Hackers en attacks

Om te beginnen moeten we het type van de aanval begrijpen. Misschien is het geen cyberaanval, maar is je website ineens trending? Dan komen er immers een heleboel crawlers langs om je website te bezoeken en informatie bij te houden voor de zoekmachines.

WAAR STARTEN?

We gaan eerst onderzoeken of er een patroon in te vinden is. Zijn het bv. alleen IP’s uit China, lijkt de user-agent normaal en zijn de pagina’s die worden bezocht wel echt? Want onbestaande (oude) pagina’s zijn net reuze interessant omdat deze niet gecached worden en zo meer CPU gebruiken.

Ook de user-agents kan je bestuderen. Dit zijn een soort van fingerprints waardoor je er bij vele identieke aanvragen vanuit kan gaan dat er iets vreemds aan de hand is, ook al komt het van verschillende IP adressen.

Unieke IP-adressen

De tijd van unieke IP-adressen is helaas voorbij. Ze zijn intussen zo zeldzaam geworden dat sommige operatoren al geen unieke IP-adressen meer kunnen uitdelen, en dan vooral op mobiele netwerken. Dat hebben ze opgelost door ‘carrier grade nat’ te gebruiken en zo verschillende gebruikers hetzelfde IP te geven, bij grotere bedrijven bijvoorbeeld. 

De DDOS-aanval is de bekendste soort cyberaanval om je diensten offline te halen. Hierbij worden vanuit een groot netwerk de krachten gebundeld zodat de bron van de aanval moeilijk te detecteren is. Er is dan een stortvloed aan dataverkeer waardoor de servers van de provider vol raken met nutteloos verkeer. Daarvoor gebruiken hackers een techniek waarbij het teruggestuurde antwoord veel langer is dan de vraag en samen met de verschillende plaatsen van aanvraag gaat het netwerk zo uiteindelijk plat.

WAT KAN JE ERTEGEN DOEN?

Je kan een DDOS-aanval gelukkig snel detecteren, want er komt een hoog volume aan data binnen op bepaalde poorten en dat blijft niet lang onopgemerkt. Jouw hostingprovider heeft geen keuze en gaat je server ‘blackholen’ en snel andere operatoren vertellen dat je niet meer beschikbaar bent.

IS EEN DDOS-AANVAL SNEL OPGELOST?

Hoe snel een DDOS-aanval opgelost raakt, is afhankelijk van hoe gegeerd het doel is. Als de aanval puur dient om een statement te maken, dan is het meestal wel op een uur afgerond. Als het gaat om een afpersing duurt het echter meerdere dagen.

Je provider is gelukkig snel op de hoogte van de aanval en zal na 5 minuten al op zoek zijn naar de oorzaak. Een kwartier later is de oplossing meestal gevonden. Een DDOS-aanval neemt typisch af in kracht met de tijd, want het netwerk dat misbruikt wordt merkt ook op dat er iets niet pluis is. Het zal dan ook op onderzoek uitgaan en zijn verkeer beperken.

GEBEURT HET VEEL?

Een DDOS-aanval wordt heel regelmatig gebruikt door groeperingen van hackers die dit als een drukmiddel zien om snel geld te verdienen. De doelgroep betreft hoofdzakelijk e-commerce bedrijven die geld verdienen met hun website, anders gaat een bedrijf niet overwegen om te betalen.

Een andere methode om een website aan te vallen is op protocol-niveau (TCP). De meest gekende hier is een SYN flood. Dit is een verstoring van de communicatie waarbij de aanvaller de server de hele tijd gaat bezighouden door pakketten te sturen, waarop de server dan antwoordt dat deze goed ontvangen zijn.

Na een tijd zijn er zoveel connecties en open verbindingen die niet meer beantwoord kunnen worden, dat het geheugen volloopt. Zo kunnen nieuwe, echte gebruikers geen verbinding meer opzetten want de server antwoordt niet meer.

HOE KAN EEN FIREWALL HELPEN?

De firewall controleert of de handshake-procedure correct gebeurt tussen server en client en als dat niet zo is, wordt de verbinding verbroken. De firewall blokkeert ook als het merkt dat er door 1 client vele duizenden connecties openstaan zonder dataverkeer. Het zal deze connecties vervolgens afbreken, waardoor de server opnieuw ademruimte krijgt voor echte connecties. 

Maar dan ook blokkering van verkeer uit China?

Dat is een mogelijkheid, maar wij opteren om verkeer vanuit specifieke landen te blokkeren op de server zelf. Je kan dan eenvoudigweg een pagina tonen waarop vermeld wordt dat de site niet beschikbaar is vanuit dat land.

NOG MOGELIJKHEDEN?

Een andere mogelijkheid is om te kijken naar de applicatie zelf (WordPress, Drupal, ...) en hierop ratelimiting toe te passen, zoals bijvoorbeeld een WP-login. Dat gebeurt dan met een firewall op webniveau die blokkeert als er brute-force aanvallen zijn die non-stop aanvragen doen. Je kan ook rate-limiten op de hostname wanneer je op een server zit waarop meerdere sites gehost worden.

Crawlers

Aan de eerder vermelde user-agent kan je ook zien of het om een crawler gaat. Eentje die je liever niet tegenhoudt is de Google-bot. Deze is intelligent en merkt wanneer hij in een zoeklus terecht is gekomen. Maar niet alle crawlers zijn even slim en transparant. Sommige gaan hun useragent zelfs vervalsen. Dit wordt vaak toegepast door concurrenten die via deze crawlers jouw prijzen opvragen en kortingen bekijken.

Het is niet eenvoudig om uit te zoeken welke crawlers je moet weren. Er zijn wel lijsten beschikbaar, zelfs op wikipedia, en door deze te combineren kom je aan een mooie mix. Bekijk dit zeker met je doelgroep in het achterhoofd, want wat in het ene land werkt komt niet altijd overeen met een ander land. Denk bijvoorbeeld aan de hotelsector voor zakelijke boekingen.

De hostingprovider werkt goed voor de basisbescherming op algemeen niveau. Als je zelf de controle wilt houden of veel last hebt van DDOS-aanvallen, kan je via een tussenpartij als CloudFlare op website-niveau specifieke aanpassingen doen.

Meer weten over beveiliging? 

Wil je meer weten hoe je specifiek je website kan beveiligen? Lees dan zeker onze blog over hoe je hackers tegenhoudt! 

Zo, nu weet je wat je allemaal van hackers of cyberaanvallen kan verwachten. De conclusie luidt dan ook: voorkomen is beter dan genezen! Een goede hostingprovider zal daarom in de mate van het mogelijke het nodige doen om jouw website of webshop te wapenen tegen hackers, maar volledig waterdicht zijn, is helaas onmogelijk.

Wil je meer weten over wat je zelf kan doen om jouw website te beschermen? Contacteer ons voor advies.