (UDP) bijvoorbeeld, overweldigen de aanvallers de beoogde server op afstand door informatie op te vragen bij een toepassing die op een specifieke poort luistert. De server controleert en/of antwoordt op elk van deze verzoeken, waardoor de bandbreedte uiteindelijk opraakt en de server onbereikbaar wordt.

Protocolaanvallen. Zoals de naam al zegt, maken protocolaanvallen misbruik van het ontwerp van het onderliggende communicatieprotocol (OSI-model lagen 3 en 4) om de bronnen van het beoogde systeem uit te putten. Een voorbeeld van een protocolaanval is SYN flood, waarbij een groot aantal specifieke verzoeken naar de doelserver wordt gezonden, maar de antwoorden op die verzoeken zonder verdere actie worden gelaten, zodat de "driewegs handdruk" onvoltooid blijft. Wanneer het aantal onvoltooide verbindingen de capaciteit van de server uitput, wordt deze onbereikbaar voor legitieme verbindingen. Protocolaanvallen maken gebruik van speciaal samengestelde pakketten om hun kwaadaardige doelen te bereiken en worden daarom gemeten in pakketten per seconde (PPS). De grootste geregistreerde aanvallen hebben honderden miljoenen bereikt.

Aanvallen op de toepassingslaag (OSI-model laag 7) zijn gericht op openbare toepassingen via een grote hoeveelheid vervalst of vals verkeer. Een voorbeeld van een DDoS-aanval op de toepassingslaag is een HTTP flood, waarbij een specifieke webserver wordt overspoeld met verder legitieme HTTP GET- en HTTP POST-verzoeken. Hoewel de server over voldoende bandbreedte beschikt, wordt hij gedwongen een groot aantal nepaanvragen te verwerken in plaats van hun legitieme tegenhangers, waardoor zijn verwerkingscapaciteit uitgeput raakt. Aanvallen op de applicatielaag worden gemeten in tientallen miljoenen verzoeken per seconde (RPS).

Meer redenen

4. Organisaties hoeven niet het primaire doelwit te zijn om de impact van een DDoS-aanval te voelen, vooral als het vitale delen van de internetinfrastructuur verstoort, zoals lokale of regionale ISP's. In 2016 overspoelden criminelen servers van de grote DNS-provider Dyn. Andere belangrijke online diensten werden onbeschikbaar door deze DDoS-aanval, waaronder Twitter, Reddit, Netflix en Spotify.

5. Sommige cybercriminele actoren dreigen hun botnets in te zetten voor een DDoS-aanval tegen een specifieke organisatie tenzij er betaald wordt. Deze aanvallen worden DDoS- losgeldaanvallen genoemd en vereisen niet dat de aanvaller toegang krijgt tot de netwerken van hun doelwitten.

6. Sinds 2020 zijn DDoS-aanvallen tegen websites van slachtoffers ook een onderdeel geworden van het "drievoudige afpersingsschema" dat wordt gebruikt door prominente ransomware-bendes, waarbij DDoS wordt toegevoegd bovenop het stelen en versleutelen van de gegevens van doelwitten.

7. Er zijn DDoS-diensten te huur op het dark web waarmee zelfs onervaren actoren die het geld en de motivatie hebben, zoals het behalen van een voordeel op een concurrent, een DDoS-aanval kunnen organiseren.

Denial of service (DoS) vs Distributed denial of service (DDoS)

Zoals de naam al aangeeft, zit het verschil hem vooral in het aantal machines dat wordt aangevallen. In het geval van DoS wordt voor de aanval meestal een script of tool gebruikt, is de aanval afkomstig van één enkel apparaat en is de aanval gericht op één specifieke server of eindpunt. DDoS-aanvallen daarentegen worden uitgevoerd door een groot netwerk van door aanvallers gecontroleerde gecompromitteerde apparaten, ook wel botnets genoemd, en kunnen worden gebruikt om bepaalde apparaten, toepassingen, websites, diensten of zelfs hele netwerken van slachtoffers te overbelasten.

Hoe weet u of uw organisatie te maken heeft met een DDoS-aanval?

Het meest voor de hand liggende teken van een DDoS-aanval is een slechte prestatie of het niet beschikbaar zijn van het beoogde systeem of de dienst. In het geval van een website kan dit zich vertalen in lange laadtijden of onbereikbaarheid voor mensen binnen en buiten de organisatie. Er zijn ook openbaar toegankelijke diensten die DDoS-aanvallen monitoren, zoals downforeveryoneorjustme.com of downdetector.com

Lees meer

Een DDoS-aanval kan ook worden geïdentificeerd via de bewaking en analyse van netwerkverkeer waarbij nep- of junkverzoeken worden geïdentificeerd die een of meer bedrijfssystemen overbelasten. In sommige gevallen kan een afpersingsbericht ook wijzen op een mogelijke of lopende DDoS-aanval, waarbij losgeld wordt geëist om uw organisatie van de lijst van toekomstige doelwitten te schrappen of om een lopende aanval te staken.

7 redenen waarom uw organisatie zich zorgen moet maken over DDoS-aanvallen

  1. Een organisatie die wordt getroffen door een DDoS-aanval zal altijd inkomsten derven omdat haar website, diensten of systemen niet meer reageren. Het mitigeren van een incident legt ook een extra druk op het beveiligingsbudget.
  2. Volgens verschillende gevestigde leveranciers die de DDoS-scene in de gaten houden, is het aantal incidenten de afgelopen drie jaar snel toegenomen.
  3. DDoS-aanvallen worden ook steeds krachtiger; sommige zijn zelfs sterk genoeg om wereldwijde diensten te verstoren. Terwijl in 2020 de grootste (netwerklaag) aanvallen de drempel van 1 Tbps overschreden, zaten enkele opmerkelijke incidentenin 2021 al ruim in de buurt van 2-3 Tbps. Wanneer verzoeken per seconde (RPS) worden geteld, zijn ten minste twee DDoS-aanvallen in 2021 (gemeld door Cloudflare en Yandex) het gebied van 15+ miljoen RPS gepasseerd.

Meer redenen

4. Organisaties hoeven niet het primaire doelwit te zijn om de impact van een DDoS-aanval te voelen, vooral als het vitale delen van de internetinfrastructuur verstoort, zoals lokale of regionale ISP's. In 2016 overspoelden criminelen servers van de grote DNS-provider Dyn. Andere belangrijke online diensten werden onbeschikbaar door deze DDoS-aanval, waaronder Twitter, Reddit, Netflix en Spotify.

5. Sommige cybercriminele actoren dreigen hun botnets in te zetten voor een DDoS-aanval tegen een specifieke organisatie tenzij er betaald wordt. Deze aanvallen worden DDoS- losgeldaanvallen genoemd en vereisen niet dat de aanvaller toegang krijgt tot de netwerken van hun doelwitten.

6. Sinds 2020 zijn DDoS-aanvallen tegen websites van slachtoffers ook een onderdeel geworden van het "drievoudige afpersingsschema" dat wordt gebruikt door prominente ransomware-bendes, waarbij DDoS wordt toegevoegd bovenop het stelen en versleutelen van de gegevens van doelwitten.

7. Er zijn DDoS-diensten te huur op het dark web waarmee zelfs onervaren actoren die het geld en de motivatie hebben, zoals het behalen van een voordeel op een concurrent, een DDoS-aanval kunnen organiseren.

Wat kan uw organisatie doen om zich te beschermen tegen DDoS-aanvallen?

DDoS-aanvallen kunnen moeilijk in te dammen zijn voor organisaties die niet over de juiste middelen beschikken, zoals hardware of voldoende bandbreedte. Er zijn echter dingen die zelfs kleine en middelgrote bedrijven kunnen doen om zich beter te beschermen:

  • Monitor uw netwerkverkeer en leer afwijkingen in het internetverkeer te herkennen. Op die manier kunt u nep- of nepverzoeken identificeren die uw systemen overspoelen en deze blokkeren.
  • Zorg voor een noodherstelplan voor het geval een DDoS-aanval uw website of systemen treft. Dit kan inhouden dat u back-up servers, website en alternatieve communicatiekanalen hebt.
  • Overweeg de overstap naar de cloud. Dit zal de dreiging niet wegnemen, maar het kan wel helpen om de aanvallen te beperken dankzij de grotere bandbreedte en veerkracht van cloudinfrastructuur.
  • Als u al het doelwit van een DDoS bent of als u risico loopt, overweeg dan het gebruik van DoS- en DDoS-beschermingsdiensten die u kunnen helpen de gevolgen van een aanval te beperken.
  • Laat uw apparaten geen onderdeel worden van een botnet dat kan bijdragen aan een DDoS-aanval. Zorg ervoor dat u de regels van goede cyberhygiëne volgt, al uw apparaten en hun software up-to-date houdt en ze beschermt door een meerlaagse beveiligingsoplossing te installeren.

Voorkom DDoS aanvallen nu

ESET PROTECT
Advanced

Krijg effectieve bescherming met de mogelijkheden om de risico's gerelateerd aan DDoS aanvallen te beperken. ESET meerlaagse endpoint beveiligingsoplossingen gebruiken gesofisticeerde netwerkaanval beschermingstechnologie met geavanceerde filtering en packet inspectie om verstoringen te voorkomen.