Rapporten vertonen een stijgende lijn in DDoS-aanvallen, wat zijn de opties?

blog dinsdag 9 maart 2021

Wereldwijd zien we een trend ontstaan waarin DDoS-aanvallen een steeds prominentere plek innemen op het internetverkeer. Die trend is zichtbaar in zowel de grootte als in de hoeveelheid van de aanvallen. Meerdere rapporten ondersteunen deze bevindingen. Een argument voor de cijfers uit deze rapporten is dat tegenwoordig iedereen een DDoS-aanval kan starten. Dat klinkt verontrustend, maar als het te verklaren valt, is er dan niet een oplossing?

Artikel Worldstream Anti-DDoS

Jaarlijks vertonen DDoS-aanvallen een stijgende lijn in het aantal als de grootte

Afgelopen jaar heeft de stichting NBIP een rapport gedeeld met cijfers omtrent DDoS-aanvallen in Nederland. De anti-DDoS service die zij in beheer hebben met de naam NaWas beschermt ongeveer 43% van alle Nederlandse domeinen. Bij het bekijken van dit rapport valt op dat er in 2019 een stijgende lijn is te herkennen in de grootte van DDoS-aanvallen en de complexiteit ervan. Echter qua hoeveelheid wordt er juist een kleine daling genoemd. Dit is gemeten ten opzichte van het jaar ervoor. Als wij naar een vergelijkbaar rapport van Neustar kijken, dat zich in de Verenigde Staten bevindt, dan onderstrepen zij die bevindingen. Echter een opmerkelijk verschil was dat bij deze statistieken de hoeveelheid aanvallen juist wel was gestegen. Een verschil van maar liefst 180% in vergelijking met het jaar ervoor.

Afgelopen jaar zijn we afhankelijker geworden van het internet dan voorheen, thuiswerken is nu de norm. Dit komt natuurlijk door de pandemie waar we allemaal gevolgen van ondervinden. Deze ontwikkeling heeft blijkbaar een sneeuwbaleffect gehad op de groei van DDoS-aanvallen. De niet al te positieve cijfers van 2019 zijn in het eerste half jaar van 2020 niet verbeterd. De conclusie van Neustar was dat aanvallen met 2,5 keer waren gegroeid. Andere aanbieders van anti-DDoS diensten zoals Nexusguard en Netscout zeggen met eigen rapporten nagenoeg hetzelfde.

Maar die groei is nog maar één aspect van het verhaal. Vooral het steeds groter worden van de aanvallen wordt meermaals genoemd. Waar een mitigatie van 587 Gbit/s al een record was in 2019 voor Neustar, daar zag diezelfde partij in 2020 een verdubbeling van 1.17 Tbit/s. Sterker nog, Amazon mitigeerde in juni zelfs een aanval van 2.3 Tbit/s. Kortom, de eerste helft van 2020 bracht ons grotere, complexere en meer DDoS-aanvallen. Dat brengt ons op het volgende: wat kan je ertegen doen?

Van een ingewikkelde cyberaanval tot een simpele actie die iedereen kan ondernemen

Volgens het eerder genoemde rapport van de NBIP is er daling zichtbaar bij kleinere aanvallen (kleine dan 1 Gbit/s). Deze statistiek is hoogstwaarschijnlijk gebaseerd op de standaarddefinitie van DDoS-aanvallen, namelijk een netwerk van computers die met elkaar verbonden zijn (botnet) om een dienst te ontwrichten. Er zijn namelijk meerdere manieren om dit te initiëren. Een meerderheid van recente DDoS-aanvallen was namelijk in staat om op applicatieniveau een firewall uit te schakelen. Hiervoor worden vaak kleinere aanvallen ingezet met een specifiek doel, zoals het kortsluiten van de beveiliging. Wanneer dat succesvol is dan wordt dit opgevolgd door een andere aanval. Het combineren van DDoS-aanvallen wordt multivector genoemd. Dit klinkt complex, maar is in feite een combinatie van meerdere kleinere aanvallen.

Volgens een studie uit 2010 is het zelfs mogelijk om een DDoS-aanval aan te schaffen. Uit deze studie bleek bijvoorbeeld dat je per dagdeel zo’n €60 kwijt was. Een recentere studie van Kapersky berekende dat het huren van een DDoS-aanval €20 per uur zou kosten. Een gemakkelijke en relatief goedkope oplossing om een dienst offline te brengen. Echter zelfs zonder de tussenkomt van een derde partij zijn er talloze mogelijkheden. Zoals een ping flood naar een IP adres of het gebruik van een programma als Low Orbit Ion Cannon. In principe zou iedereen dat kunnen gebruiken. Toch zijn dat soort aanvallen weinig effectief, zeker als je een vorm van DDoS bescherming hebt.

Als je een dienst hebt die altijd online moet blijven, dan is bescherming een pré

Geen enkel bedrijf kan een potentiële DDoS-aanval volledig uitsluiten. Dat wil echter niet zeggen dat het onmogelijk is om jezelf ertegen te weren. Dat begint bij het erkennen dat een DDoS-aanval jouw dienst kan platleggen. Als je een dienst beheert die altijd online moet blijven, dan is bescherming geen overbodige luxe. Om er zeker van te zijn dat jouw dienst online blijft, is het raadzaam om te bedenken of jouw IT-dienst geschikt is om DDoS aanvallen te mitigeren. Een externe partij kan hierin oplossing bieden.

De meeste internetproviders in Nederland maken gebruik van de NaWas wasstraat om zich te beschermen tegen DDoS-aanvallen. Het is namelijk relatief kostbaar om zelf anti-DDoS apparatuur aan te schaffen, te ontwikkelen en effectief in te zetten. Vandaar dat bescherming tegen DDoS door een derde partij eerder regel is dan uitzondering. Dan komt er nog bij dat de meeste DDoS oplossingen vaak gebonden zijn aan één node. Bij Worldstream is er gekeken hoe dit horizontaal geschaald kan worden. Worldstream heeft de afgelopen jaren een eigen DDoS platform ontwikkeld. Dit platform, Worldshield, is een eigen systeem dat bestemd is voor klanten binnen het netwerk van Worldstream. Het is deel van een totaaloplossing. Worldshield is bij uitstek geschikt voor professionals die de gehele IT-infrastructuur uit handen willen nemen.

Maar hoe beschermt Worldshield tegen DDoS aanvallen? Om DDoS-aanvallen tegen te gaan monitoren we real-time al het binnenkomend verkeer op de core-routers van Worldstream. De routers sturen sFlow data welke real-time worden geanalyseerd om DDoS patronen te herkennen en hierop te acteren. Wanneer er een afwijking wordt ontdekt door het systeem gaat het verkeer van de klant direct richting het Worldshield cluster. Gecombineerde aanvallen zoals bijvoorbeeld UDP amplificatie en SYN flood (applicatielaag 3 en 4) kunnen door het platform worden tegengehouden. En dit gebeurt allemaal zonder tussenkomst van de klant. Doordat ons netwerk een utilisate ratio van 45% heeft zijn wij in staat om verkeer van 1 Tbit/s (en zelfs daarboven) te mitigeren voor onze klanten.

De aanwezigheid van DDoS-aanvallen zal voorlopig een dreiging blijven voor het internet in zijn geheel. Er is geen methode die alle DDoS-aanvallen kan tegenhouden. Bescherming tegen DDoS-aanvallen is altijd een kwestie van aanpassen aan de ontwikkelingen. Toch zijn veel aanvallen voorspelbaar en daarom goed op te lossen. Wees ervan bewust dat zelfs een simpele aanval, die goed tegen te houden is, schade kan aanrichten. Data zul je niet verliezen, maar jouw service wel.

Wist je dat het Worldstream DDoS Shield nog veel meer opties biedt? Neem een kijkje op onze DDoS Protection pagina.

Mogelijk ook interessant: 

Vragen aan de auteur over dit artikel? Je kan ons hier bereiken.