Wat is een DDoS aanval? | Mediafuze

Wat is een DDoS aanval?

Een distributed denial-of-service (DDoS) -aanval is een kwaadwillige poging om het verkeer van een beoogde server, online service of netwerk te verstoren. Dit wordt met een DDoS-aanval gedaan door het doel of de omliggende infrastructuur te overweldigen met een overvloed aan internetverkeer.

DDoS-aanvallen zijn effectief door gebruik te maken van meerdere gecompromitteerde computersystemen als bronnen van aanvalsverkeer. Deze machines kunnen computers zijn, maar ook andere netwerkbronnen zoals Internet of Things-apparaten. Een DDoS-aanval is te vergelijken met een file ervoor zorgt dat de snelweg verstopt raakt, waardoor regulier verkeer niet meer op de gewenste bestemming kan aankomen.

Hoe werkt een distributed denial-of-service-aanval?

Voor het uitvoeren van een DDoS-aanval moet een aanvaller controle krijgen over een netwerk van online machines. Computers en andere machines (zoals IoT-devices) zijn bijvoorbeeld geïnfecteerd met malware en veranderen elke computer in een bot (ook wel 'zombie' genaamd). De aanvaller heeft in dat geval op afstand controle over de groep bots, dat gezamenlijk een botnet genoemd wordt .

Zodra een botnet opgezet is, kan de aanvallerop afstand de machines controleren en instructies naar elke individuele bot sturen. Wanneer het IP-adres van een slachtoffer opgegeven wordt als doelwit van het botnet, reageert elke bot door verzoeken naar het doel te sturen. Hierdoor wordt de server of het netwerk van het doelwit getroffen met een overcapaciteit. Dit resulteert in een denial-of-service voor al het normale verkeer dat de server normaal gesproken verwerkt. Omdat elke bot veelal gezien wordt als een legitiem internetapparaat, kan het lastig zijn om het aanvalsverkeer van normaal verkeer te scheiden. Gelukkig zijn er geavanceerde DDoS-oplossingen om dit soort bots te detecteren.

Wat zijn veelvoorkomende DDoS-aanvallen?

Alhoewel elk type DDoS-aanval gebruik maakt van een overweldigende hoeveelheid verkeer die naar het doelwit-apparaat of -netwerk gestuurd wordt, worden DDoS-aanvallen worden onderverdeeld in drie categorieën. Een aanvaller kan een of meerdere verschillende aanvalsvectoren gebruiken, of cyclusaanvalsvectoren die mogelijk gebaseerd zijn op tegenmaatregelen die het doelwit heeft genomen. De drie DDoS-categorieën zijn Application Layer Attacks, Protocol Attacks en Volumetric Attacks.

1. Application Layer Attacks

Het doel van de Application Layer aanval:
De Application Layer Attack wordt soms aangeduid als een layer 7 DDoS-aanval. Layer 7 verwijst naar een laag van het OSI-model. Het doel van dit type DDoS-aanvallen is om de bronnen van het doel uit te putten. De aanvallen richten zich vaak op de laag waar webpagina's worden gegenereerd op de server en worden afgeleverd in reactie op HTTP-requests.

Een enkele HTTP-aanvraag is goedkoop om uit te voeren aan de klantzijde, maar kan kostbaar zijn voor de doelserver om op te reageren. Dit komt doordat de server vaak meerdere bestanden moet laden en databasequery's moet uitvoeren om een ​​webpagina te tonen. Layer 7-aanvallen zijn moeilijk te verdedigen omdat het ingewikkeld is om het verkeer te analyseren en daar waar nodig te markeren als 'kwaadaardig'.

HTTP Flood

De HTTP Flood-aanval is vergelijkbaar met het herhaaldelijk 'refreshen' of vernieuwen van een webbrowser op een grote hoeveelheid computers tegelijkertijd. De grote hoeveelheid HTTP-verzoeken overspoelen de server en dit resulteert in denial-of-service.

Dit type aanval varieert sterk, van eenvoudige tot zeer complexe HTTP Floods. De eenvoudiger implementaties hebben toegang tot één URL met dezelfde reeks aanvallende IP-adressen, referrers en user-agents. Complexe HTTP Flood-versies kunnen een groot aantal aanvallende IP-adressen gebruiken en willekeurige URL's targeten met behulp van willekeurige verwijzende URL's en user-agents.

2. Protocol Attacks

Het doel van de Protocol aanval:

Protocolaanvallen, ook wel bekend als state-exhaustion attacks, veroorzaken een verstoring van de service door alle beschikbare state table capacity van web application servers, of bronnen van tussenliggende devices zoals firewalls en load balancers, te verbruiken. Protocolaanvallen gebruiken zwakke punten in Layer 3 en Layer 4 van de protocol stack om het doel ontoegankelijk te maken.

SYN Flood

Een SYN Flood is te vergelijken met een werknemer die in een voorraadkamer verzoeken vanaf de winkelvloer ontvangt. De werknemer ontvangt een verzoek, krijgt het pakket en wacht op een bevestiging voordat hij het pakket naar de winkelvloer brengt. De werknemer krijgt vervolgens veel meer pakketverzoeken zonder enige bevestiging te krijgen vanaf de winkelvloer. Het aantal verzoeken loopt zo hoog op dat er geen pakketten gedragen kunnen worden, waardoor hij overweldigd raakt en verzoeken vervolgens onbeantwoord blijven.

Deze aanval maakt gebruik van de 'TCP-handshake' door een doel een groot aantal TCP "Initial Connection Request" SYN-pakketten te versturen met vervalste bron-IP-adressen. De doelcomputer reageert op elk verbindingsverzoek en wacht vervolgens op de laatste stap in de handshake, die nooit plaatsvindt. De middelen van het doelwit worden tijdens het proces hierdoor uitgeput.

3. Volumetric Attacks

Het doel van de aanval:
Een Volumetric Attack probeert opstopping te creëren door alle beschikbare bandbreedte tussen het aanvalsdoel en het grotere internet te verbruiken. Grote hoeveelheden data worden naar een doel gestuurd door middel van een versterkingsvorm of een andere manier om massaal verkeer te genereren, zoals verzoeken afkomstig van een botnet.

IoT Botnets als voorbeeld

Netwerken van aangevallen IoT-apparaten, soms bestaande uit wel miljoenen machines en computers, worden op afstand bestuurd en gebruikt om op grote schaal aanvallen uit te voeren. Zo worden zeer krachtige botnets gecreëerd.

De IoT-botnet DDoS cyberdreiging werd bekend tijdens de Mirai-aanval. De botnet werd bestuurd door Command and Control (C & C) -netwerken. De hacker voert deze C & C-netwerken uit en heeft de mogelijkheid om deze DDoS-aanvallen te starten.

DNS Amplification

Door een request in te dienen bij een open DNS-server met een vervalst IP-adres (het echte IP-adres van het doel), ontvangt het doel-IP-adres een reactie van de server. De aanvaller structureert de aanvraag zodanig dat de DNS-server met een grote hoeveelheid gegevens op het doel antwoordt. Vervolgens ontvangt het doelwit een versterking van de aanvankelijke vraag van de aanvaller.


Wat zijn de risico’s van Ziggo en UPC WifiSpots?

Een groter risico zal er zitten in het feit dat kwaadwillenden kunnen doen alsof ze een Ziggo WifiSpot hebben. Door dit op plaatsen te doen waar veel mensen komen met hun mobiele telefoon kunnen in korte tijd veel inlog gegevens onderschept worden van gebruikers die automatisch proberen in te loggen op het fake Ziggo WifiSpot.Om gebruikers te garanderen dat ze op het echte Ziggo WifiSpot netwerk zitten wordt aangeraden om het Ziggo WifiSpots beveiligingscertificaat te installeren.Dit doet u door het certificaat te downloaden en vervolgens de stappen op uw telefoon, tablet of PC te volgen.Uw apparaat zal hierna alleen nog verbinding maken met het Wifi netwerk “Ziggo” als daar hetzelfde certificaat op staat. Mochten kwaadwillenden een netwerk met dezelfde naam hebben dan zal uw apparaat daar geen verbinding meer mee gaan maken en worden uw gegevens niet onderschept door derden.

Lees meer »

Wat is WifiSpots?

Alle klanten die een betaald Ziggo (of voorheen UPC) abonnement hebben met internet in het pakket, kunnen gratis gebruik maken van de WifiSpots van Ziggo.Heb je een draadloos Wi-Fi modem, dan wordt hierin een tweede netwerk geactiveerd die dient als hotspot. Je ontvangt automatisch een e-mail van Ziggo op je contact e-mailadres zodra WifiSpots voor je beschikbaar is.Wil je geen gebruik maken van deze functionaliteit? Zet WifiSpots dan uit. In dat geval kan je ook geen gebruik meer maken van de WifiSpots van andere Ziggo abonnees.Bij elk ‘Ziggo WifiSpot’ is de bandbreedte voor gasten beperkt tot maximaal 3 Mbps per gebruiker en er kunnen maximaal 20 gebruikers gelijktijdig op één modem van de WifiSpot gebruik maken.

Lees meer »

QR-code fraude: Wat is het en hoe voorkom je het?

Een QR-code is een soort streepjescode die je gemakkelijk met je mobiele apparaat kunt uitlezen. QR staat hier voor Quick Response, dit omdat het scannen erg snel gaat. Je ziet QR-codes tegenwoordig overal, op reclamefolders, tijdschriften, visitekaartjes, en nog veel meer. Op de meeste smartphones staat standaard een QR-code app die de codes uit kan lezen. Door met deze app de QR-code te scannen kun je bijvoorbeeld direct een site met meer uitleg openen. Vaak worden QR-codes voor het gemak gebruikt omdat je op deze wijze snel een website kan openen en niet een ingewikkelde URL hoeft over te typen.

Lees meer »

Hoe veilig is jouw wifi-netwerk?

Belangrijkste wat we willen meegeven is dat je echt de tijd moet nemen je draadloos netwerk te beveiligen. Wifi-beveiliging wordt steeds belangrijker in deze tijd van de cybercriminaliteit. Steeds meer apparaten worden namelijk gekoppeld aan het wifi-netwerk. Als buitenstaanders of internetcriminelen in jouw wifi-netwerk kunnen, loop je flinke risico's. Ze hebben dan toegang tot bestanden, printers en apparaten in jouw bedrijfsnetwerk. Daarnaast kunnen ze een virus op computers zetten of je inloggegevens van je bank onderscheppen.

Lees meer »

Hoe veilig is openbare wifi?

Hacken betekent dat iemand, een crimineel, met kwade bedoelingen inbreekt op iemands computer, smartphone, e-mailaccount, website of profielsite zoals Facebook. Dit wordt ook wel cybercrime genoemd. Ook proberen criminelen met phishing- of pharming-aanvallen betalingsgegevens te krijgen. Vaak worden deze gegevens verkregen via gehackte computers of websites.

Lees meer »