Netwerkbeheerders vragen zich af wat ze kunnen beginnen tegen de DDoS-aanvallen die afgelopen week het nieuws domineerden. Is er afgelopen jaren progressie geboekt in het tegengaan van deze relatief eenvoudige, maar enorm schadelijke vorm van hacken? Sites als Mastercard, Visa en PayPal werden door Wikileaks-sympathisanten massaal onder vuur genomen.

Kun je een site tegen een DDoS beschermen? En zo nee, wat kun je doen om de impact van een verlammende aanval te beperken?

'Zeldzaam fenomeen, maar impact is gegroeid'

“Sowieso is het gevaar groter dan ooit omdat de afstanden tussen gebruikers en datacenters kleiner zijn geworden, tenzij je een idiote hoeveelheid bandbreedte beschikbaar hebt”, schijft Blake Dunlap binnen een forum van Noord-Amerikaanse netwerkbeheerders (NANOG). “Het blijft een relatief zeldzaam fenomeen, maar de impact is groter dan ooit. Vraag maar aan Wikileaks; ik geloof dat ze soms bloot stonden aan meer dan 10Gbit aan verkeer. Dat de hoeveelheid DDoS-aanvallen afgelopen jaren is verminderd, is positief te noemen”, aldus Dunlap.

Niet alleen sites die Wikileaks in een of andere vorm tegenwerken zijn doelwit, ook WikiLeaks zelf heeft afgelopen jaren regelmatig te kampen met DDoS-charges.

“Het probleem van DDos is dat de bronnen (de hosts van botnets – nietsvermoedende gebruikers) helemaal niet doorhebben dat ze meedoen in een DDoS. Aan de andere kant kan een doelwit van een DDoS weinig anders doen dan een aanval proberen te stoppen door extra bandbreedte toe te voegen of door één voor één de isp’s te contacteren om het effect te minimaliseren”, zegt beheerder Arturo Servin.

Sommige beheerders zeggen dat ze voor een gedistribueerde architectuur kiezen met anycast en extra bandbreedte beschikbaar houden om de gevolgen van bestormingen in te dammen. Anderen vinden dat er meer gedaan zou moeten worden om botnets neer te halen.

Sleutel ligt bij de aanpak van botnets

“DDoS is een symptoom. Het werkelijke probleem zijn botnets”, zegt solutions architect Roland Dobbins. “Het voorkomen dat hosts opgenomen worden in botnets is prioriteit nummer één en het neerhalen van bestaande botnets is dé manier om DDoS-aanvallen te voorkomen. Helaas staat preventie los van de het verdedigen tegen een plots optredende DDoS.”

Het lijkt makkelijker gezegd dan gedaan, het elimineren van botnets. “Botnets zijn een detail”, zegt beheerder Bill Manning. “Zeg je dat de tool het probleem is, dan kijk je niet verder dan je neus lang is. Door de evolutie van internettechnieken verwacht ik dat botnet-achtige structuren vaker voor gaan komen en ook zullen worden ingezet voor nuttiger zaken dan gecoördineerde aanvallen.”

Hoewel er afgelopen jaren verschillende methoden zijn ontwikkeld om het effect van DDOS-aanvallen te beperken, zijn er ook nieuwe manieren opgedoken om DDoS-offensieven te plegen.

'Probleem is niet op te lossen'

“Gebruikers hebben veel meer bandbreedte dan vroeger en het is veel makkelijker geworden om een eigen botnet op te zetten door gebruik te maken van met malware geïnfecteerde internetters”, schrijft Jonas Frey van Probe Networks. “Ik zie momenteel geen oplossing voor het probleem. Je kunt weinig doen tegen de onwelwillendheid van gebruikers om hun software of besturingssysteem up-to-date te houden en antvirus/antimalware software te draaien. Sommige pogingen daartoe, zoals bijvoorbeeld het afsluiten van internetters die onderdeel zijn van een botnet, zijn oplossingen voor de lange termijn. Er is gewoon geen patch voor menselijke domheid.”

Niet iedereen is het daar mee eens. Roland Dobbins zegt: “De technieken, de technologieën en de best practices liggen voor het oprapen. Bedrijven zouden hier meer over moeten weten. Als ze de informatie opzoeken kunnen ze zichzelf gemakkelijk beschermen hun netwerken en klanten behoeden voor DDoS-aanvallen. Het is geen hogere wiskunde; met enige skills en toewijding kun je aan de slag. Wereldwijd zijn ondernemingen er al succesvol mee aan de slag gegaan. En over deze organisaties lees je niet in de media.”

'Hét moment voor preventie'

Dobbins denkt dat de aanvallen op Mastercard, Visa, PayPal en Wikileaks zelf de staat van paraatheid bij IT-professionals verhoogt. Dit is hét moment om preventiemaatregelen te treffen tegen DDoS-charges.

“Deze aanvallen zijn niet erg geavanceerd”, zegt hij. “Maar ze veroorzaken buitenproportioneel veel schade doordat de betrokken organisaties niet voorbereid waren.” Bron: Techworld