De afgelopen dagen en weken waren Distributed Denial of Service (DDoS) aanvallen op websites van steden, gemeenten, en andere organisaties niet uit het nieuws weg te slaan. Zeker in aanloop naar de lokale verkiezingen zorgden deze gebeurtenissen voor een zekere nervositeit en verschillende vragen vlogen in het rond:
- Wat is een DDoS aanval?
- Hoe bescherm ik mijn organisatie hiertegen?
- Is België specifiek kwetsbaar voor dit soort aanvallen?
- Kunnen we individueel een steentje bijdragen?
In dit artikel vat Wim Remes, Head of Operations bij spotit, duidelijk samen wat een DDoS aanval is, waarom dit type aanval mogelijk is, wat de effectieve impact is, en hoe we ons hier beter tegen kunnen beschermen. Hou u vast aan de takken van de bomen…

Wat is een DDoS aanval?
In cyber security kennen we verschillende types aanvallen. Een Distributed Denial of Service aanval is een sub-categorie van de bredere Denial of Service categorie. Bij dit soort aanval slaagt menerin om een online dienst, een website, of een applicatie geheel of gedeeltelijk onbeschikbaar te maken voor legitieme gebruikers. Elke online dienst heeft beperkte resources. De combinatie van bandbreedte, processorkracht, opslagcapaciteit, geheugen, etc. Als een aanvaller een van deze resources kan uitputten zal de online dienst daar gevolgen van ondervinden en zullen legitieme gebruikers deze dienst niet meer als betrouwbaar ervaren. Er zijn in principe 2 types van Denial of Service aanvallen.
Applicatieve Denial of Service aanval
Hierbij maakt een aanvaller gebruik van een zwakheid in de online dienst of de onderliggende infrastructuur om zijn doel te bereiken. Het gaat hier dan bijvoorbeeld over het uitputten van het geheugen of het manipuleren van de applicatie op zo’n manier dat deze rondjes begint te draaien. Een eenvoudig voorbeeld hiervan is het misbruik van een zoekfunctie die, mits het aanpassen van de juiste parameters, zo veel antwoorden kan genereren dat de achterliggende database technologie te veel geheugen inneemt.
Voor aanvallers is dit een complex scenario omdat er veel kennis nodig is van de applicatie en de onderliggende infrastructuur. Mede daarom is het veel minder voorkomend dan het tweede type.
Volumetrische Denial of Service aanval
Hierbij richt een aanvaller zich op de beschikbare bandbreedte van een online dienst. Door deze uit te putten bereikt de aanvaller zijn doel. Het is ook in dit type van aanval dat we de Distributed Denial of Service aanval kunnen categoriseren.
Om het zo simpel mogelijk te stellen: elke online dienst ontvangt aanvragen van haar gebruikers en antwoordt daarop. Een volumetrische denial of service genereert zoveel aanvragen dat de online dienst nog onmogelijk op alle aanvragen kan antwoorden.
Het is in sommige gevallen mogelijk om dit vanop 1 systeem te bereiken maar in de meeste gevallen zal een aanvaller duizenden systemen die onder zijn controle zijn gebruiken om voldoende aanvragen te genereren. En zo komen we aan de exacte betekenis van Distributed Denial of Service aanval.

Hoe bescherm ik mij hiertegen?
Het internet is een aaneenschakeling van ‘buizen’ met verschillende bandbreedtes. In de meeste gevallen, net zoals een typische waterleiding, bevindt de smalste buis zich het dichtst bij de server zelf. Als deze verbinding overloopt van de aanvragen, is de Denial of Service een feit. Er zijn gelukkig een aantal oplossingen die een online dienst kunnen beschermen en het veel moeilijker kunnen maken voor een aanvaller om de beoogde resultaten te behalen. In de meeste gevallen is een combinatie van deze oplossingen nodig om een weerbare online dienst te creëren.
Firewalling
Met een firewall tussen uw online dienst en het internet is het mogelijk om de locaties van waar uw online dienst beschikbaar is te beperken. Op deze manier behandelt de online dienst enkel aanvragen van locaties die specifiek toegelaten zijn en worden andere aanvragen door de firewall geblokkeerd.
Het is dus mogelijk om, bijvoorbeeld:
- Enkel verkeer toe te laten vanop Belgische IP adressen
- Enkel verkeer toe te laten vanop Europese IP adressen
- IP adressen van landen die gekend zijn als aanvallers (Rusland, China, …) specifiek te blokkeren.
Deze strategie is haalbaar voor de meeste bedrijven maar er zijn natuurlijk een aantal nadelen aan verbonden. In de eerste plaats is het onmogelijk om dit toe te passen voor een online dienst die internationaal beschikbaar moet zijn. Anderzijds komt de grote hoeveelheid verkeer nog steeds uit op uw infrastructuur en kan ook de firewall of de internetverbinding zelf in een Denial of Service situatie verzeilen.
Content Delivery Networks
Om een DDoS efficient af te wenden is het belangrijk om de afstand tussen de aanvrager en de online dienst zo groot mogelijk te maken. Dit stelt u in staat om de aanvragen van de aanvaller zo vroeg mogelijk te stoppen en de resources van uw infrastructuur te vrijwaren.
Hierbij maakt u gebruik van Content Delivery Networks (CDN) zoals Akamai, Cloudflare, en andere. Deze maakten initieel furore omdat ze de vroege explosie aan beeld en video op het internet efficient behandelden. Ze waren dan ook zeer populair bij mediabedrijven om sneller content bij eindgebruikers te krijgen. Sinds hun ontstaan hebben deze CDN oplossingen ook sterk geïnvesteerd in beveiligingstechnologie. Zo zijn tegenwoordig “web application firewall” technologie enz. diep geïntegreerd in de CDNs.
Bij de integratie van een CDN in uw online strategie bereikt u verschillende doelen:
- Kwaadaardig verkeer wordt geweerd van uw eigen infrastructuur.
- Aanvallers worden vroeg ontdekt en geblokkeerd.
- Content van uw website is sneller beschikbaar voor uw gebruikers.
- Beheer van TLS certificaten wordt simpeler
Het is niet toevallig dat Cloudflare eerder deze maand nog meldde dat ze er in geslaagd waren om een aanval van 3,8 Terrabits per seconde op een geautomatiseerde manier af te slaan (https://blog.cloudflare.com/how-cloudflare-auto-mitigated-world-record-3-8-tbps-ddos-attack/). Het gaat hier wel degelijk over een hoeveelheid verkeer die geen enkele infrastructuur verwacht wordt te kunnen weerstaan. Het digitale equivalent van een categorie 5 orkaan.
Organisaties die een of meer online diensten aanbieden die voor het publiek of hun klanten van essentieel belang zijn raden wij dan ook aan om een CDN dienst te overwegen.

Is België specifiek kwetsbaar voor dit soort aanvallen?
België is op zich geen uitzondering op het internet. We zijn, als land, niet noodzakelijk kwetsbaarder dan andere landen. In de geopolitieke context van vandaag lopen we echter wel rond met een doelwit op onze rug. Enerzijds bevinden veel hoofdzetels van internationale en Europese organisaties zich in ons land en anderzijds is België – terecht – actief om de mensenrechten te vrijwaren in verscheidene regio’s. Het is dan ook logisch dat groepen van aanvallers die andere regimes ondersteunen Belgische doelwitten uitkiezen om hun boodschap kracht bij te zetten.
In het licht van de komende verkiezingen – waar steeds meer burgers digitaal stemmen – rijst de vraag of aanvallers in staat zouden zijn om deze in het honderd te laten lopen. Dat lijkt ons niet het geval. In de eerste plaats omdat de infrastructuur die gebruikt wordt voor het registreren en het tellen van de stemmen in België niet afhankelijk is van, of verbonden is met, het internet. Als land mogen wij oprecht trots zijn op de digitale infrastructuur waarover wij beschikken. Van het eID, over de elektronische stem, tot de invoering van elektronische doktersvoorschriften. Stuk voor stuk zijn het sterke implementaties waar vereisten rond beveiliging en integriteit zeer zorgvuldig werden overwogen en uitgewerkt. Als we bij uitbreiding kijken naar de initiatieven die geleid worden door het Centrum voor Cybersecurity België (kortweg CCB) -en de impact die deze initiatieven hebben op de Europese weerbaarheid, dan is een gezonde dosis trots voor onze capaciteiten zeker op zijn plaats.
Kunnen we individueel ons steentje bijdragen?
Gezien de hoogtechnologische aard van de DDoS aanvallen lijkt dit een overbodige vraag, maar dat is het allerminst.
In de hierboven beschreven aanval die door Cloudflare werd afgeweerd, werd door de aanvallers gebruik gemaakt van kwetsbare internet routers. Kwetsbare infrastructuur wordt gebruikt om andere infrastructuur aan te vallen.
Als gewone internetgebruikers hebben we zeer zeker een verantwoordelijkheid om de stukken die in ons eigen beheer zijn zo veilig mogelijk te houden. Daarom is het belangrijk om:
- Uw computers, routers, en andere systemen regelmatig te updaten.
- Paswoorden uniek en lang te maken. Hierbij kan u gebruik maken van een password manager om deze gemakkelijk te beheren.
- Waar mogelijk gebruik te maken van Multifactor Authentication in plaats van enkel paswoorden te gebruiken of aan te melden.
- Dingen die niet rechtstreeks aan het internet moeten gekoppeld zijn, niet koppelen.
In het Engels zeggen we vaak “It takes a village …” en dat is met het internet niet anders. Als iedere gebruiker, groot of klein, zijn verantwoordelijkheid opneemt dan zijn we allemaal een beetje veiliger.
CSIRT to the rescue
Bij spotit staan we steeds paraat om organisaties te helpen als het noodlot toeslaat. Of dit nu over een DDoS aanval gaat, een ransomware aanval, een ander type van cyber incident, of een catastrofale netwerk outage. Onze CSIRT dienst garandeert dat u 24/7 een team van experten ter beschikking heeft dat u kan bijstaan tijdens een incident. U krijgt steeds een ervaren incident manager samen met een team van technische experten ter beschikking die zich met u focussen op de impact van het incident, het vrijwaren van uw infrastructuur en data, en het herstellen van de toegebrachte schade.
Leer meer over CSIRT, uw levenslijn in geval van een cyberaanval: