Wat is een DDoS-aanval en waarom is het gevaarlijk?

- Jeroen Langendam

De laatste tijd horen we steeds vaker over DDoS-aanvallen. De gevolgen van een DDoS-aanval variëren van geïrriteerde gebruikers, tot examens die moeten worden afgelast. Maar wat is een DDoS-aanval eigenlijk?

DDoS-aanvallen zijn niet nieuw, ze bestaan al jaren. In 2017 vonden er in België dagelijks al 2 DDoS-aanvallen per dag plaats.

Maar dankzij het Internet-of-Things (IoT) zijn er steeds meer devices die kunnen worden gebruikt voor een dergelijke cyberaanval.  Het zijn niet enkel meer PC’s die kunnen worden gebruikt in een aanval, maar ook smartphones. En wat te denken van IP-camera’s, babyfoons of speelgoed dat (slecht beveiligd) met internet is verbonden?

Wat is DDoS

De term DDoS staat voor Distributed Denial of Service. In het kort komt het erop neer dat een hacker ervoor zorgt dat een groot aantal computers tegelijkertijd verbinding probeert te maken met je server. Daardoor gaat er zoveel dataverkeer naar je servers gaat, dat je IT-infrastructuur het allemaal niet meer kan verwerken. Je systemen worden traag, waardoor reguliere gebruikers geen toegang meer hebben tot het netwerk.

Een DDoS-aanval wordt vaak uitgevoerd via een botnet. Een botnet is een verzameling softwarebots die samen handelen. Hackers gebruiken malware om computers van nietsvermoedende internet-gebruikers over te nemen. Zelf merken de slachtoffers daar vaak niets van, maar de hacker krijgt op deze manier de beschikking over vele honderden (duizenden) computers. Hiermee kan hij of je IT-infrastructuur overbelasten.

Wanneer de DDoS-aanval wordt ingezet, sturen alle computers die deel uitmaken van het botnet data en verzoeken naar de server. Dit levert een tsunami aan data op die je servers allemaal moeten verwerken. Dat kost zoveel rekencapaciteit dat je netwerk vertraagd of zelfs helemaal vastloopt.

Schematische weergave DDoS-aanval
Een schematische weergave van een DDoS-aanval

Wie voeren DDoS-aanvallen uit?

Bij cyberaanvallen wordt vaak gedacht dat ze worden uitgevoerd door “de Russen” of “de Chinezen”. Dat is begrijpelijk, want veel DDoS-aanvallen komen inderdaad uit Rusland. In de volgende afbeelding is voor een (niet nader benoemde) website te zien vanuit welke landen de meeste aanvallen afkomstig waren.

Bron: een anonieme partner

Hoewel in de media vaak wordt gezegd dat de “landen” achter cyberaanvallen zitten, hoef je echter geen machtige inlichtingendienst achter je te hebben om een DDoS te kunnen opzetten. Een DDoS-aanval is namelijk de meest eenvoudige manier om een cyberaanval uit te voeren.

In 2005 werden een drietal jonge Nederlandse mannen (van 19, 22 en 27 jaar oud) gearresteerd voor het uitvoeren van DDoS-aanvallen. Gebruik makend van het Toxbot Trojan Virus hadden ze een botnet opgebouwd van 1,5 miljoen computers, wat ze gebruikten om bedrijven af te persen.

Waarom voert iemand een DDoS-aanval uit

Hackers kunnen allerhande redenen hebben om DDoS-aanvallen uit te voeren. Soms is het een manier om organisaties af te persen; de hacker legt de IT-infrastructuur een tijdje stil. Vervolgens dreigt hij of zij om zwaardere aanvallen uit te voeren, tenzij je een geldbedrag betaald (vaak in anonieme bitcoin).

Behalve geld zijn er andere motieven voor DDoS-aanvallen te noemen. Soms zijn het politiek-gemotiveerde aanvallen,  denk aan de cyberaanvallen die de VS heeft uitgevoerd op Noord-Korea. Andere keren zijn DDoS-aanvallen activistisch, zoals de aanvallen op oliemaatschappijen.

Soms heeft de DDoS-aanval een puur egoïstisch motief. Zo gaan er verhalen rond over leerlingen die hun school platlegden omdat ze een essay niet op tijd af hadden en zo tijd wilden winnen.

En soms voert iemand enkel en alleen een DDoS-aanval uit omdat hij of zij zich verveelt.

Welke gevolgen heeft een DDoS-aanval voor jouw school

Wanneer kwaadwillenden jouw organisatie hebben uitverkoren tot doelwit zul je merken dat alle IT-processen steeds langzamer worden. De openbare website wordt bijvoorbeeld ontoegankelijk. Maar ook kan het ertoe leiden dat leerlingen en leerkrachten hun rooster niet meer kunnen inzien, waardoor niemand weet waar ze moeten zijn om les te geven/krijgen. Ook de cijferadministratie kan ontoegankelijk worden, net als het leerlingvolgsysteem of de studentenadministratie. Eén Nederlandse universiteit werd door een DDoS-aanval zelfs gedwongen om examens uit te stellen.

Vooral op piekmomenten, zoals bij de inschrijving voor het nieuwe studiejaar of tijdens de examenperiode kan een DDoS-aanval dus veel ellende opleveren.

Wat kun je doen om je school te beschermen tegen DDoS-aanvallen?

Het beschermen van je school of onderwijsinstelling tegen DDoS-aanvallen is een kwestie van goed cybersecurity beleid. In een eerder artikel schreven we al over de vijf best practices van cybersecurity:

  • Zorg voor goed opgeleid personeel
  • Zorg voor een duidelijk en streng cybersecurity beleid
  • Maak backups!
  • Zorg voor een crisisplan
  • Creëer cybersecurity bewustzijn.

Zelfs met een goede cybersecurity ben je echter kwetsbaar voor DDoS-aanvallen. Je ontkomt er niet aan om enkele poorten naar de buitenwereld open te zetten. Leerlingen (en docenten) verwachten op hun mobiele devices te kunnen internetten. Iedereen gaat ervan uit dat ze altijd en overal hun rooster en cijferlijst kunnen inzien. En hoe wil je gebruik maken van de voordelen van een electronische leeromgeving (ELO) als niemand er bij kan komen?

Het uitvoeren van een DDoS-aanval is makkelijk. Dat maakt de verdediging ertegen zo moeilijk.

Wanneer iemand besluit om je aan te vallen met een botnet is dit lastig te signaleren. Het is namelijk niet zo dat er ineens heel veel data vanaf één specifiek IP komt. De data komt, in kleine hoeveelheden, uit heel veel verschillende hoeken. En omdat het er vaak uitziet als normaal dataverkeer (bijvoorbeeld bezoeken aan je website) is het lastig te herkennen.

Specifieke maatregelen tegen DDoS-aanvallen

Toch zijn er een aantal maatregelen die je kunt nemen om je te verweren tegen DDoS-aanvallen. Het begint natuurlijk allemaal met goede, real-time monitoring. Daarmee houd je continu al het dataverkeer richting je servers in de gaten, zodat er vroeg maatregelen getroffen kunnen worden.

Splitsen netwerk

Eén mogelijkheid die door veel organisaties wordt gebruikt is het splitsen van je netwerk in een publiek deel en een afgeschermd deel. Je kunt bijvoorbeeld je cijfer- en leerlingenadministratie onderbrengen in het afgeschermde deel. Om gebruikers vervolgens toegang te geven tot hun persoonlijke gegevens kun je dagelijks een kopie van hun gegevens in het publieke deel brengen. Hoewel deze kopie bij een DDoS-aanval onbereikbaar wordt, kunnen leerlingen (en docenten) wel gewoon via het gesloten netwerk de administratie blijven voeren.

Bepaalde IP’s blokkeren

Je kunt ervoor kiezen om bepaalde soorten dataverkeer te blokkeren. De eerder getoonde afbeelding laat zien dat er in de gegeven periode 144 keer vanuit Wit-Rusland dataverkeer is gekomen.

De website waarop die rapportage betrekking heeft, richt zich echter op Nederland en België. De kans dat er echte bezoekers uit Wit-Rusland (en in mindere mate de Oekraïne) komen is gering. Dat betekent dat het voor deze website geen probleem is bezoeken uit die landen te blokkeren.

Iets dergelijks geldt ook voor onderwijsinstellingen. Hoe vaak zou het voorkomen dat ouders vanuit China de website van de basisschool van hun kinderen bezoeken? Moet een secundair onderwijsinstelling écht bereikbaar zijn vanuit Rusland? En zelfs universiteiten, die contacten over de hele wereld hebben, kunnen ongetwijfeld (delen van) hun netwerk voor bepaalde landen afsluiten.

Cloudmitigatie

Cloudmitigatie kun je zien als een soort filter. Een aanbieder van cloud mitigatie checkt al het verkeer van en naar je servers en laat alleen het goede door. Een bekende aanbieder van cloud mitigatie is Cloudflare. Doordat deze aanbieders zich volledig specialiseren op het detecteren van risico’s hebben ze een veel fijnmaziger filter, waardoor ze aanvallen sneller detecteren.

Ondersteuning door de Internet Service Provider (ISP)

Veel Internet Service Providers (ISP) houden altijd wat bandbreedte achter de hand. Wanneer zij zien dat een van hun klanten het slachtoffer dreigt te worden van een DDoS-aanval, stellen ze (tegen een vergoeding) extra bandbreedte beschikbaar om het effect van de DDoS-aanval te verzachten.

Is jouw school DDoS-proof?

Wanneer je maatregelen tegen DDoS-aanvallen hebt genomen, wil je natuurlijk graag weten of ze werken. Eén manier om dit te doen is door achterover te leunen en te wachten tot de onvermijdelijke DDoS-aanval zich voordoet. Beter is het om te testen. Cybersecurity-bedrijven voeren, in opdracht, DDoS-tests uit. In feite komt dit neer op een goedbedoelde aanval: de cybersecurity-specialist heeft een eigen botnet en simuleert cyberaanvallen om te testen hoe robuust je netwerkbeveiliging is. De aanvallen beginnen mild, maar worden steeds heviger.

Bij een DDoS-test worden steeds heviger aanvallen uitgevoerd, net zolang tot je verdediging bezwijkt.

Tijdens de (gesimuleerde) aanval zijn een aantal gebruikers aan het werk met normaal werk. Daarmee wordt duidelijk welke onderdelen van je IT-infrastructuur extra beveiliging behoeven.

DDoS vraagt om alertheid

Ondanks de voorzorgsmaatregelen zul je als school altijd doelwit blijven van cyberaanvallen. Aangezien DDoS relatief eenvoudig en goedkoop is, zullen kwaadwillenden dit wapen vaak als eerste gebruiken.

Net zoals een steen kan wegslijten onder waterdruppels, zo zal zelfs de sterkste verdedigingslinie bezwijken onder een DDoS-aanval van voldoende kracht. Het is dan ook zaak om je altijd bewust te blijven op het risico van een DDoS-aanval.

Daarnaast moet je alert blijven op nieuwe ontwikkelingen. Hackers verzinnen namelijk steeds nieuwe manieren om je netwerkbeveiliging te omzeilen. Zorg dat je op de hoogte blijft, zodat je aangetoonde kwetsbaarheden kunt aanpakken vóórdat zich echte problemen voordoen.

Het uitvoeren van een DDoS-aanval is makkelijk. Dat maakt de verdediging ertegen zo moeilijk. Blijf dus altijd alert.