Wellicht heb je in het nieuws gelezen over Friese leerlingen die een DDoS aanval hebben gedaan op hun school. In deze blog leg ik jou uit wat dit precies inhoudt.
Allereerst staat DDos voor Distributed Denial of Service. Een DDoS-aanval is een kwaadwillige poging om het normale verkeer van een server, service of netwerk te verstoren door het doelwit of de omliggende infrastructuur te overweldigen met een stortvloed aan internetverkeer. Het houdt dus in dat je zorgt voor zó veel internet verkeer, dat je het netwerk platlegt. Stel je bijvoorbeeld voor dat er ineens 20 mensen op jouw WiFi gaan vergaderen via Teams, software laden en nog meer handelingen doen, dan wordt alles traag en in het ergste geval houdt de WiFi er helemaal mee op.
Heb jij juist mega goede WiFi en zie je het probleem niet? Stel je dan eens voor dat de snelweg, welke normaal altijd vrij is, ineens helemaal vol staat met auto's. Deze auto's hebben allemaal met elkaar afgesproken om de weg op te gaan met doel om een file te veroorzaken.
DDoS-aanvallen bereiken effectiviteit door meerdere computers te gebruiken als bron van aanvalsverkeer. Uitgebuite machines kunnen computers en andere netwerkbronnen zijn, zoals IoT-apparaten. Denk hierbij aan smartphones, tablets en laptops.
Hoe werkt een DDoS-aanval?
DDoS-aanvallen worden uitgevoerd met netwerken van op internet aangesloten apparaten, zoals laptops, tablets en smartphones. Deze netwerken bestaan uit computers en andere apparaten die zijn geïnfecteerd met malware, waardoor ze op afstand kunnen worden beheerd door een aanvaller. Deze individuele apparaten worden bots (of zombies) genoemd en een groep bots wordt een botnet genoemd.
Zodra een botnet tot stand is gebracht, kan de aanvaller een aanval richten door instructies op afstand naar elke bot te sturen. Als de server of het netwerk van een slachtoffer het doelwit is van het botnet, stuurt elke bot verzoeken naar het IP-adres van het doelwit, waardoor de server of het netwerk mogelijk overbelast raakt. Dit resulteert erin dat de server of het netwerk stopt met werken; denial-of-service.
Omdat elke bot een legitiem internetapparaat is, kan het moeilijk zijn om het aanvalsverkeer te scheiden van het normale verkeer.
Zo identificeer je een DDoS-aanval
Het meest voor de hand liggende symptoom van een DDoS-aanval is dat een site of service plotseling traag of onbeschikbaar wordt. Aangezien een aantal oorzaken vergelijkbare prestatieproblemen kunnen veroorzaken, is verder onderzoek altijd vereist. Verkeersanalysetools kunnen helpen enkele van deze veelbetekenende tekenen van een DDoS-aanval op te sporen. Hieronder bespreek ik een aantal mogelijkheden waarbij je kan denken aan een DDoS-aanval.
- Verdachte hoeveelheden verkeer afkomstig van een enkel IP-adres of IP-bereik;
- Een vloed van verkeer van gebruikers die één gedragsprofiel delen, zoals apparaattype, geolocatie of webbrowserversie;
- Een onverklaarbare toename van verzoeken voor één pagina of eindpunt;
- Vreemde verkeerspatronen zoals pieken op oneven uren van de dag of patronen die onnatuurlijk lijken;
- Er zijn andere, meer specifieke tekenen van een DDoS-aanval die kunnen variëren afhankelijk van het type aanval.
Meer weten?
Wekelijks plaats ik blogs over allerlei IT onderwerpen. Deze blogs vind je hier. Instructies over allerlei soorten software kan je natuurlijk ook vinden! Neem dus gerust een kijkje op mijn website.