Huawei helpt bedrijven zich te beschermen tegen DDoS-aanvallen

Het aantal Distributed Denial of Service (DDoS) aanvallen groeit niet alleen, maar ook de intensiteit en de lengte van de aanvallen neemt sterk toe. Dat vereist security-maatregelen waarin veel intelligentie is opgenomen. Huawei heeft daarom een Anti-DDoS oplossing ontwikkeld die nadrukkelijk gebruikmaakt van technieken op het gebied van Big Data.

De tijden dat DDoS-aanvallen vooral werden toegepast om de websites van bedrijven tijdelijk onbereikbaar te maken, ligt inmiddels ver achter ons. Cybercriminelen zijn tot de ontdekking gekomen dat DDoS-attacks voor veel meer doeleinden ‘nuttig’ kunnen zijn.

Miljoenen

Eerder dit jaar werd dit fenomeen bijvoorbeeld toegepast om een middelgrote firma tijdelijk los te koppelen van de site voor internetbankieren van zijn bank. Daarbij combineerden de aanvallers een aantal hulpmiddelen. Zo had men de webpagina’s die deze onderneming gebruikt voor het doen van betalingen nagebouwd. Op die manier had men ook inloggegevens te pakken gekregen. Door via een denial of service-aanval de echte pagina’s voor internetbankieren onbereikbaar te maken, terwijl de nagebouwde pagina’s wel beschikbaar waren, hadden de cybercriminelen een slimme aanpak bedacht. De administratie van het bedrijf dacht normale betalingen te doen, maar had in werkelijkheid te maken met de fake-site. Op dat moment konden de criminelen op de reguliere pagina’s voor internetbankieren inloggen en betalingen verrichten.

De DDoS-aanval was hierbij in feite een voorzorgsmaatregel. Mocht een medewerker van het bedrijf onraad ruiken en ontdekken dat de betaalsite nagebouwd was, dan was er nog geen man overboord. Want het bedrijf kon niet bij de echte betaalsite en kon daarmee dus ook deze illegale betalingen niet terugdraaien. Op deze manier werd het bedrijf voor enkele miljoenen benadeeld.

Sessies en applicaties

DDoS-aanvallen veranderen daarmee van karakter. Dat blijkt ook uit onderzoek dat Huawei naar dit fenomeen heeft gedaan. Het concern heeft ontdekt dat met name eCommerce- en gaming-sites gevoelig zijn voor dit soort aanvallen. Datzelfde geldt voor de webpagina’s van financiële instellingen. Daarnaast staan overheidsorganisaties steeds meer in de belangstelling van cybercriminelen.

Interessant is ook om te zien welke technische componenten bij een DDoS-aanval worden aangepakt. In 31 procent van de gevallen worden servers aangevallen, in 29 procent gaat het juist om het netwerk zelf. Maar ook load balancers (20 procent), firewalls en systemen voor intrusion prevention (15 procent) worden op de korrel genomen.

Het is ook niet meer zo dat bij iedere aanval massale hoeveelheden datapakketjes worden verstuurd. De attacks richten zich steeds vaker op de sessie- en applicatie-lagen, waardoor bepaalde IT-services met een relatief beperkte hoeveelheid data lam gelegd kunnen worden. In andere gevallen wordt echter juist weer wel voor een massale aanval gekozen. Zo kreeg Spamhaus, een Europese anti-spam organisatie, in 2013 bijvoorbeeld een aanval te verduren waarbij 300 Gbps werd verzonden. Dat was de grootste aanval ooit.

High-performance hardware

Er zijn vier componenten die samen een goede verdediging tegen DDoS-aanvallen opleveren. Deze dienen permanent in gebruik te zijn.

Dat is allereerst het gebruik van high-performance hardware. Wanneer bij een aanval de hoeveelheid inkomend dataverkeer plotsklaps enorm toeneemt, is het belangrijk dat de verdedigingsmechanismen gebaseerd zijn op krachtige hardware, zodat zeer snel data die gebruikt wordt voor de aanval gescheiden kan worden van regulier dataverkeer.

Daarnaast is behoefte aan een goed IP-reputatiesysteem. Hiermee kan worden vastgesteld wat de reputatie is van de verzender(s) van de grote hoeveelheid data die plotsklaps binnenkomt. Aanvallers maken echter ook gebruik van zogeheten ‘slow attacks’. Dan lijkt de DDoS-aanval in eerste instantie helemaal niet op een denial of service attack. Dan is het van cruciaal belang dat kan worden vastgesteld wat de bron van de binnenkomende data is. Zijn de karakteristieken van de bronsystemen waarmee normaal dataverkeer plaatsvindt in kaart gebracht, dan kunnen ook afwijkingen hierop worden geconstateerd. Dit is van cruciaal belang, zoals het voorbeeld hiervoor wel laat zien. Een DDoS-aanval kan immers ook bedoeld zijn om gebruikers naar een andere site te dwingen.

Tenslotte is behoefte aan een mechanisme om het gedrag van applicaties goed te volgen. Normaal gebruik van applicaties kent hele andere patronen dan softwaretoepassingen die worden misbruikt voor een aanval.

Meer nodig

Wat direct zal opvallen, is dat het bij anti-DDoS om veel meer gaat dan enkel en alleen het tegenhouden van niet-gewenst dataverkeer. Het is heel goed mogelijk om ook massale DDoS-aanvallen te neutraliseren. Daarvoor is het echter wel van belang dat we kunnen vaststellen welke binnenkomende data afkomstig is van gecompromitteerde IP-adressen en wat legitiem dataverkeer is. Dit vereist een grote mate van intelligentie die bovendien razendsnel toegepast moet kunnen worden.

Zeker nu DDoS-aanvallen steeds vaker onderdeel uitmaken van een breder aanvalsplan van cybercriminelen, is het van groot belang dat het normale dataverkeer ook tijdens een aanval normaal het netwerk in en uit kan. Dan had het bedrijf in het eerder genoemde voorbeeld wellicht toch toegang tot de betaalsite van zijn bank kunnen verkrijgen.

Maar zoals datzelfde voorbeeld ook aangeeft, dient een goede security-aanpak uit een goed op elkaar afgestemde reeks van maatregelen te bestaan. Dan was wellicht ook in een vroegtijdig stadium ontdekt dat de site voor internetbankieren niet in orde was. Op die manier had het betrokken bedrijf zichzelf veel (financiële) problemen kunnen besparen.

DDoS in cijfers

  • 29 procent van de DDoS-aanvallen veroorzaakt netwerkcongestie
  • 35 procent veroorzaakt fouten in legacy-maatregelen op het gebied van security
  • 36 procent van de Denial of Service-aanvallen veroorzaakt storingen op het gebied van IT-services en gegevensverwerking aan de client-kant
  • 29,81 procent meer DDoS-aanvallen in 2013 ten opzichte van 2012
  • 87,74 procent meer aanvallen tegen http applicatieprotocollen
  • 72,91 procent van de aanvallen gebruikt meer dan 1 Gbps aan data
  • 349 uur, 36 minuten en 42 seconden is de duur van de langst gemeten DDoS-aanval tot nu toe

Bron: Huawei 2013 Security Research Report

Hans Vandam is journalist