Upload
leliem
View
219
Download
5
Embed Size (px)
Citation preview
DDoSdIstrIbutEd dEnIal of sErvIcE-aanval rEËEl gEvaar voor IEdErE organIsatIE
Maart 2015
Een whitepaper van proserve®
Een whitepaper van proserve®DDoS, reëel gevaar voor iedere organisatie
2 3
Inhoud
1. InlEIdIng 3
2. Wat Is EEn dIstrIbutEd dEnIal of sErvIcE? 4
3. HoE bEscHErm jE jE tEgEn EEn ddos? 6
4. antI-ddos-dIEnstvErlEnIng van prosErvE 7
5. voordElEn van antI-ddos-sErvIcE van prosErvE 8
Het type aanvallen en de gebruikte methoden
zijn in de loop van de jaren regelmatig veranderd.
ook de motieven veranderden mee. ddos is
steeds meer een middel van cybercriminelen of
cyberactiegroepen geworden om financiële of
politiek-morele druk op bedrijven en organisaties uit
te oefenen. veel organisaties zijn of worden onder
druk gezet om losgeld te betalen of belemmerd in
hun werk. daarnaast is er de ontevreden student of
boze werknemer die met relatief simpele middelen
een organisatie lam kan leggen.
Verschuiving
aanvankelijk speelden ddos-aanvallen zich af
op de netwerklagen 3 en 4. omdat deze relatief
eenvoudig met netwerkfirewalls te beschermen
zijn, zochten aanvallers nieuwe doelen, waaronder
ssl en de applicatielaag. daar hebben traditionele
firewalls – die geen inzicht hebben in verkeer –
geen vat op. daarnaast is er ook een verschuiving
in de middelen die aanvallers gebruiken. lange tijd
waren dat zogenaamde zombie-pc’s, die ongemerkt
geïnfecteerd werden met malware en op afstand
inzetbaar waren voor aanvallen.
nu pc-gebruikers zich beter bewust zijn van
veiligheid zoeken aanvallers naar andere middelen,
zoals servers in datacenters en consumentenrouters.
servers in datacenters zijn aantrekkelijk omdat
ze vaak gigabitsnelheden ondersteunen. routers
zijn een ideaal middel omdat ze nagenoeg in
iedere woning of kantoor wel te vinden zijn en er
nauwelijks naar omgekeken wordt. de meeste zijn
typische consumentenproducten die slechts licht
beveiligd zijn.
Blackholing
lange tijd was blackholing het enige antwoord
op een ddos-aanval. Hierbij leidt een bedrijf of
serviceprovider bij een aanval alle verkeer om naar
een zwart gat, zodat het de servers niet bereikt en
kan beschadigen. nadeel van deze methodiek is dat
alle verkeer – dus ook het legale – in de omleiding
wordt meegenomen. Er zijn nu nieuwe technologieën
beschikbaar die deze ongewenste situatie oplossen.
Hierbij wordt Ip-verkeer bij een aanval ‘gewassen’
en gescheiden. proserve heeft zijn netwerk geschikt
gemaakt voor deze voorziening. In deze whitepaper
beschrijven we deze voorziening en gaan we dieper in
op verschillende aspecten van ddos.
1. Inleiding
De afgelopen jaren zijn Distributed Denial of Service-aanvallen (DDoS) regelmatig in het nieuws geweest.
Zowel grote, wereldwijd actieve multinationals als nationale onderwijsinstellingen en lokale bedrijven
waren het slachtoffer van een stortvloed aan dataverkeer op hun server(s).
Over proserve proserve is onderdeel van de It-Ernity groep. met circa honderd werknemers bedient het
bedrijf meer dan 50.000 klanten, beheert het 150.000 domeinnamen en ruim 6.000 servers.
vanuit haar vestigingen in amsterdam, Zwolle, son en papendrecht levert zij – samen met
diverse gerenommeerde partners – internetservices in de breedste zin van het woord.
Kwaliteit en veiligheid zijn belangrijke pijlers in de dienstverlening, hetgeen zich laat
onderschrijven door de Iso 9001 en 27001 certificering. Het dna van de organisatie laat
zich het beste vertalen in no-nonsense, ‘business aware’, innovatief, pro-actief, professioneel
en mensgericht. bekende klantnamen zijn Kpmg, vakantieveilingen.nl, bol.com,
Wegener en funda.
Maart 2015
Een whitepaper van proserve®DDoS, reëel gevaar voor iedere organisatie
4 5
2. Wat is een Distributed Denial of Service?
Een DDoS-aanval is in feite niets meer dan een poging om het netwerk, de (web)server en de
applicaties van een organisatie uit te schakelen door ze te overbelasten. Een DDoS-aanval
is mogelijk vanaf enkele hosts of in het geval van een botnet vanaf tientallen, duizenden of
honderdduizenden machines.
op dit moment zijn dat nog vooral geïnfecteerde pc’s. omdat gebruikers de laatste jaren voorzichtiger
zijn met het openen van verdachte e-mails of websites, verleggen cybercriminelen hun aandacht naar
andere middelen. Zo zijn servers in datacenters interessant omdat ze snel zijn en veel bandbreedte
bieden. dat vergroot de potentiële aanvalskracht. daarnaast blijken ook consumentenrouters een steeds
interessanter doelwit. de meeste van deze devices zijn maar heel beperkt beveiligd. Ze werken vaak met
protocollen waar in geen jaren naar gekeken is en waar vervolgens heel onverwacht gaten in worden
ontdekt.
technologieleverancier prolexic constateerde in 2013 een groei van maar liefst 718 procent in de
gemiddelde bandbreedte van een aanval naar gemiddeld 48,25 gbps. de onderzoekers van gartner
stelden vast dat 25 procent van de ddos-aanvallen in 2013 plaatsvond op de applicatielaag. Het vakblad
It World noemde in een publicatie china, de verenigde staten, duitsland en Iran als belangrijkste
bronlanden voor aanvallen.
Aanvalsvectoren
ddos-aanvallen bestaan er in verschillende soorten en er zijn allerlei manieren waarop een aanval
kan plaatsvinden – de zogenoemde aanvalsvectoren. deze vectoren zijn over het algemeen onder te
verdelen in drie brede categorieën:
De volumetrische aanvallen. deze proberen alle bandbreedte binnen het netwerk of de
service of tussen het netwerk en de dienst en de rest van het internet te vullen met data. dat
leidt uiteraard tot verstopping en uiteindelijk tot volledige onbereikbaarheid. organisaties
hebben in het verleden geprobeerd deze aanvallen op te vangen door te investeren in meer
bandbreedte. omdat de aanvallen probleemloos mee konden groeien met die grotere
bandbreedte, is meer capaciteit geen optie meer.
TCP State-Exhaustion-aanvallen. deze aanvallen proberen de connection state-tabellen in
bijvoorbeeld load-balancers, fi rewalls en de applicatieservers zelf te overvoeren. Zelfs zeer
zware devices die miljoenen connecties kunnen ondersteunen, zijn met dit type aanvallen uit
de lucht te halen.
Aanvallen op de applicatielaag. deze richten zich op een bepaald aspect van een applicatie
of dienst op laag 7 van het osI-model. dit zijn de gevaarlijkste aanvallen, omdat ze zeer
eff ectief zijn en slechts een aanvalsmachine nodig hebben die maar heel langzaam verkeer
genereert. deze aanvalsmethodieken zijn de laatste jaren populair geworden, mede omdat ze
moeilijk proactief te detecteren en af te slaan zijn.
Risico’s
binnen deze verschillende categorieën zijn de
daadwerkelijke aanvalsvectoren steeds weer
anders. Zij worden binnen de hackersgemeenschap
ontwikkeld en zijn soms al voor tien dollar aan te
schaff en. daadwerkelijke ddos-aanvallen zijn te
koop op het internet voor enkele dollars per uur
tot een paar tientjes voor een hele dag. dat geeft
meteen de ernst van de situatie aan. Het is relatief
eenvoudig een ddos-aanval uit te voeren.
voor iedere organisatie die afhankelijk is van een
website of webdienst zijn de risico’s groot.
Een webwinkel bijvoorbeeld kan zich geen
downtime veroorloven. dat tast direct de omzet en
winst aan. Hetzelfde geldt voor het toenemende
aantal bedrijven dat gebruik maakt van diensten
als software-as-a-service. bij een aanval op een
serviceprovider lopen deze diensten het risico uit
te vallen. dat zal het hele bedrijfsproces bij een
gebruiker stilleggen.
In de afgelopen jaren is geen enkele sector
gevrijwaard gebleven van aanvallen, variërend
van de fi nanciële sector en de overheid tot aan
gamingbedrijven en horeca.
Maart 2015
DDoS types
- Volumetrisch
- Protocol attacks
- Application layer attacks
DDoS types- Volumetrisch- Protocol attacks- Application layer attacks
TCP - SCN Flood
25%
iPv6
2%
VOIP
2%SMTP
9%HTTPS
13%HTTP
21%
DNS
11%
ICMP
6%UDP
7%TCP Other
6%Bescherm je server!
Network 46%Application 54%
DDoS types- Volumetrisch- Protocol attacks- Application layer attacks
TCP - SCN Flood
25%
iPv6
2%
VOIP
2%SMTP
9%HTTPS
13%HTTP
21%
DNS
11%
ICMP
6%UDP
7%TCP Other
6%Bescherm je server!
Network 46%Application 54%
Een whitepaper van proserve®DDoS, reëel gevaar voor iedere organisatie
6 7
3. Hoe bescherm je je tegen een DDoS?
In de netwerksector wordt dagelijks gewerkt aan oplossingen waarmee de negatieve gevolgen
van een DDoS-aanval zoveel mogelijk te beperken zijn. Tot nu toe werd alle dataverkeer bij
een aanval omgeleid naar een zogenaamde black hole. Dat was weliswaar afdoende om een
totale uitval van systemen te voorkomen, maar leidt ertoe dat ook het reguliere verkeer wordt
omgeleid.
daarom zijn er nieuwe technologieën ontwikkeld die onderscheid kunnen maken tussen legaal
en illegaal verkeer. die komen in het volgende hoofdstuk aan de orde. Zij zijn onderdeel van een
algemene aanpak die bedrijven kunnen hanteren om de risico’s en impact van een ddos-aanval te
minimaliseren.
Die aanpak bestaat uit de volgende stappen.
1. stel een risicoplan op, inclusief alle procedures en stappen die nodig zijn als een ddos-aanval
wordt ontdekt. Er zijn tal van praktijkvoorbeelden waarbij een organisatie veel tijd nodig
had om een team samen te stellen dat daadwerkelijk in actie kon komen. In het risicoplan
staan alle namen en actuele contactgegevens van alle betrokkenen (interne medewerkers en
externe leveranciers) bij een calamiteit vermeld.
2. creëer een whitelist. organisaties die te maken hebben met regelmatig terugkerende of vaste
klanten kunnen overwegen een whitelist aan te leggen, zodat het verkeer van deze partijen
door te laten is bij een aanval.
3. Wees alert op rookgordijnen. aanvallers maken soms gebruik van afl eidingsmanoeuvres
om een security-afdeling in een verkeerde richting te sturen. terwijl de specialisten zich
op een bepaald aanvalsdoel richten, kunnen aanvallers elders in het netwerk actief zijn en
bijvoorbeeld systemen platleggen.
4. Overleg regelmatig met toeleveranciers over risico’s, regelgeving en technologische
ontwikkelingen, zodat het mogelijk is om best practices te hanteren bij het tegengaan van
ddos-aanvallen.
5. Zorg intern voor optimale beveiliging zodat de eigen It-middelen niet geïnfecteerd kunnen
worden en misbruikt worden voor een aanval.
6. Zorg intern voor bewustwording over de risico’s van een aanval. Het tegengaan van aanvallen
en het voorkomen van een negatieve impact zijn niet alleen de verantwoordelijkheid van
de Internet service provider of de hostingleverancier. organisaties hebben ook hun eigen
verantwoordelijkheid om voorzorgsmaatregelen te treff en en een doelgericht plan te
ontwikkelen dat direct in werking treedt bij een aanval.
4. Anti-DDoS-dienstverlening
Naast het opstellen van risicoplannen zijn er
verschillende technische mogelijkheden om
de negatieve gevolgen van een DDoS-aanval
zoveel mogelijk op te vangen. Het gaat om zeer
gespecialiseerde apparatuur die in de sector
bekend staat als Intelligent DDoS Mitigation
Systems (IDMS). Deze systemen zijn aan de
randen van het netwerk, in de cloud of in een
hybride opstelling te installeren en reageren
direct bij een aanval. De markt voor deze
apparatuur groeit volgens IDC met zo’n achttien
procent per jaar en is in 2017 goed voor een
omzet van 870 miljoen dollar.
In nederland zijn deze systemen geïnstalleerd bij
stichting nationale beheersorganisatie Internet
providers (nbIp). deze organisatie behartigt de
beheerbelangen van een groot aantal nederlandse
Internet service providers en hostingbedrijven.
op initiatief van de nbIp is de nationale anti-ddos
Wasstraat (naWas) in het leven geroepen. deze
voorziening – die het nbIp beheert – maakt het
mogelijk om het dataverkeer van een aangesloten
nbIp-lid bij een ddos-aanval naar de wasstraat te
leiden waar het wordt gescheiden in gewenst en
ongewenst verkeer. proserve is lid van de nbIp en
heeft zijn netwerk geschikt gemaakt om gebruik te
maken van de nationale Wasstraat.
Netwerk
om gebruik te kunnen maken van de nationale
Wasstraat heeft proserve zijn eigen core netwerk
voorzien van analyzers. deze gespecialiseerde
devices inspecteren en analyseren alle verkeer
dat bij proserve binnenkomt. de analyzers zijn
zelfl erende devices die net als antivirusoplossingen
werken met signatures. Zij zijn bijvoorbeeld in staat
om verkeer met weinig data te herkennen. dat kan
wijzen op een ddos-aanval.
de analyzers zijn na verloop van tijd in staat om
volledig geautomatiseerd verdacht verkeer dat bij
proserve binnenkomst, door te routeren naar de
nationale Wasstraat. deze reinigt het verkeer en
stuurt het schone verkeer naar proserve terug.
Belang
Een enquête die de nbIp uitvoerde onder Internet
service providers onderstreept het belang van
goede anti-ddos-voorzieningen. Zo hadden dertig
organisaties gemiddeld bijna negen keer per jaar
te maken met een ddos-aanval. In 75 procent van
de aanvallen werd de hele infrastructuur geraakt
of negatief beïnvloed. Een gemiddelde aanval
was tussen de 100 mbit/sec. en 25 gbit/sec. groot
en in bijna veertig procent van de gevallen was
de Isp niet in staat om een aanval zelfstandig te
pareren. vandaar ook dat een ruime meerderheid
van de Isp’s zich zeer geïnteresseerd toonde in een
gezamenlijke voorziening tegen ddos-aanvallen.
Maart 2015
Valide verkeer
Tra�c Analyzer
DDoS Attack
Klant
NaWas
7MBps
10MBps
3GBpsProserve
DDoS + NaWas
nieuwland parc 155
3351 lj papendrecht
the netherlands
postbus 363
2950 aj alblasserdam
t +31 88 25 25 252
proserve®
5. Voordelen van anti-DDoS-service van proserve
De anti-DDoS-service van proserve biedt klanten verschillende voordelen:
Het volledige core-netwerk van proserve wordt 24x7 gemonitord op verdacht verkeer.
bij het vermoeden van een aanval is meteen actie te ondernemen.
de beschikbaarheid van de servers en websites stijgt en de risico’s die horen bij het
exploiteren van websites of het gebruiken van diensten als software-as-a-service nemen af.
de dienstverlening aan klanten, partners en leveranciers blijft ook bij een aanval beschikbaar.
Klanten zijn een minder aantrekkelijk doelwit voor aanvallers.