- Wat zijn DoS- en DDoS-aanvallen?
- Hoe worden DoS/DDoS-aanvalgereedschappen gecategoriseerd?
- Lage en langzame aanvalstools
- Aanvaltools voor de applicatielaag (L7)
- Tools voor aanvallen op de protocol- en transportlaag (L3/L4)
- Wat zijn veelgebruikte hulpmiddelen voor DoS/DDoS-aanvallen?
- Low Orbit Ion Cannon (LOIC)
- High Orbit Ion Cannon (HOIC)
- Slowloris
- R.U.D.Y (R-U-Dead-Yet)
- Hoe kan ik me tegen DoS/DDoS-tools verdedigen?
Wat zijn DoS- en DDoS-aanvallen?
Denial-of-service (DoS) en distributed denial-of-service (DDoS) aanvallen zijn kwaadaardige pogingen om de normale werking van een bepaalde server, dienst of netwerk te verstoren door deze te overspoelen met een stortvloed aan internetverkeer.
DoS-aanvallen bereiken deze verstoring door kwaadaardig verkeer te verzenden vanaf één enkele machine – meestal een computer. Ze kunnen heel eenvoudig zijn; een eenvoudige ping flood-aanval kan worden uitgevoerd door meer ICMP (ping)-verzoeken naar een doelserver te sturen dan deze kan verwerken en efficiënt kan beantwoorden.
DDoS-aanvallen maken daarentegen gebruik van meer dan één machine om kwaadaardig verkeer naar hun doel te sturen. Vaak maken deze machines deel uit van een botnet – een verzameling computers of andere apparaten die zijn geïnfecteerd met malware en zo op afstand kunnen worden bestuurd door een individuele aanvaller. In andere gevallen lanceren meerdere individuele aanvallers DDoS-aanvallen door samen te werken bij het verzenden van verkeer vanaf hun individuele computers.
DDoS-aanvallen komen om twee redenen steeds vaker voor en zijn schadelijker in het moderne internet. Ten eerste zijn moderne beveiligingshulpmiddelen ontwikkeld om sommige gewone DoS-aanvallen te stoppen. Ten tweede zijn DDoS-aanvalgereedschappen relatief goedkoop en gemakkelijk te bedienen geworden.
Hoe worden DoS/DDoS-aanvalgereedschappen gecategoriseerd?
Er bestaat een aantal gereedschappen dat kan worden aangepast om DoS/DDoS-aanvallen uit te voeren, of dat expliciet voor dat doel is ontworpen. De eerste categorie zijn vaak “stressors” – tools die bedoeld zijn om beveiligingsonderzoekers en netwerktechnici te helpen bij het uitvoeren van stresstests tegen hun eigen netwerken, maar die ook kunnen worden gebruikt om echte aanvallen uit te voeren.
Sommige zijn gespecialiseerd en richten zich alleen op een bepaalde laag van het OSI-model, terwijl andere zijn ontworpen om meerdere aanvalsvectoren mogelijk te maken. Categorieën aanvalstools zijn onder meer:
Lage en langzame aanvalstools
Zoals de naam al aangeeft, gebruiken deze soorten aanvalstools een gering volume aan gegevens en werken ze zeer langzaam. Deze hulpmiddelen zijn ontworpen om kleine hoeveelheden gegevens via meerdere verbindingen te verzenden om de poorten op een beoogde server zo lang mogelijk open te houden, en blijven de bronnen van de server in beslag nemen totdat deze geen extra verbindingen meer kan onderhouden. Uniek is dat low- en slow-aanvallen soms ook effectief zijn als ze geen gebruik maken van een gedistribueerd systeem zoals een botnet, en meestal door één machine worden gebruikt.
Aanvaltools voor de applicatielaag (L7)
Deze tools richten zich op laag 7 van het OSI-model, waar internetgebaseerde verzoeken zoals HTTP plaatsvinden. Door een HTTP-flowaanval te gebruiken om een doelwit te overspoelen met HTTP GET- en POST-verzoeken, kan een kwaadwillende aanvalsverkeer lanceren dat moeilijk te onderscheiden is van normale verzoeken van echte bezoekers.
Tools voor aanvallen op de protocol- en transportlaag (L3/L4)
Verder in de protocolstack maken deze tools gebruik van protocollen als UDP om grote hoeveelheden verkeer naar een doelserver te sturen, zoals tijdens een UDP-flow. Hoewel deze aanvallen afzonderlijk vaak niet effectief zijn, worden ze meestal aangetroffen in de vorm van DDoS-aanvallen, waarbij het voordeel van extra aanvallende machines het effect vergroot.
Wat zijn veelgebruikte hulpmiddelen voor DoS/DDoS-aanvallen?
Enkele veelgebruikte hulpmiddelen zijn:
Low Orbit Ion Cannon (LOIC)
De LOIC is een open-source toepassing voor stresstests. Hiermee kunnen zowel TCP- als UDP-protocollaagaanvallen worden uitgevoerd met behulp van een gebruikersvriendelijke WYSIWYG-interface. Vanwege de populariteit van het oorspronkelijke programma zijn er afgeleiden gemaakt waarmee aanvallen kunnen worden gelanceerd met behulp van een webbrowser.
High Orbit Ion Cannon (HOIC)
Dit aanvalsprogramma is gemaakt ter vervanging van de LOIC door de mogelijkheden uit te breiden en aanpassingen toe te voegen. Met behulp van het HTTP-protocol kan de HOIC gerichte aanvallen uitvoeren die moeilijk te onderdrukken zijn. De software is ontworpen om minimaal 50 mensen te laten samenwerken in een gecoördineerde aanval.
Slowloris
Slowloris is een toepassing die is ontworpen om een lage en langzame aanval uit te voeren op een gerichte server. Het heeft een relatief beperkte hoeveelheid middelen nodig om een schadelijk effect te creëren.
R.U.D.Y (R-U-Dead-Yet)
R.U.D.Y. is een ander laag en traag aanvalshulpmiddel dat is ontworpen om de gebruiker in staat te stellen gemakkelijk aanvallen te lanceren met behulp van een eenvoudige point-and-click interface. Door meerdere HTTP POST-verzoeken te openen en deze verbindingen zo lang mogelijk open te houden, probeert de aanval de beoogde server langzaam te overweldigen.
Hoe kan ik me tegen DoS/DDoS-tools verdedigen?
Omdat DoS- en DDoS-aanvallen verschillende vormen aannemen, vereist het tegengaan ervan een verscheidenheid aan tactieken. Gangbare tactieken om DDoS-aanvallen te stoppen zijn onder meer:
- Rate limiting: Beperking van het aantal verzoeken dat een server binnen een bepaald tijdsvenster accepteert
- Firewalls voor webtoepassingen: Hulpmiddelen die webverkeer filteren op basis van een reeks regels
- Anycast-netwerkverspreiding: Het plaatsen van een groot, gedistribueerd cloudnetwerk tussen een server en inkomend verkeer, waardoor extra rekenhulpbronnen worden geboden waarmee op verzoeken kan worden gereageerd.
Cloudflare past al deze strategieën en meer toe om zich te verdedigen tegen de grootste, meest complexe DoS- en DDoS-aanvallen. Lees meer over Cloudflare’s DDoS-bescherming en hoe deze werkt.