Wat is DDos

Je hebt misschien al eens gehoord dat een website ‘down’ is of niet bereikbaar is. Soms is dit maar een paar minuten, soms duurt het langer. De oorzaken hiervan zijn divers natuurlijk. In dit artikel gaan we dieper in op 1 van die oorzaken, namelijk hackers en meer bepaald de DDoS-techniek die zij gebruiken.

Wat is DDoS?

DoS staat voor Denial of Service. DDoS staat voor Distributed Denial of Service.

Bij zo’n Denial of Service probeert men servers of netwerken onbruikbaar te maken door ze doelbewust te overbelasten. Hierdoor kunnen ze hun taak niet meer goed uitvoeren en gaat de toepassing of website ‘offline’.

Een DoS-aanval wordt meestal vanuit meerdere locaties gestart richting één bepaald slachtoffer, omdat dit effectiever werkt. In dit geval spreken we van een Distributed DoS, een DDoS.

Waarom doen hackers dit?

Wie zijn ze, wat drijft hen? Moeilijk te zeggen, helaas blijven de aanvallers vaak anoniem, omdat de aanvallen meestal gebeuren vanuit geïnfecteerde PC’s en servers, die niet direct te verbinden zijn met de opdrachtgevers.

Maar we kunnen wel de top-redenen bekijken waarom dit soort aanvallen uitgevoerd worden.

Afpersing

Het lijkt een eenvoudige manier om aan geld te geraken. Je slaagt erin de website van een bedrijf of iemand met veel centen down te krijgen en gaat dan losgeld vragen. De zwakke plek hierin is natuurlijk dat de aanvaller uit de anonimiteit treedt en het slachtoffer een spoor heeft om de opdrachtgever op te zoeken.

Business vernielen

Online aanwezigheid is belangrijk vandaag. Dus als je iemands site down brengt, berokken je al snel heel wat schade aan dat bedrijf. Denk dan aan directe financiële schade, bijvoorbeeld een webshop, maar ook schade aan de reputatie. Als je site niet werkt, krijgen je klanten al snel de indruk dat je je zaken niet op orde hebt.

Het wordt aangenomen dat dit de vaakst voorkomende vorm van DDoS is. De opdrachtgever kan een concurrent van je zijn, of gewoon iemand die niet blij is met je aanwezigheid of een slechte ervaring van je gehad heeft. Het probleem is natuurlijk dat de opdrachtgever zelden of nooit te traceren is.

Politiek / activisme

Een politieke partij heeft per definitie tegenstanders, mensen die het niet met hun standpunten eens zijn. Dat maakt de sites van politieke partijen wel eens een doelwit, bijvoorbeeld als ze met een controversieel standpunt in het nieuws komen.

Of de overheid gaat ook niet altijd vrijuit. Een van de grootste DDoS-aanvallen uit de recente geschiedenis, die op Github.com, zou gecoordineerd zijn vanuit de Chinese overheid. Of overheden die elkaar aanvallen - cyber war :)

Just for fun

De laatste reden die ik wil belichten is die van de amateurs die hier plezier uithalen. We noemen ze soms ‘script kiddies’, die aanvallen uitvoeren gewoon omdat het kan. Net zoals sommigen plezier halen uit het hacken van sites, zijn er mensen die een kick krijgen een bepaalde site down te krijgen. Get a life, denk je dan.

Wat heeft Linode met DDoS te maken?

Linode bestaat sinds 2003 en is één van de oudste cloud providers, die bij het grote publiek misschien minder gekend is. Vergeleken met een provider als Amazon Web Servers (aws.amazon.com) hebben zij veel minder features, maar concentreren zij zich op het aanbieden van kwalitatieve virtuele servers voor een zeer redelijke prijs.

In die markt heeft Linode heel veel competitie van Digital Ocean gekregen. Zij kwamen op het juiste moment met een goedkoper aanbod en vooral met een uitgekiende marktstrategie. Meer hierover in een ander artikel, laat me het even hebben over wat er met Linode aan de hand is.

De reputatie van Linode is altijd erg goed geweest. Tot nu.

Sinds 25 december 2015 is Linode het slachtoffer van grote en DDoS-aanvallen, die tot op vandaag (8 januari 2016) nog steeds aan de gang zijn. Op hun statuspagina (status.linode.com) lees je alle details. Op oudejaarsavond kwamen ze zelfs bij ons in het nieuws omdat de website van Joker offline was door deze aanvallen. Op diezelfde avond was ook BBC onder aanval. Ook andere bekende sites werden getroffen.

Is cloud computing niet onfeilbaar dan?

Helaas, dit is een misverstand. De term cloud computing geeft je een beetje de illusie dat je website of applicatie ‘ergens in de lucht’ draait. Maar hoe je het ook noemt, de computerkracht die je huurt komt niet uit de lucht. Die komt van fysieke hardware in stenen gebouwen, verbonden met kilometers lange stroom- en netwerkkabels.

Natuurlijk, cloud computing gaat ook een beetje over schaalgrootte. En vergis je daar niet in, een provider als AWS of Linode is verspreid over tientallen datacenters en heeft letterlijk duizenden fysieke servers.

Maar ook grote providers krijg je op de knieën. Dus het kan ook jou overkomen.

Wat kan ik doen?

Een groot probleem van DDoS is de asymmetrische kost: goedkoop om uit te voeren, heel moeilijk om je te beschermen.

Als jouw hosting provider beweert dat hij niet vatbaar is voor DDoS-aanvallen, moet je dat dan niet met een korreltje zout nemen, maar mag je ineens het hele zoutvat boven halen. Ook als hij beweert dat hij een DDoS-aanval goed kan afslaan omdat hij ‘genoeg bandbreedte’ of omdat hij een firewall van het merk WC-Eend heeft, is het tijd om het salesgesprek af te ronden.

Wat kan je dan wel doen?

Laten we de meest voorkomende situaties bekijken. De eerste situatie is dat jij niet het doelwit bent, maar je provider, zoals nu bij Linode. Er is letterlijk niets dat jij kan ondernemen in dit geval. Je kan vertrouwen hebben in je provider, of vertrekken naar een andere.

Je provider wordt aangevallen

Stel dat je een aantal jaren beslist hebt om al je websites bij Linode te zetten, dan was dat een perfect verdedigbare beslissing. Nochtans denk ik dat het niet zo’n geweldig idee is om nu je servers bij Linode te zetten. Herinner je je de zin ‘No one ever got fired for buying IBM’ nog? Vandaag is dat ‘nobody gets fired for buying Amazon’ geworden. (link)

Goed mogelijk, maar toch vinden wij het common sense om niet afhankelijk te worden van 1 provider. Wat vandaag is, hoeft morgen niet het geval te zijn.

Je wordt zelf aangevallen

Wat als je zelf het doelwit bent van een aanval? Dan volstaat het niet om te verhuizen naar een andere provider, de aanvaller gaat je daar gewoon aanvallen. Je kan dan proberen te vertrouwen op de bandbreedte, de firewalls, de kennis van je provider. Maar als de aanvaller voldoende kracht achter zijn aanval zet is het vechten tegen de bierkaai.

Als het werkelijk zo erg is, helpen ook alleen de grote middelen, en daarmee bedoelen we de echt grote middelen. Dan moet je je laten beschermen door diensten die gespecialiseerd zijn in het opvangen van DDoS. Zij zullen zich plaatsen tussen de bezoeker en jouw server, en aanvallen proberen tegen te houden:

Een van de meest bekende spelers is Cloudflare. Zij hebben datacenters over de hele wereld die niets anders doen dan dit. Zij hebben dus de tools die nodig zijn om een aanval te herkennen, waardoor de aanval niet tot bij jouw applicatie geraakt. Bovendien hebben zij de schaal en de bandbreedte om te voorkomen dat zij op de knieën gaan bij een aanval. Omdat zij in principe niets anders moeten doen dan het verkeer door te sturen als het binnenkomt, kunnen zij dit in een economisch haalbaar model aanbieden.

Conclusie

Het is en blijft een complex onderwerp. Daarom vinden we het belangrijk om jou correct te informeren, zonder verkoopspraatjes en onnodige buzzwords. Wil je meer info? Contacteer ons.