Video: DDoS-aanval is vaak stoerdoenerij (November 2024)
Wat ook het effect op internet is, niemand ontkent dat deze aanval, met een piek van 300 Gbps, de grootste DDoS-aanval ooit is geweest. Maar wat is een DDoS-aanval en welke verdedigingen zijn er?
Hoe de aanval werkte
Een Denial of Service-aanval overbelast de servers van het slachtoffer eenvoudig door ze te overspoelen met gegevens, meer gegevens dan de servers aankunnen. Dit kan het bedrijf van het slachtoffer verstoren of de website offline halen. Een dergelijke aanval uitvoeren vanaf een enkele weblocatie is niet effectief, omdat het slachtoffer dat verkeer snel kan blokkeren. Aanvallers lanceren vaak een Distributed Denial of Service-aanval via duizenden ongelukkige computers die worden bestuurd door een botnet.
David Gibson, vice-president Strategie voor het wereldwijde gegevensbeschermingsbedrijf Varonis, legde het proces in eenvoudige bewoordingen uit. "Stel je voor dat een aanvaller je telefoonnummer kan vervalsen, zodat je nummer wordt weergegeven op de telefoons van andere mensen wanneer de aanvaller belt, " zei hij. "Stel je nu voor dat de aanvaller een groep mensen belt en ophangt voordat ze antwoorden. Je zult waarschijnlijk een hoop telefoontjes van die mensen terugkrijgen… Stel je nu voor dat duizenden aanvallers dit doen - je zou zeker je telefoon moeten veranderen nummer. Bij voldoende oproepen zou het hele telefoonsysteem worden aangetast."
Het kost tijd en moeite om een botnet op te zetten, of geld om er een te huren. In plaats van dat probleem op te lossen, profiteerde de aanval van CyberBunker van het DNS-systeem, een absoluut essentieel onderdeel van het internet van vandaag.
CyberBunker heeft tienduizenden DNS-servers gevonden die kwetsbaar waren voor spoofing van IP-adressen, dat wil zeggen het verzenden van een webverzoek en het vervalsen van het retouradres. Een kleine vraag van de aanvaller resulteerde in een reactie die honderden keren zo groot was en al die grote reacties troffen de servers van het slachtoffer. Uitbreiding van het voorbeeld van Gibson, het is alsof elk telefoontje van de aanvaller je nummer overdroeg aan hondsdolle telemarketeers.
Wat gedaan kan worden?
Zou het niet mooi zijn als iemand technologie zou uitvinden om dergelijke aanvallen te omzeilen? In werkelijkheid hebben ze dat al, dertien jaar geleden. In mei 2000 bracht de Internet Engineering Task Force het artikel Best Current Practices uit, bekend als BCP38. BCP38 definieert het probleem en beschrijft "een eenvoudige, effectieve en duidelijke methode… om DoS-aanvallen te verbieden die vervalste IP-adressen gebruiken."
"80 procent van de internetproviders heeft de aanbevelingen al geïmplementeerd in BCP38", aldus Gibson. "Het is de resterende 20 procent die verantwoordelijk blijft voor het toestaan van vervalst verkeer." Gibson zei het probleem eenvoudig gezegd: "Stel je voor dat 20 procent van de bestuurders op de weg de verkeerslichten niet zou gehoorzamen - het zou niet langer veilig zijn om te rijden."
Vergrendel het
De beveiligingsproblemen die hier worden beschreven, gebeuren op een vlakke manier, ver boven uw thuis- of bedrijfscomputer. U bent niet degene die een oplossing kan of moet implementeren; dat is een taak voor de IT-afdeling. Belangrijk is dat de IT-jongens het onderscheid tussen twee verschillende soorten DNS-servers correct moeten beheren. Corey Nachreiner, CISSP en directeur beveiligingsstrategie voor netwerkbeveiligingsbedrijf WatchGuard, uitgelegd.
"Een gezaghebbende DNS-server is een server die de rest van de wereld vertelt over het domein van uw bedrijf of organisatie", aldus Nachreiner. "Uw gezaghebbende server moet beschikbaar zijn voor iedereen op internet, maar deze moet alleen reageren op vragen over het domein van uw bedrijf." Naast de naar buiten gerichte gezaghebbende DNS-server hebben bedrijven een naar binnen gerichte recursieve DNS-server nodig. "Een recursieve DNS-server is bedoeld om domeinzoekopdrachten aan al uw werknemers te bieden", legt Nachreiner uit. "Het zou moeten kunnen antwoorden op vragen over alle sites op internet, maar het zou alleen moeten antwoorden op mensen in uw organisatie."
Het probleem is dat veel recursieve DNS-servers de reacties op het interne netwerk niet correct beperken. Om een DNS-reflectie-aanval uit te voeren, moeten de slechteriken gewoon een aantal van die onjuist geconfigureerde servers vinden. "Hoewel bedrijven recursieve DNS-servers nodig hebben voor hun werknemers, " concludeerde Nachreiner, "MOETEN zij deze servers NIET openen voor verzoeken van iedereen op internet."
Rob Kraus, directeur onderzoek bij Solutionary's Engineering Research Team (SERT), wees erop dat "weten hoe uw DNS-architectuur er van binnen en van buiten echt uitziet, kan helpen bij het identificeren van hiaten in de DNS-implementatie van uw organisatie." Hij adviseerde ervoor te zorgen dat alle DNS-servers volledig zijn gepatcht en beveiligd volgens specificatie. Om er zeker van te zijn dat je het goed hebt gedaan, stelt Kraus voor "met behulp van ethische hackoefeningen misconfiguraties te ontdekken."
Ja, er zijn andere manieren om DDoS-aanvallen te starten, maar DNS-reflectie is vooral effectief vanwege het versterkingseffect, waarbij een kleine hoeveelheid verkeer van de aanvaller een enorme hoeveelheid naar het slachtoffer genereert. Het afsluiten van deze specifieke weg zal cybercriminelen op zijn minst dwingen een nieuw soort aanval uit te vinden. Dat is een soort vooruitgang.
