Google, Microsoft, Apple, PayPal, Visa, MasterCard… veel van de grootste websites ter wereld waren allemaal al het slachtoffer van Distributed-Denial-of-Service aanvallen (DDoS-aanvallen). Bij een DDoS-aanval vallen meerdere systemen een enkel doelwit aan om zijn resources onbruikbaar te maken voor de bedoelde gebruikers. De laatste tien jaar is het aantal DDoS-aanvallen fors toegenomen. Maar ook de redenen voor en de doelwitten van de aanvallen zijn veranderd.

Voor het eerst In de kijker

Hoewel we niet zeker weten wanneer de eerste echte DDoS-aanval plaatsvond, werd de eerste grootschalige gedistribueerde aanval (DDoS) gelanceerd in 1999. Het doelwit was de IRC-server van de universiteit van Minnesota. 227 systemen werden getroffen en de server van de universiteit was twee dagen onbruikbaar.

In februari 2000 lagen veel populaire websites zoals Yahoo!, eBay, CNN, Amazon.com, ZDNet.com urenlang plat. Tijdens de drie uur durende downtime leed Yahoo! een verlies van $ 500,000, daalde het volume van de activiteit op CNN.com met 95 % en was ZDNet vrijwel onbereikbaar. De downtime leidde tot enorme verliezen.

Een 15-jarige Canadees die bekend staat als “Mafiaboy" werd gearresteerd en aangeklaagd voor de aanvallen. Waarom had hij het gedaan? Opstandigheid. Deze tiener wilde gewoon opscheppen over zijn vaardigheden. Zijn werkwijze? Hij scande een netwerk om een aantal kwetsbare hosts te vinden, drong binnen bij de host met een bekende kwetsbaarheid, gebruikte software die de host veranderde in een “zombie" en verspreidde de aanval, zodat elke zombie op zijn beurt nieuwe doelwitten in zombies zou veranderen, volgens dezelfde procedure.

Een lucratieve aanval

Elke hacker die begin 2000 een botnet wilde creëren om een DDoS-aanval te lanceren moest dezelfde stappen volgen als Mafiaboy. Met de komst van internetwormen werden die stappen geautomatiseerd, zodat een hacker voortaan grootschalige aanvallen in gang kon zetten. In augustus 2005 werd de 18-jarige Farid Essabar, die zelfs nooit had leren programmeren, gearresteerd voor het verspreiden van de MyTob-worm. De worm opent een achterdeur op de geïnfecteerde MS Windows-host, maakt verbinding met een externe IRC-server en wacht op opdrachten. De worm activeert zichzelf bij het opstarten, kopieert zichzelf naar gedeelde netwerken, opent zo de deur voor massale DDoS-aanvallen op alle hosts die door de worm zijn overgenomen en voert via IRC verstuurde commando's uit. De aanval werd live uitgezonden op CNN, toen de computers van de tv-zender zelf geïnfecteerd geraakten.

Waarom had hij het gedaan? Niet zozeer om de werking van de bedrijfsnetwerken te verstoren, maar om duizenden dollars van bedrijven los te krijgen door ze te bedreigen met DDoS-aanvallen op hun netwerken. De bedrijven in kwestie besloten al snel om de afpersers te betalen in plaats van met de gevolgen van een DDoS-aanval te moeten omgaan.

DDoS en hacktivisme

In 2010 deed de mainstream media uitgebreid verslag van high-profile DDoS-aanvallen die ingegeven waren door politieke of ideologische redenen, zoals de uitvoerig in de pers besproken Wikileaks/Anonymous-incidenten. Dat jaar verhoogden de aanvallers de volumes van de aanvallen aanzienlijk en lanceerden ze voor het eerst aanvallen die de 100Gbps-grens overschreden, wat ongeveer overeenkomt met 22.000 keer de gemiddelde brandbreedte van een internetgebruiker in de VS in 2010.

In december kwam Wikileaks onder grote druk te staan om te stoppen met het publiceren van geheime diplomatieke informatie van de Verenigde Staten. Als reactie verklaarde de Anonymous-groep haar steun voor WikiLeaks. Onder de naam Operation Payback lanceerde ze een reeks DDoS-aanvallen op Amazon, PayPal, MasterCard en Visa als vergelding voor het anti-WikiLeaks gedrag. Door deze aanvallen werden op 8 december de websites van MasterCard en Visa lamgelegd.

De tool achter de Anonymous/Wikileaks-aanvallen is de Low Orbit Ion Cannon (LOIC), oorspronkelijk een open-source load-testing tool ontworpen om stresstests uit te voeren voor webapplicaties, maar door de hackers gebruikt als DDoS-tool.

Aanvallen op de applicatielaag

Hoewel er verschillende soorten aanvalmethoden zijn, kunnen DDoS-aanvallen doorgaans in twee categorieën worden onderverdeeld:

  • Volumetrische aanvallen: Flood-aanvallen verzadigen de bandbreedte van het netwerk en de infrastructuur (bv: UDP, TCP SYN, ICMP).
  • Aanvallen op de applicatielaag: Deze aanvallen zijn ontworpen om specifieke diensten te treffen en hun resources uit te putten (HTTP, DNS). Omdat ze minder bandbreedte gebruiken, zijn ze moeilijker te detecteren. Bij de ideale DDoS-aanval op de applicatielaag blijven alle diensten intact, behalve de webserver die volledig ontoegankelijk wordt. De Slowloris-software is gebaseerd op dit concept en is dus redelijk onopvallend in vergelijking met de meeste flooding tools.

Volgens Stratecast nemen DDoS-aanvallen jaarlijks toe met 20% tot 45%; DDoS-aanvallen op de applicatielaag zouden zelfs stijgen tot in de “triple digits". Er is een duidelijke trend van DDoS-aanvallen op de applicatielaag en het is niet waarschijnlijk dat die trend zal omkeren. Dit betekent echter niet dat er een einde zal komen aan aanvallen op de netwerklaag, flow-based aanvallen of volumetrische aanvallen. Het tegendeel is waar: de combinatie van beide soorten aanvallen zal krachtiger zijn dan ooit. Het Verizon Data Breach Investigations Report uit 2012 bracht aan het licht dat een aantal high-profile DDoS-aanvallen op de applicatielaag die zich achter volumetrische aanvallen verscholen, gebruikt werden om pogingen tot datadiefstal te verbergen. Dit bewijst dat multi-vector aanvallen nu ook gelanceerd worden om het ware doelwit van de aanval te verbergen.

DDoS-aanvallen nemen almaar toe in frequentie en ernst, terwijl de middelen om een aanval te lanceren eenvoudiger worden en de aanvaltools steeds beter beschikbaar zijn. Bovendien worden deze aanvallen steeds complexer door hun polymorfe aard en de ontwikkeling van nieuwe tools die hun ware aard verdoezelen. Bijgevolg zijn de traditionele detectiemethoden vaak ontoereikend en wordt het steeds moeilijker om de aanvallen in te perken.

Karine de Ponteves is FortiGuard AV-analist bij Fortinet