De DDoS-context
“Een denial-of-service-aanval (DoS-aanval) is een cyberaanval waarbij de dader probeert een machine of netwerkbron onbeschikbaar te maken voor de beoogde gebruikers. Het verstoort tijdelijk of voor onbepaalde tijd de diensten van een host die is aangesloten op het internet” – Wikipedia
In het geval van een gedistribueerde denial-of-service aanval (DDoS-aanval) is de belasting van de aanval afkomstig van veel verschillende bronnen. Het maakt meestal gebruik van een botnet en/of slecht geconfigureerde services (zoals we verderop zullen zien). In tegenstelling tot DoS, maakt dit type aanval het moeilijk om de hacker te traceren en gaat het gepaard met een enorm bandbreedteverbruik van het slachtoffer.
Er zijn veel redenen voor dit soort aanvallen, waaronder de volgende:
– IdeologischEen soort bezwaar tegen een boodschap van een bedrijf of een overheid(bijv.: Anoniem)
– RookgordijnWordt gebruikt om een complexere aanval te verbergen, waarbij meestal sprake is van imitatie of exfiltratie van gegevens.
– UitdagingHet vermogen van een hacker om de beveiliging van een systeem te overwinnen of te vergroten.
Wat beangstigender is, is het gemak waarmee je goedkoop een DDoS kunt maken, zelfs voor iemand met beperkte vaardigheden, omdat het gebruikte geschut overal gratis of bijna gratis verkrijgbaar is.
Wat is een versterkingsaanval in een DDoS-context?
Een versterkingsaanval is een volumetrische aanval die probeert de bandbreedte van het slachtoffer uit te putten door middel van “reflectie”. Een aanvaller “vraagt” met een kort bericht informatie, in UDP, aan een kwetsbare dienst. De aanvaller vervangt het bron-IP van het bericht door het IP van het slachtoffer, om de kwetsbare dienst te overtuigen direct naar het slachtoffer te “antwoorden”. Wanneer de service antwoordt met een bericht dat groter is dan het bronbericht, wordt dit amplificatie genoemd. De three-way handshake van TCP staat dit gedrag niet toe, omdat het bronadres niet kan worden gespoofed – Wikipedia.
In deze figuur hebben we het specifieke geval beschreven van een hacker die direct een gespoofed pakket verstuurt naar verschillende kwetsbare diensten. Bij een grootschalige aanval zal de hacker een botnet gebruiken om het initiële pakket vanuit een groot aantal bronnen te versturen, waardoor het effect van de aanval exponentieel zal toenemen.
Het potentiële effect van een versterkingsaanval kan worden gemeten met de Bandbreedte Versterkingsfactor(BAF), die kan worden berekend als het aantal UDP payload bytes dat een versterker verstuurt om een verzoek te beantwoorden, vergeleken met het aantal UDP payload bytes van het verzoek (zie hieronder een lijst met bekende protocollen en hun bijbehorende BAFs.
| Protocol | Bandbreedte Versterkingsfactor |
|---|---|
| DNS | 28 tot 54 |
| NTP | 556.9 |
| SNMPv2 | 6.3 |
| NetBIOS | 3.8 |
| SSDP | 30.8 |
| CharGEN | 358.8 |
| QOTD | 140.3 |
| BitTorrent | 3.8 |
| Kad | 16.3 |
| Quake Netwerk Protocol | 63.9 |
| Stoom Protocol | 5.5 |
| Multicast DNS (mDNS) | 2 tot 10 |
| RIPv1 | 131.24 |
| Poortmap (RPCbind) | 7 tot 28 |
| LDAP | 46 tot 55 |
| CLDAP | 56 tot 70 |
| TFTP | 60 |
| Memcached | 10.000 tot 51.000 |
Preventie en reactie
Hier zijn enkele punten die je kunnen helpen bij het snel afzwakken van een versterkingsaanval:
– Een actueel netwerk-/serviceschema.
– Een getest incidentenbestrijdingsplan met duidelijk gedefinieerde rollen en contactpersonen (idealiter ook afgedrukt op papier, voor het geval het hele netwerk niet beschikbaar is).
– Een goed bewakingssysteem dat je waarschuwt bij het begin van een DDoS.
– Een firewall die alle verkeer blokkeert dat niet expliciet is toegestaan (inkomend en uitgaand).
– Gebruik een goed geconfigureerde loadbalancer en zorg ervoor dat deze geen single point of failure wordt.
– Beoordeel regelmatig de beveiliging van uw infrastructuur en van uw firewallregels.
– Vraag je provider (ISP) om tijdelijke filtering (traffic scrubbing of traffic shaping).
– Noteer elke actie tijdens een incidentrespons (tijdstempel, acties, resultaten, …).
– Escaleer naar een derde partij als er geen andere oplossingen zijn.
En … doe niet mee aan een DDoS. Voorkom open of verkeerd geconfigureerde UDP-services om deelname aan een toekomstige DDoS te voorkomen.
Onze statistieken voor België
De services die kunnen worden gebruikt voor een Amplification-aanval zijn overal ter wereld beschikbaar. Om je een idee te geven, hebben we statistieken samengesteld over enkele kwetsbare UDP-services in België, afkomstig van Threat Intelligence en passieve scans op Belgisch niveau, per half maart 2018, die kunnen worden gebruikt voor een versterkingsaanval (gerangschikt op versterkingsfactor):
| Protocol | Bandbreedte Versterkingsfactor | Kwetsbaarheid in België |
|---|---|---|
| Memcached | 10.000 tot 51.000 | 55 |
| NTP | 556.9 | 10809 |
| CharGEN | 358.8 | 26 |
| QOTD | 140.3 | 49 |
| DNS | 28 tot 54 | 2743 |
| SSDP | 30.8 | 2757 |
| MS-SQL | 25 | 537 |
| Poortmap (RPCbind) | 7 tot 28 | 6025 |
| SNMPv2 | 6.3 | 5993 |
| Multicast DNS (mDNS) | 2 tot 10 | 6093 |
| NetBIOS | 3.8 | 2683 |
Conclusie
– DDoS-versterkingsaanvallen zijn geen kwestie van vaardigheden voor een hacker, aangezien er een overvloed aan tools is die min of meer vrij toegankelijk zijn.
– DDoS-versterkingsaanvallen zijn moeilijk te beperken omdat het IP van de hacker verborgen blijft achter de reflectie.
– Overal ter wereld zijn enorme hoeveelheden kwetsbare diensten beschikbaar die voor DDoS kunnen worden gebruikt. Pas in ieder geval op dat je er zelf niet aan meedoet.
– Je kunt het gedeelte “Preventie en reactie” gebruiken als inspiratie voor je eigen verdediging.
