Wat is een DDoS aanval en kan je het voorkomen?
Inhoudsopgave
Hoe werkt een DDoS aanval?
Netwerkbronnen (zoals webservers) hebben een bepaalde limiet aan verzoeken dat ze tegelijkertijd kunnen verwerken. Komen er te veel verzoeken tegelijkertijd binnen? Dan slaat de netwerkbron het verzoek af. Daarnaast hebben servers vaak een eindige bandbreedte of capaciteit. Wanneer de capaciteitslimieten steeds worden overschreden, merk je dat aan hoe goed een direct bereikbaar is:
- De dienst wordt langzaam;
- Sommige (en soms alle gebruikers) kunnen de dienst niet bereiken;
- De verbinding werkt soms wel en soms niet;
- Je krijgt een foutmelding te zien dat de capaciteit is overschreden.
Meestal is het doel van een DDoS-aanval om de dienst volledig plat te leggen. Dan is er sprake van een complete ‘Denial of Service’. Klinkt het nog iets te technisch? Stel je het dan zo voor: een groep demonstranten gaat op het spoor bij Utrecht Centraal zitten. De trein kan niet vertrekken, want anders zou deze de groep demonstranten aanrijden. Het spoor is bezet en de treindienst kan niet normaal rijden. Daar heeft het hele spoornet last van. Pas als de demonstranten weggaan of zijn verwijderd, kan de treindienst weer rijden. Zo werkt dat ook met een internetdienst.
Wat is een botnet?
Vaak wordt een zogenaamd ‘botnet’ gebruikt om DDoS-aanvallen uit te voeren. Dit zijn netwerken van computer die als robot fungeren. De robot is zo geprogrammeerd, dat het steeds een bepaalde bron aanvalt en overvoert met pakketjes. Het is onbegonnen werk om zoveel computers daarvoor online te brengen. Daarom maken aanvallers gebruik van computers die toch al online zijn: de computer van argeloze internetgebruikers.
Er wordt een zombienetwerk opgezet. Een computer wordt geïnfecteerd met schadelijke software. Deze software begint met het versturen van pakketten en aanvragen naar een bepaalde bron. Met één computer zet dat geen zoden aan de dijk, maar met een paar duizend wel.
Omdat de kwaadwillende controle heeft over alle computers die geïnfecteerd zijn, kan deze een overweldigende hoeveelheid data sturen naar de netwerkbronnen van het slachtoffer. Dan gaat de dienst dus offline.
Hoe herken ik een DDoS aanval?
In principe zijn er twee manieren waarop je een DDoS-aanval herkent: je internetverbinding is helemaal weg, of je verbinding wordt erg traag. Dat geldt ook voor websites die worden aangevallen: ze zijn of helemaal niet meer bereikbaar, of het duurt lang om de website te laden.
Merk je dat je verbinding opeens echt slecht is, van het een op het andere moment? Dan zou je wel eens met een DDoS-aanval te maken kunnen hebben. Je kunt in je router zien welke pakketten er verstuurd worden en binnenkomen. Als je opeens veel pakketjes van onbekende IP-adressen ziet binnenkomen, weet je dat je het slachtoffer van een aanval bent.
Dit geldt ook voor webservers. Zie je veel aanvragen op je server, die niet legitiem lijken? Dan ben je waarschijnlijk het slachtoffer van een DDoS-aanval. Wanneer je website opeens onbereikbaar is, en je gebruikmaakt van hosting bij een hostingbedrijf, kan het bedrijf je helpen om het probleem te achterhalen.
Hoe lang duurt een DDoS aanval?
Hoe lang een DDoS-aanval duurt, is vooraf onmogelijk te voorspellen. Soms gaat het om een aanval van een paar uur, terwijl het soms ook dagen kan duren. Er zijn voorbeelden van bedrijven die twee dagen geen toegang hadden tot hun eigen servers en diensten, omdat ze aangevallen werden. Kortweg kun je zeggen dat de aanval ophoudt, als de aanvaller besluit de aanval te staken, of als de capaciteit van de aanvaller opraakt.
Waarom doen hackers een DDoS aanval?
Cybercriminelen hebben verschillende redenen om een DDoS-aanval uit te voeren. Vaak gaat het om vijandigheid online. Denk aan gamers die niet tegen hun verlies kunnen, of zelfs bedrijven die de concurrent willen uitschakelen.
Daarnaast kan het gaan om hacktivisme: aanvallers willen met het platgooien van andermans diensten iets duidelijk maken. Denk bijvoorbeeld aan een organisatie die zich bij een bepaalde groep niet geliefd heeft gemaakt. De hackers zijn het niet eens met de standpunten van een organisatie en besluiten de organisatie tijdelijk monddood te maken.
Daarmee komen we ook bij de derde reden voor een DDoS-aanval uit: politiek. Zelf overheden gooien online bommen op elkaar, middels DDoS-aanvallen. Ook burgers die het niet eens zijn met bepaalde politieke standpunten kunnen partijen aanvallen. De overheid is zelf ook regelmatig het doelwit van DDoS-aanvallen. Vaak zijn hackers het dan niet eens met het beleid van de overheid.
Soms gaat het niet eens om doorgewinterde cybercriminelen, maar om baldadigheid. Sommige mensen vinden het ‘gewoon grappig’ om andermans diensten te verstoren, internetverbinding te saboteren of om online te trollen. Het is een misvatting dat er altijd een reden achter een DDoS-aanval zit. Er zijn hackers die een soort adrenalinekick krijgen als ze weten dat ze voor even de macht in handen hebben.
Wat te doen bij een DDoS aanval?
Een DDoS-aanval is vervelend en het is logisch dat je wilt dat het snel weer stopt. Wanneer je last hebt van een DDoS-aanval, is het belangrijk dat je een paar stappen neemt om snel weer online te zijn.
Herken de DDoS-aanval
Als je eigen servers draait, of als je verbinding zelf opeens traag wordt, moet je kunnen vaststellen dat je te maken hebt met een DDoS-aanval. Gebruik de stappen uit de paragraaf ‘Hoe herken ik een DDoS-aanval’ om te weten of je slachtoffer bent geworden van een DDoS-aanval. Zie je scherpe pieken in het dataverkeer? Dan heb je waarschijnlijk te maken met een aanval.
Voeg filters toe aan je router
Je router heeft uitgebreide mogelijkheden om filters in te stellen. Daarmee kun je ongewenst verkeer buiten de deur houden. Voor de hand liggende aanvalsbronnen kunnen dan worden genegeerd. Je kunt bijvoorbeeld instellen vanaf welke hoeveelheid pakketten iets als een ‘flood’ moet worden gezien. Bij een flood worden de pakketten dan afgeslagen.
Echter, de waarheid is dat dit een vrij achterhaalde techniek is. Tegenwoordig zijn DDoS-aanvallen zo groot en krachtig, dat je router meteen in de verdediging springt en zelf ook compleet onbereikbaar wordt. Je kunt dan geen actie meer ondernemen.
Bel je internetprovider
Je internetprovider kan precies zien of je wordt aangevallen. Alle data wordt namelijk gemonitord. Wanneer je je provider vertelt dat je denkt dat je wordt aangevallen, kan de provider meekijken en zelf ook maatregelen nemen. De provider kan bijvoorbeeld bepaald verkeer afslaan en bij zeer ernstige gevallen specialisten in de arm nemen.
Heeft je website last van een aanval? Dan bel je je hostingbedrijf. De hoster heeft waarschijnlijk al gemerkt dat er veel te veel verkeer binnenkomt. Het bedrijf kan het verkeer dan laten afslaan of laten omleiden naar een niet bestaand punt. Zo is jouw dienst snel weer online. Dit is de reden waarom hosting bij een hostingbedrijf of een datacenter handig is: daar is de kennis in huis om snel met dit soort gevallen om te gaan. Daarnaast heeft een hostingbedrijf of een datacenter veel meer capaciteit in huis dan jij als particulier.
DDoS aanval voorkomen, is het mogelijk?
Een DDoS-aanval kun je nooit helemaal voorkomen. Als iemand je eenmaal als doelwit heeft uitgekozen, sta je al snel machteloos. Voor consumenten en particulieren zijn er namelijk maar weinig mogelijkheden om zulke hoeveelheden data af te slaan. Voor de zakelijke markt zijn er wel oplossingen, maar die zijn vaak niet goedkoop.
Wat je wel kunt doen, is maatregelen nemen om de kans op een DDoS-aanval kleiner te maken. Dat begint met het voorzichtiger omgaan met je gegevens. Om een DDoS-aanval uit te kunnen voeren, moet een kwaadwillende eerst je IP-adres weten. Dat is stap 1 om een aanvaller mee te misleiden: een ander IP-adres gebruiken.
Jezelf beter beschermen met een VPN
Wanneer je een VPN gebruikt, gebruik je standaard een ander IP-adres dan je eigen adres. De VPN-server leent immers zijn IP-adres aan je uit, als je verbinding maakt met de VPN-dienst. Vaak komt het IP-adres van een VPN uit het buitenland. Daarmee ben je al minder goed te traceren.
Stel dat een aanvaller denkt dat dit jouw echte IP-adres is. De aanvaller zal de DDoS richten op het IP-adres van de VPN. Een VPN-dienst kan zulke grote hoeveelheden data beter aan dan jouw particuliere internetverbinding. Persoonlijk heb jij dan ook geen last van de aanval.
Gebruik een goede firewall
Veel mensen onderschatten het nut van een goede firewall. Deze kan een DDoS-aanval in een vroeg stadium herkennen. Goede firewalls zien namelijk wanneer er neppakketten worden afgeleverd en wanneer er verzoeken worden gedaan door verdachte bronnen. Een firewall slaat legitiem verkeer niet af, dus je kunt gewoon zorgeloos internetten.
Je kunt firewalls tegenwoordig vaak ook op de router zelf instellen, in plaats van op iedere computer apart. Veel fabrikanten van routers geven je de mogelijkheid bepaald verkeer af te slaan. Zo maak je de kans op een DDoS-aanval kleiner. Bekijk de handleiding van jouw router om te zien welke mogelijkheden er aanwezig zijn.
Draai zelf geen servers op je internetverbinding
Je hebt misschien uitgevonden hoe je servers draait op je thuisverbinding. Dat lijkt aantrekkelijk, want internetverbindingen van consumenten zijn in de loop der jaren een stuk sneller geworden. Je bespaart op de kosten van hosting of van het inschakelen van een datacenter. Maar je stelt jezelf ook bloot aan gevaar. De kans dat jouw website uit het niets wordt aangevallen, is reëel. Dan gaat niet alleen jouw website offline, maar ook je hele internetverbinding.
Een hostingbedrijf of een datacenter heeft veel meer capaciteit en ervaring om met dit soort aanvallen om te gaan. Zij hebben ook verschillende gereedschappen om een aanval te stoppen.
Wijzer op het internet
Het is verstandig om je kennis over het internet en cyberveiligheid op peil te houden. Er komen steeds nieuwe manieren bij waarmee cybercriminelen argeloze internetgebruikers proberen te ruïneren. DDoS-aanvallen kunnen tegenwoordig al zonder enige kennis op het darkweb gekocht worden. Daarnaast ben je tegenwoordig kwetsbaar voor oplichting, phishing en ransomware (gijzelsoftware).
Update regelmatig je antivirusprogramma, firewalls en software van je router. Internet alleen met een VPN, zodat je data versleuteld en met een ander IP-adres het internet opgaat. Dit zijn al goede eerste stappen om te voorkomen dat je slachtoffer wordt van cybercriminaliteit, zoals een DDoS-aanval.