Beveiligingsmiddelen tegen DDoS-aanvallen

 
29 mei 2013

Aanleiding

Onze maatschappij wordt door het digitaliseren van bedrijfsprocessen steeds afhankelijker van het internet. Hoewel de efficiëntie van de bedrijfsprocessen hierdoor toeneemt, worden er steeds vaker doelgerichte Distributed Denial of Service (DDoS) aanvallen uitgevoerd om deze bedrijfsprocessen te verstoren. Stein & Stewart (2002) omschrijven Denial of Service (DoS) als een aanval waarbij een computer of netwerk niet in staat is om de diensten te verlenen waarvoor het was ontworpen. Verder beschrijven Stein & Stewart (2002) een DDoS als een gecoördineerde aanval met meerdere computers tegen één of meerdere doelen, waarbij de aanval wordt geïnitieerd vanaf één computer. Deze computer geeft een groot aantal cliënt computers de opdracht om aanvragen te verzenden naar een server. Hoewel er al oplossingen zijn bedacht voor het weren van DDoS aanvallen, slagen de aanvallen nog steeds zoals recent in nieuwsberichten werd aangeven[1].

Belang

Het belang bij een goede afweer tegen DDoS aanvallen is groot, aangezien de consument het vertrouwen stelt in bedrijven, overheidsinstellingen en banken. Daarnaast is de financiële schade voor winkeliers ook enorm. Thuiswinkel.org schrijft in een artikel op haar website[2] dat de schade door de DDoS aanval op iDEAL van begin april in de tientallen miljoenen euro’s is gelopen. Ook overheidsdiensten zoals DigiD hebben te kampen gehad met een dergelijke aanval. Op de website van DigiD wordt zelfs een permanente melding gegeven met de melding dat de website beperkt bereikbaar kan zijn door terugkerende DDoS aanvallen. Het is dus van belang dat zowel de consumenten, winkeliers, banken en overheidsinstellingen worden beschermd tegen deze aanvallen.

Centrale vraag

Ik onderzoek beveiligingsmiddelen tegen DDoS aanvallen, omdat ik wil weten of er passende beveiligingsmiddelen zijn waardoor DDoS aanvallen kunnen worden teruggedrongen teneinde de beschikbaarheid, integriteit en veiligheid te kunnen waarborgen zodat consumenten geen hinder meer ondervinden van dergelijke aanvallen op de overheid of in het bedrijfsleven.
Denial of Service (DoS)
Een DoS aanval is in tegenstelling tot de DDoS variant een één op één aanval en hoeft niet per definitie via het netwerk te geschieden. Een kwaadwillend proces zoals een virus kan dermate veel systeembronnen van een computer in beslag nemen, dat overige processen hun benodigde systeembronnen niet meer kunnen aanvragen en benutten. Een systeem kan hierdoor zeer sloom reageren of zelfs stoppen met functioneren. Via het netwerk kan een DoS aanval worden uitgevoerd door bijvoorbeeld een Flooder. Een Flooder is software  die misbruikt maakt van onschuldige programma’s zoals Internet Control Message Protocol (ICMP). Bij dit type aanval wordt de computer dermate veel belast met ping aanvragen, dat deze het niet meer kan verwerken, mits de broncomputer krachtiger is dan de doelcomputer. Bij een één op één aanval komt dus de krachtigste computer het beste uit de strijd. In geval dat de doelcomputer het sterkst is, betekent dit dat de doelcomputer sneller berichten kan verwerken dan de broncomputer kan verzenden.

Distributed Denial of Service(DDoS)

Een Distributed Denial of Service (DDoS) aanval is een aanval die wordt uitgevoerd met meerdere geïnfecteerde computers. Deze computers worden ook wel zombiecomputers genoemd en zijn onderdeel van een botnet. Vaak weet de eigenaar van een computer niet dat zijn computer functioneert als een zombie en kan worden ingezet als aanvaller. Een botnet is een verzameling zombiecomputers, die door een aanvaller op elk gewenst moment kunnen worden geactiveerd. De aanvaller heeft hierdoor een heel leger aan computers tot zijn beschikking, die vervolgens een gecoördineerde aanval kunnen uitvoeren op een doelwit. Een dergelijke aanval heeft een grote impact op de beschikbaarheid van de netwerkinfrastructuur en services die het doelwit beschikbaar stelt. Legitieme aanvragen kunnen hierdoor niet meer worden beantwoord waardoor bedrijfsprocessen falen. In tegenstelling tot een DoS aanval is dit een veel op één aanval. Hierdoor wordt de kracht van een DoS aanval verveelvoudigd.

De grote van een botnet kan sterk variëren. Raywood (2010) schrijft in zijn artikel voor SC Magazine UK dat een botnet van wel 30 miljoen geïnfecteerde computers is opgerold, welke zich over de hele wereld bevonden.

Een botnet wordt opgezet door handelingen van een hacker of door het toepassen van kwaadwillende software zoals virussen en Trojaanse paarden. Dit wordt bereikt door het installeren van besturingssoftware wat ook wel een agent of een handler wordt genoemd. Nadat de computer is geïnfecteerd met besturingssoftware, maakt deze deel uit van het botnet.

Er bestaan verschillende modellen voor het uitvoeren van DDoS aanvallen. Het meest gebruikte model onder cybercriminelen is het Agent/Handler model. Bij dit model communiceert de aanvaller  via tussengelegen geïnfecteerde computers met zijn agents. Deze tussengelegen computers worden handlers genoemd. De agents krijgen vervolgens instructies van de handlers om een aanval te verrichten op een doelwitsysteem. Via dit principe is het zeer lastig om te achterhalen wie de daadwerkelijke aanvaller is.

Een botnet wordt door cybercriminelen niet alleen gebruikt voor het uitvoeren van grootschalige DDoS aanvallen, maar ook voor andere malafide doeleinden. Een ander doel waarvoor een cybercrimineel een botnet kan gebruiken is het versturen van grote hoeveelheden spam.

De gevolgen van een DDoS aanval kunnen ook andere type cybercriminelen activeren. Een dergelijke cybercrimineel is een social engineer die zijn aanval richt op de mens. Sondagh (2008) beschrijft een social engineer als iemand die gebruik maakt van de zwaktes van de mens, zoals het inspelen op angsten en het strelen van ego’s. De social engineer gebruikt een DDoS aanval om mensen met phishing mail of telefoongesprekken te manipuleren. In het eerste geval doet hij dit door vlak na een DDoS aanval een manipulerend email bericht te versturen. In dit email bericht staan vervolgens instructies om in te loggen via een  andere website. Hoewel deze website er exact hetzelfde uit ziet, is het eigenlijk een phishing website. Deze namaak website steelt vervolgens de persoonlijke informatie van onwetende gebruikers en speelt dit door naar de social engineer. In het laatste geval belt de social egineer een slachtoffer op, om vervolgens het slachtoffer onrustig te maken, een hand toe te reiken om het slachtoffer in de waan te brengen van zijn hulp en vervolgens persoonlijke informatie te stelen. De ING biedt via haar website de mogelijkheid om inzicht te verkrijgen in phishing email’s zodat consumenten deze valse e-mails kunnen herkennen en verwijderen.

Veiligheidssoftware

De eerste laag van bescherming tegen DoS of DDoS aanvallen ligt aan de kant van potentiële zombiecomputers. Alle computers  dienen ten alle tijden te beschikken over goede antivirus software. Zo stelt de ING, die de afgelopen tijd vaak slachtoffer is geworden van DDoS aanvallen, via haar website gratis veiligheidssoftware beschikbaar. Deze veiligheidssoftware beschermt tegen malware zoals Trojaanse paarden. Wel geeft de ING aan dat deze software naast een volledige geüpdate virusscanner en operationele firewall moet fungeren.

Firewall

Banken, bedrijven en overheidsinstellingen die services via het internet beschikbaar stellen, doen dat achter één of meerdere firewall opstellingen. Een firewall bevind zich tussen het internet en het lokale netwerk. Het lokale netwerk wordt ook wel het intranet genoemd. Een firewall heeft als doel het beschermen van achterliggende systemen tegen ongewenst dataverkeer van het internet. Een voorbeeld van een dergelijk systeem dat services via het netwerk beschikbaar stelt, is een web server. Daarnaast kan een firewall ook de verbindingen van systemen binnen in het lokale netwerk naar het internet blokkeren. Dit kan bijvoorbeeld voorkomen wanneer een systeem in het lokale netwerk is geïnfecteerd met een Trojaans paard, dat vervolgens software installeert die verbinding maakt met een hacker. Een firewall maakt het in sommige gevallen ook mogelijk om naast het beschermen van achterliggende systemen, zich te weren tegen aanvallen van buiten af, zoals bijvoorbeeld een DDoS aanval. Een firewall wordt door een netwerkadministrator voorgeprogrammeerd met behulp van een firewall beleid. Scarfone & Hoffman (2002) beschrijven een firewall beleid als de manier waarop een firewall om moet gaan met netwerkverkeer voor specifieke IP adressen, IP adres reeksen, protocollen, applicaties en het type inhoud van het netwerkverkeer.

Een firewall kan het in en uitgaand dataverkeer op verschillende manieren filteren. Deze filters worden op verschillende lagen van het Open System Interconnection (OSI) model toegepast. De packet filtering functie van een firewall werkt op laag drie(netwerklaag) van het OSI model. Het OSI model bestaat uit zeven lagen. Deze lagen beschrijven de architectuur van communicatiesystemen. Elk datapakketje verloopt de zeven lagen, zowel voor het incapsuleren als decapsuleren. Packet filtering is een basisfunctie van een firewall. Met packet filtering wordt op basis van IP-adres van bron en bestemming, transport protocol, sessie poort van  bron en  bestemming, interface en de richting van het pakketje, de netwerktoegangscontrole toegepast. De functies van statefull inspection gaan verder dan die van packet filtering. Statefull inspection maakt het mogelijk om de sessie status van een verbinding bij te houden. Het is hierdoor mogelijk om afwijkende pakketjes die via deze sessie verlopen te blokkeren. Naast packet filtering en statefull inspection bestaat er ook statefull protocol analysis, wat ook wel een applicatie firewall wordt genoemd. Deze applicatie firewall opereert op laag zeven(applicatielaag) van het OSI model. Een applicatie firewall spoort bijvoorbeeld een verdacht uitvoerbaar bestand op in een e-mailbericht. Een applicatie firewall kan ook controleren of een bepaald type netwerkprotocol over een andere sessie poort wordt gebruikt.

Intrusion Detection System(IDS)

Een Intrusion Detection System (IDS) is een systeem dat naast een firewall geïnstalleerd kan worden. Een IDS systeem kan worden gezien als een alarmeringsysteem dat aanvallen vanaf het internet kan detecteren . Na detectie van een aanval kan een IDS een waarschuwing afgeven aan de lokale netwerkadministrator. In de beveiligingscyclus biedt een IDS systeem detectie, en een firewall repressie. Rafeeq (2003) omschrijft in zijn boek dat een gebruikelijke plaats voor een  IDS achter een firewall is.

Intrusion Prevention System(IPS)

Een Intrusion Prevention System (IPV)  maakt het net als een Intrusion Detection System mogelijk om een aanval te detecteren. Naast het detecteren kan dit systeem ook preventief acties uitvoeren om zich tegen aanvallen te weren.  Sondagh(2008)  omschrijft een Intrusion Prevention System, als een handig systeem dat al het netwerkverkeer van de aanvaller kan blokkeren en het reguliere netwerkverkeer kan doorlaten.

Conclusie en discussiepunten

DDoS aanvallen kunnen met huidige beveiligingsmiddelen zoals een firewall worden tegengehouden. Door gebruik van een firewall worden achterliggende systemen zoals een web server beschermd tegen ongewenst dataverkeer. Wanneer een DDoS aanval plaatsvindt, zal de firewall extreem veel aanvragen te voorduren krijgen en hierdoor sommige reguliere aanvragen blokkeren. Hierdoor kan het voorkomen dat services die via het internet worden aangeboden niet meer bereikbaar zijn, wat vervolgens weer leidt tot verstoorde bedrijfsprocessen.

De social engineer kan na een DDoS aanval inspelen op de gebeurtenissen en mensen via phishing e-mails of websites informatie ontfutselen.  Hij of zijn maakt hierbij gebruik van de zwaktes van de mens. Het probleem van een DDoS aanval is dus tweeledig. Aan de ene kant de verstoring van bedrijfsprocessen en aan de andere kant de social engineer die misbruik maakt van de situatie.

De beste tactiek voor het bestrijden van DDoS aanvallen, bevind zich op verschillende gebieden. De bescherming van een cliënt computer met een virusscanner is misschien wel één van de belangrijkste beveiligingstactieken, aangezien dit systeem na infectie de kern van het probleem is. Naast een goede virusscanner is het ook van belang dat een correct ingestelde firewall volgens het bedrijfsbeleid wordt geïnstalleerd. Hierdoor wordt een hacker gehinderd in de uitvoering van een DDoS aanval op een systeem. Naast het installeren van een firewall, wordt ook vaak gebruik gemaakt van een Intrusion Detection System (IDS), wat het mogelijk maakt om aanvallen te detecteren en netwerkadministrators te alarmeren. Een geavanceerdere uitvoering van een IDS, is een Intrusion Prevention System (IPS) die het mogelijk maakt om aanvallen te blokkeren en een groot deel van het reguliere verkeer door te laten.

Aangezien  een heel traject wordt afgegaan voor het uitvoeren van een DDoS-aanval, zoals het infecteren met besturingssoftware, het coördineren van een aanval en het commanderen van zombiecomputers , is het van belang dat op de verschillende gebieden preventieve maatregelen worden ondernomen. Hieruit valt te concluderen dat met de huidige staat van techniek een hybride oplossing het beste is. Onder een hybride oplossing kan worden verstaan het aanbieden van gratis veiligheid software aan gebruikers van services, het installeren van een hybride firewall die op verschillende lagen van het OSI model dataverkeer filtert en het plaatsen van een Intrusion Prevention System, voor het detecteren en blokkeren van aanvallen.

Alhoewel er beveiligingsmiddelen zijn op meerdere fronten, lijken deze meer DDoS aanvallen te beperken dan te kunnen voorkomen zo blijkt uit de berichtgeving van instellingen die te kampen hebben met dergelijke aanvallen.

Bibliografie

Boogert, E. (2013, April 8). Webwinkels lijden weer miljoenen schade door iDEAL. Opgeroepen op Mei 1, 2013, van emerce: http://www.emerce.nl/nieuws/webwinkels-leiden-weer-miljoenen-schade-door-ideal

DigiD beperkt bereikbaar door DDoS-aanval. (2013, April 24). Opgeroepen op Mei 1, 2013, van DigiD: https://www.digid.nl

Ec-Council (2009). Ethical Hacking and Countermeasures: Threats and Defense Mechanisms. Clifton Park, NY: Cengage Learning.

Informatie over DDoS-aanvallen. (sd). Opgeroepen op Mei 2, 2013, van ING: http://www.ing.nl/de-ing/veilig-bankieren/informatie-over-ddos-aanvallen/index.aspx?bid=0035_Service_HPP_Mass_inte_ddos_wk16_Actueel

Kamphorst, J. (2008). Resource management in een Linux jailing systeem. Amsterdam: Universiteit van Amsterdam.

Raywood, D. (2010, Oktober 26). Bredolab botnet taken down after Dutch intervention. Opgeroepen op Mei 2, 2013, van SC Magazine UK: http://www.scmagazineuk.com/

Rehman, R. (2003). Intrusion Detection Systems with Snort. upper saddle new jersey: pearson education.

Scarfone, K., & Hoffman, P. (2009). Guidelines on Firewalls and Firewall Policy. Gaithersburg: National Institute of Standards and Technology.

Sondag, B. (2008). ICT Security. Amsterdam: Brinkman Uitgeverij.

Stein, L. D., & Stewart, J. N. (2002, Februari 4). The World Wide Web Security FAQ. Opgeroepen op Mei 1, 2013, van World Wide Web Consortium (W3C): http://www.w3.org/Security/faq/wwwsf6.html#DOS-Q2

Thuiswinkel.org roept minister Opstelten op werk te maken van aanvallen op vitale infrastructuur. (2013, April 8). Opgeroepen op Mei 1, 2013, van Thuiswinkel waarborg: http://www.thuiswinkel.org

Vandeplas, C., & Mahieu, W. (2005). SIP Load Generator.


[1] http://tweakers.net/nieuws/88394/ing-kampte-ondanks-maatregelen-opnieuw-met-ddos-aanval.html

[2] http://www.thuiswinkel.org/cms/showpage.aspx?id=11244

Over de schrijver:

Dit artikel is geschreven door Jordy Hermus, 25 jaar en volgt de opleiding Informatica aan de Hogeschool Rotterdam. De afgelopen studiejaren heeft hij veel geleerd over softwareontwikkeling, databases, communicatienetwerken en security. Hij is graag technisch bezig om  innovatieve oplossingen te maken die ingezet kunnen worden om mensen te helpen. Daarnaast vindt hij het erg leuk om mij te verdiepen in nieuwe ontwikkelingen.


Werken met ?
Kijk dan bij onze mogelijkheden voor zowel starters als ervaren engineers.


Categorieën: Development, Digitale rechten