DDoS staat voor Distributed Denial of Service. Bij een DDoS-aanval probeert een groot aantal computers, vaak verspreid over vele locaties in de wereld, contact te maken met een server. “Aanvallers proberen op die manier om de server te overladen met verkeer zodat het geen antwoord meer kan geven: een denial of service.
Servers en de kanalen die servers met het internet verbinden hebben een beperkte capaciteit. Cybercriminelen laten die ‘vollopen’ door bijvoorbeeld de inzet van ‘botnets’. Botnets zijn netwerken van geïnfecteerde computers, aangestuurd door een cybercrimineel. Door een computer te infecteren met malware wordt het een ‘bot’. De bots infecteren vervolgens andere computers en zo breidt de crimineel zijn netwerk steeds verder uit tot een netwerk van bots (botnet). Bij een DDoS-aanval zorgt de cybercrimineel ervoor dat de bots in zijn botnet tegelijk internetverkeer naar een server sturen, zodat die wordt overstelpt met toegangsverzoeken. De server heeft dan onvoldoende capaciteit om het verkeer te verwerken en kan doordoor niet meer naar behoren werken of loopt volledig vast. Bezoekers krijgen dan bijvoorbeeld geen toegang meer tot een website, of een onlinedienst wordt ernstig vertraagd. Daarmee heeft de cybercrimineel zijn doel bereikt.
De motivatie achter een DDoS-aanval is sterk afhankelijk van de aanvaller. Toch zijn er over het algemeen een aantal hoofdmotieven te onderscheiden. De motivatie kan persoonlijk van aard zijn. Te denken is aan jongeren die uit verveling een populaire website aanvallen, of een oud-werknemer die uit wrok achter een voormalig werkgever aangaat. In zulke gevallen gaat het meestal niet om geharde criminelen. Dat is anders in het geval van een DDoS-aanval met een financieel motief. Door te dreigen met een DDoS-aanval kunnen cybercriminelen bedrijven afpersen. Of ze kunnen ingehuurd worden om een concurrent aan te vallen. Ook DDoS-aanvallen om politieke of ideologische redenen komen voor. Websites van politieke rivalen, kritische media of activistische groeperingen kunnen een doelwit vormen voor kwaadwillenden.
Een DDoS-aanval kan niet voorkomen worden, maar wel afgeslagen. Er zijn verschillende mogelijkheden om een DDoS-aanval te voorkomen. Het is mogelijk om webverkeer uit een bepaalde geografische regio te blokkeren. Of zelfs al het webverkeer richting een server. Veel organisaties kiezen echter voor het gebruik van een scrubbing center. Daarbij wordt dataverkeer door specialistische apparatuur geleid en ‘schoongeschrobd’. Alleen legitiem dataverkeer gaat vanuit het scrubbing center naar de bestemming. Een bekend Nederlands voorbeeld is de Nationale Wasstraat, beheerd door de non-profit stichting Nationale Beheersorganisatie Internet Providers (NBIP).
DDoS-aanvallen vereisen een collaboratieve aanpak, want alleen zo kun je DDoS-aanvallen proberen te voorkomen (pro-actief aanpakken).
Het DDoS-Clearing House is een systeem dat ontwikkeld wordt in het EU-onderzoeksproject CONCORDIA en dat de Nationale Anti-DDoS Coalitie gaat gebruiken om pro-actief DDoS-aanvallen te bestrijden. Het systeem bestaat uit meerdere componenten, namelijk de Dissector, de Converter en de DDoSDB. Het doel van het systeem is real-time informatie over DDoS-aanvallen te delen (de metadata) met alle aangesloten coalitiepartijen in de vorm van DDoS-fingerprints.
De DDoS Dissector vormt samen met de DDoS-DB en de Converter de kerncomponenten van het Clearing House systeem. De Dissector zet DDoS-verkeer (in pcap- of flow-formaat) om naar DDoS-fingerprints.
Een DDoS-fingerprint beschrijft de kenmerken van een DDoS-aanval (de metadata), zoals welk protocol is gebruikt, welke IP-adressen de aanval vandaan kwam, hoe groot de aanval was en hoelang de aanval duurde. Het wordt gegenereerd door de organisatie die de DDoS-aanval te verwerken krijgt. Zij genereren de fingerprint door de DDoS Dissector toe te passen op een pcap- of flow-bestand van de aanval die ze hebben gelogd of gecaptured. DDoS-fingerprints worden door alle aangesloten partijen centraal gedeeld in de DDoS-DB. Een DDoS-fingerprint wordt opgeslagen in JSON-bestandsformaat.
De Converter haalt DDoS-fingerprints uit DDoS-DB en zet deze om in mitigatieregels die toegepast kunnen worden op de netwerkapparatuur. Momenteel worden IPTables en Snort ondersteund, maar voor de toekomst staan ook andere soorten regels op de planning.
De DDoS-DB slaat de DDoS-fingerprints van de aangesloten coalitiepartijen op en fungeert als distributiepunt. Coalitiepartijen kunnen via een API fingerprints geautomatiseerd opvragen. Door middel van een front-end kunnen ze de DDoS-DB daarnaast handmatig uitlezen via hun browser en zoeken op specifieke DDoS-fingerprints.
De DDoS Grid is een module van het DDoS Clearing House ontwikkeld door de University of Zurich die compatible is met de DDoSDB. Door integratie met deze module is het mogelijk om DDoS-data uit de DDoSDB te visualiseren.
De IP Address Analyzer is een module van het DDoS Clearing House ontwikkeld door de Universiteit Twente en kan ook als module gekoppeld worden aan de DDoSDB. Vervolgens kan de IP Address Analyzer ruwe DDoS-fingerprints verrijken met additionele gegevens uit semi-lokale en externe datasets.
CONCORDIA is een onderzoeksproject van de EU, bestaande uit universiteiten, overheidsorganisaties en bedrijven, met als doel om de cyberweerbaarheid van de EU te verhogen. Coalitiepartners SIDN Labs, SURF en de Universiteit Twente werken in project CONCORDIA aan een DDoS-Clearing House voor de EU dat vervolgens gebruikt gaat worden in de Nederlandse Anti-DDoS-Coalitie. SIDN Labs leidt in CONCORDIA de ontwikkeling van het Clearing House en de pilots met het systeem.
Bij een Ransom-DDoS wordt een organisatie bestookt met een DDoS-aanval en wordt er vervolgens losgeld geëist om ermee te stoppen. Soms krijgt een organisatie al een e-mail met een dreigement voordat de daadwerkelijke DDoS-aanval plaats heeft gevonden.
Criminelen bieden aan individuen en organisaties DDoS-aanvallen aan onder de naam ‘DDoS-as-a-service’. Hierbij betaalt een organisatie of individu om een andere organisatie offline te halen met een DDoS-aanval. Dit soort diensten staan ook bekend als ‘booters’.
Een Botnet is een netwerk van zogenaamde ‘bots’. Dit zijn systemen die cybercriminelen hebben geïnfecteerd met malware. Zij gebruiken de bots onder andere gebruikt om DDoS-aanvallen uit te voeren, meestal zonder dat de originele eigenaar van het systeem hier zich van bewust is. Botnets kunnen van verschillende groottes zijn, oplopend tot enkele honderdduizenden machines.