DDoS-aanvallen worden steeds heftiger en groter
Gepubliceerd: Donderdag 11 februari 2010
Auteur: Bill Brenner
Distributed denial-of-service aanvallen zijn niks nieuws. Bedrijven hebben al last van deze plaag sinds het begin van het digitale tijdperk. Maar DDoS lijkt de laatste zes maanden helemaal terug te zijn in het nieuws, met dank aan een paar grote aanvallen op belangrijke doelen en, zo zeggen experts, met twee belangrijke veranderingen in de aard van de aanvallen.
Massale slachting
In het afgelopen jaar heeft Amakai een paar van de grootste DDoS-aanvallen gezien die ooit zijn voorgekomen, die Ellis omschrijft als "geweldige aanvallen van meer dan 120 gigabits per seconde." Als je die om je oren krijgt, zei Ellis, "dan heb je een behoorlijk probleem."
Een massale aanval in juli was hier een goed voorbeeld van. In die slachting hamerde een botnet van zo'n 180.000 computers op websites van de Amerikaanse regering en zorgde voor veel problemen voor Amerikaanse en Zuid-Koreaanse bedrijven. De aanval begon op de zaterdag, waarbij de websites van de Fedral Trade Commission en het departement voor Transport neer werden gehaald. Ook een bank kreeg de volle laag. Daarnaast zijn bedrijven als Google, Yahoo! en Amazon aangevallen. Aanvallen op Google duurden nooit lang, maar als je nagaat dat de content van Google zo'n 5 procent uitmaakt van het hele verkeer op internet, dan is het bepaald geen rooskleurig vooruitzicht dat die internetreus serieus wordt aangevallen.
Makkelijk te maken
Paul Sop, CTO van Prolexic Technologies, heeft het effect dat botnets hebben op DDoS aanvallen kunnen bekijken vanuit zijn lab, waar zo'n dertig mensen het probleem full time bestuderen. "We hebben een IP Reputation database aangelegd, dat non-spoofed IP adressen opspoort van waaruit onze klanten worden aangevallen, en de lijst omvat nu ongeveer 4 miljoen geïnfecteerde machines", zei hij. "Het is verrassend hoeveel botnets er zijn en hoe makkelijk het is om er een te maken."
Zijn bedrijf ziet steeds meer layer-7 aanvallen op HTTP, HTTPS en DNS diensten. Deze aanvallen zijn niet gericht op de ISP-verbindingen van de gebruikers, maar op de servers en zijn veel moeilijker te identificeren en af te stoppen, zeker als de individuele bot minder agressief wordt en zich meer gedraagt als een legitieme gebruiker.
De meeste aanvallen die het team heeft bekeken, kunnen het best worden omschreven als competitieve sabotage van bedrijven.
Net legitiem verkeer
"In bepaalde markten waar de belangen groot zijn, zoals online gokken, is er een felle concurrentiestrijd gaande en daar wordt vrij veel gebruik gemaakt van DDoS", zei Sop. "Politiek gemotiveerde aanvallen worden ook populairder, en we beschermen veel kleine en grote media. Gewoonlijk is het een nieuwsbericht dat in het buitenland als beledigend wordt beschouwd dat wordt aangevallen, maar soms, zoals in het geval van de Democratic Voice of Burma', wordt gezegd dat de aanvallen gesponsord worden door de staat, of daar tenminste door worden goedgekeurd.
In een rapport over DDoS aanvallen door botnets, merkte Prolexic op dat aanvallers hun botnets zo aanpassen, dat het aanvalsverkeer er steeds meer uitziet als legitiem normaal verkeer. "In plaats van een geweldige uitbarsting van verkeer dat aangeeft dat er een aanval begonnen is, wordt het langzaamaan steeds drukker als steeds meer bots mee gaan doen in wisselende intervals. Daarbij hanteert iedere bot weer een andere stijl, waardoor het steeds moeilijker wordt om de bots te onderscheiden van echte gebruikers", stelt dat rapport.
Bron: Techworld
