De doelen zijn nog ongeveer hetzelfde, websites van bedrijven en overheid. Het motief is normaal gesproken iets als afpersing of het in de wielen rijden van een concurrent of van een impopulaire overheidsinstantie. Maar de felheid en impact van de aanvallen zijn aanzienlijk gegroeid, dankzij de snelle groei van botnets. Bovendien worden er geen ISP connecties meer aangevallen, maar wordt gemikt op schijnbaar legitieme verzoeken aan de servers zelf.

Groter dan gedacht

De botnets die vandaag de dag veel van de DDoS aanvallen lanceren, zijn zo groot dat de mensen die ze controleren waarschijnlijk zelf al lang de tel zijn kwijtgeraakt van de machines die ze onder hun controle hebben, zegt Andy Ellis, CSO van Akamai Technologies.

Ellis heeft de ontwikkeling van botnets goed kunnen bestuderen. Veel mensen maken gebruik van Akamai zonder dat ze het zelf weten. Het bedrijf draait een wereldwijd platform met duizenden servers waarop klanten online zaken doen. Het bedrijf handelt dagelijks tientallen miljarden webinteracties af voor bedrijven als Audi, NBC en Fujitsu, maar ook voor het ministerie van defensie van de VS en NASDAQ. Er is vrijwel geen moment dat er geen enkele klant van Akamai een DDoS aanval te verduren heeft.

“We zien tegenwoordig veel minder malware die alleen wordt losgelaten om geïnfecteerde machines op de knieën te krijgen”, zegt Ellis, waarmee hij verwijst naar de ouderwetse wormaanvallen zoals Blaster, Mydoom en Code Red. “Tegenwoordig wordt de malware gebruikt om machines te recruteren voor botnets, en de botnets zelf worden ingezet als het wapen.”

Volgende pagina: Massale slachting

Massale slachting

In het afgelopen jaar heeft Amakai een paar van de grootste DDoS-aanvallen gezien die ooit zijn voorgekomen, die Ellis omschrijft als “geweldige aanvallen van meer dan 120 gigabits per seconde.” Als je die om je oren krijgt, zei Ellis, “dan heb je een behoorlijk probleem.”

Een massale aanval in juli was hier een goed voorbeeld van. In die slachting hamerde een botnet van zo’n 180.000 computers op websites van de Amerikaanse regering en zorgde voor veel problemen voor Amerikaanse en Zuid-Koreaanse bedrijven. De aanval begon op de zaterdag, waarbij de websites van de Fedral Trade Commission en het departement voor Transport neer werden gehaald. Ook een bank kreeg de volle laag. Daarnaast zijn bedrijven als Google, Yahoo! en Amazon aangevallen. Aanvallen op Google duurden nooit lang, maar als je nagaat dat de content van Google zo’n 5 procent uitmaakt van het hele verkeer op internet, dan is het bepaald geen rooskleurig vooruitzicht dat die internetreus serieus wordt aangevallen.

Makkelijk te maken

Paul Sop, CTO van Prolexic Technologies, heeft het effect dat botnets hebben op DDoS aanvallen kunnen bekijken vanuit zijn lab, waar zo’n dertig mensen het probleem full time bestuderen. “We hebben een IP Reputation database aangelegd, dat non-spoofed IP adressen opspoort van waaruit onze klanten worden aangevallen, en de lijst omvat nu ongeveer 4 miljoen geïnfecteerde machines”, zei hij. “Het is verrassend hoeveel botnets er zijn en hoe makkelijk het is om er een te maken.”

Zijn bedrijf ziet steeds meer layer-7 aanvallen op HTTP, HTTPS en DNS diensten. Deze aanvallen zijn niet gericht op de ISP-verbindingen van de gebruikers, maar op de servers en zijn veel moeilijker te identificeren en af te stoppen, zeker als de individuele bot minder agressief wordt en zich meer gedraagt als een legitieme gebruiker.

De meeste aanvallen die het team heeft bekeken, kunnen het best worden omschreven als competitieve sabotage van bedrijven.

Net legitiem verkeer

“In bepaalde markten waar de belangen groot zijn, zoals online gokken, is er een felle concurrentiestrijd gaande en daar wordt vrij veel gebruik gemaakt van DDoS”, zei Sop. “Politiek gemotiveerde aanvallen worden ook populairder, en we beschermen veel kleine en grote media. Gewoonlijk is het een nieuwsbericht dat in het buitenland als beledigend wordt beschouwd dat wordt aangevallen, maar soms, zoals in het geval van de Democratic Voice of Burma’, wordt gezegd dat de aanvallen gesponsord worden door de staat, of daar tenminste door worden goedgekeurd.

In een rapport over DDoS aanvallen door botnets, merkte Prolexic op dat aanvallers hun botnets zo aanpassen, dat het aanvalsverkeer er steeds meer uitziet als legitiem normaal verkeer. “In plaats van een geweldige uitbarsting van verkeer dat aangeeft dat er een aanval begonnen is, wordt het langzaamaan steeds drukker als steeds meer bots mee gaan doen in wisselende intervals. Daarbij hanteert iedere bot weer een andere stijl, waardoor het steeds moeilijker wordt om de bots te onderscheiden van echte gebruikers”, stelt dat rapport.

Bron: Techworld