De afgelopen week zijn er opnieuw meldingen over DDoS-aanvallen in het nieuws gekomen. “De grootste aanval ooit!”, “…cybercriminelen…”, “… afpersing en vreemde mogendheden”, de superlatieven volgen elkaar in rap tempo op. Maar wat is een DDoS-aanval nu precies, wat is het acute gevaar van dit type aanvallen, wie pleegt ze en wat zijn de details achter de nu spelende Memcached-aanvallen? Allemaal vragen die wij in dit artikel hopen te beantwoorden.

Wat is een DDoS-aanval?

“DoS” staat voor “Denial-of-Service”. Dit is een centraal georganiseerde  aanval op de beschikbaarheid van een geautomatiseerd systeem. De aanvaller probeert dus niet om zich toegang te verschaffen tot de zich op dat systeem bevindende informatie, maar ervoor te zorgen dat níemand meer toegang krijgt tot dat systeem. Een dergelijke aanval kan op vele manieren worden uitgevoerd, maar meestal wordt hierbij misbruik gemaakt van één of meerdere fouten in software of systemen.

Een DoS-aanval kan óók uitgevoerd worden vanaf meer dan 1 systeem: dit noemen we een “Distributed Denial of Service-” of “DDoS-aanval”. Een DDoS-aanval wordt vanaf een centraal punt door één persoon of groep georganiseerd maar maakt gebruik van een netwerk van gecorrumpeerde systemen op het internet, een zogeheten “Botnet”. De aanvaller(s) controleren het Botnet vanaf controleservers en richten zo hun pijlen op één of meerdere doelwitten.

Wat is het doel van een DDoS-aanval en wie zit(ten) erachter?

DDoS-aanvallen zijn laagdrempelig: er is niet héél veel kennis benodigd om een dergelijke aanval uit te voeren. Daarom zien we dan ook vaak dat DDoS-aanvallen als “tool” gebruikt worden door de minder geavanceerde aanvallers: activisten en vandalen/”script kiddies”. In de jaren 2010 tot 2015 heeft de groep Anonymous het middel DDoS regelmatig ingezet als protestmiddel tegen bijvoorbeeld rijksoverheden, the Church of Scientology en andere partijen waar ze tegen ageerden. Aan de “script-kiddie”-kant van het spectrum vinden we een specifiek voorbeeld in de aanvallen op banken en de Belastingdienst van januari jongstleden, uitgevoerd door een jongen van 18 die daar ongeveer 40 Euro voor betaald heeft. Zó simpel kan het zijn: een uiting van onvrede of een poging om je te doen gelden.

Dit wil echter niet zeggen dat de dreiging van DDoS-aanvallen beperkt is tot deze twee soorten actoren en motieven. Ook meer capabele en gevaarlijke actoren maken gebruik van dit middel. Zo hebben cybercriminelen dit middel al meermaals ingezet voor afpersing (waaronder de huidige memcached-aanvallen) en maken (semi-)overheid-hackers uit verschillende landen gebruik van DDoS-aanvallen om andere, al-dan-niet vijandige landen te destabiliseren. DDoS is een wapen en kan voor verschillende doelen ingezet worden.

De huidige memcached DDoS-aanvallen

Memcached is een linux-programma dat wordt gebruikt op database-servers. Dit programma maakt het mogelijk om veel gebruikte data in het geheugen van de server op te slaan (te “cachen”) wat opzoeken veel sneller maakt dan van disk.
In de standaard memcached-configuratie zit een fout die het mogelijk maakt om een server te vragen grote hoeveelheden data naar een ander systeem te sturen:“Mallory vraagt het programma memcached op de server van Bob om een grote hoeveelheid informatie te versturen maar vervalst het adres waar deze informatie naartoe moet.”

Door meerdere memcached-servers deze instructie te geven en ze allemaal naar hetzelfde adres te laten antwoorden ontvangt de server achter dit adres ineens honderden of duizenden betekenisloze, grote berichten: “Alice’s server ontvangt onzin-berichten van de servers van Bob en vele anderen. De netwerk-programmatuur van Alice’s server slaat vast.”

Doordat de netwerk-stack van het slachtoffersysteem zó veel data ontvangt kan deze niet meer functioneren. Het systeem is niet langer in staat bevragingen in ontvangst of behandeling te nemen en de dienstverlening stokt.

Wat deze aanval bijzonder maakt is dat memcached het mogelijk maakt om véél meer data te verzenden dan de voorgaande DDoS-methoden. Er is reeds een aanval waargenomen waarbij 1.71 Terabit per seconde aan data verzonden werd naar het doelwit.

Wat kunnen we tegen DDoS-aanvallen doen?

Er zijn verschillende manieren om DDoS-aanvallen deels te voorkomen of, wanneer je wordt aangevallen, te mitigeren. Het leeuwedeel van het Nederlandse internetverkeer wordt nu al door de “Nationale Wasstraat” of “NAWAS” gefilterd – dit filtert een deel van het DDoS-verkeer, maar is niet zaligmakend of zelfs maar toepasbaar voor de gemiddelde organisatie.

Het plaatsen van aanvullende capaciteit, het inregelen van redundantie op je systemen en het extern onderbrengen van (deel-)services kunnen ook effectieve maatregelen zijn, maar naast dat deze methoden erg duur zijn kennen zij ook nog eens de nodige beperkingen. Wij richten ons daarom voornamelijk op het voorkomen van DDoS-aanvallen in het algemeen en het voorbereiden op de onvermijdelijke aanval.

Zoals al eerder opgemerkt zijn DDoS-aanvallen mogelijk bij de gratie van slecht onderhouden en beveiligde systemen. Een Botnet is opgezet met gebruikmaking van malware, waar veel maatregelen ter voorkomen op genomen kunnen worden. De voornoemde memcached-aanval welke nu speelt is te voorkomen wanneer alle beheerders met memcached in hun landschap de memcached IP-poort dichtzetten: UDP/11211. Er zijn sowieso weinig redenen om deze poort open te hebben staan.

 

Bron: Blog Sincerus