DDos, wat is dat?

Wat is een Distributed Denial of Service (DDoS)?

Het begrip bestaat al jaren, maar kreeg vorig jaar door de hacks van met name Anonymous enorme aandacht in de media. Wanneer hackers een site willen platleggen, is een van de favoriete methoden de beruchte DDoS-aanval. Wat is dit nu eigenlijk precies?

De DDoS in het kort

DDoS staat voor Distributed Denial of Service. De frase ‘denial of service’ betekent zoveel als dat dienstverlening hiermee niet langer mogelijk is. ‘Distributed’ betekent dat de aanval vanaf meerdere computers wordt uitgevoerd. In de praktijk is een DDoS een aanval waarbij de getroffen server zoveel verzoeken vanaf meerdere computers te verwerken krijgt dat de dienst (vaak de website) niet meer te bereiken is en in sommige gevallen zelfs de achterliggende server crasht.

Snelwegen, afritten en knooppunten

Je kunt een DDoS wellicht nog het beste voor je zien als je het internet als snelweg voorstelt. Normaal gesproken rijdt al het verkeer (de pakketjes) rustig door op deze wegen, maar als het drukker wordt, gaat het al een stuk langzamer en komen voertuigen later op hun bestemming. Wanneer je een website of dienst beschouwt als een afrit en er plotseling ontzettend veel verkeer – dat op die bestemming helemaal niets te zoeken heeft – naar dezelfde afrit wordt geleid, kun je jezelf voorstellen dat dit punt muurvast komt te zitten en dat legitieme auto’s ook niet meer bij het eindpunt kunnen komen. Soms komen bij zo’n file bij de afrit ook de snelwegen (de ISP) en zelfs één of meerdere knooppunten (backbone servers) geheel tot stilstand. Pas als de weg weer wordt vrijgemaakt (en verkeer wordt omgeleid of simpelweg huiswaarts keert) kan de plaats van bestemming weer bereikt worden.

Dat een DDoS met meerdere computers wordt uitgevoerd, hoeft niet per definitie te betekenen dat er een (georganiseerde) club hackers achter zit. In veel gevallen opereert de dader alleen en maakt hij gebruik van een zogenaamd ‘botnet’ om een DDoS op te zetten. Een botnet is een groep op afstand bestuurbare computers die door een stukje geïnstalleerde malware, vaak zonder dat de eigenaren van de computer dit doorhebben, een aanval met een lawine aan serververzoeken kan opzetten. Teveel legitiem verkeer op piekmomenten veroorzaakt op dezelfde manier in feite ook een DDoS, denk maar eens aan de site van Apple tijdens de lancering van een nieuwe iPhone of iPad of een nieuwssite ten tijde van een grote ramp.

Gevolgen

De gevolgen van een DDoS kunnen voor een organisatie catastrofaal zijn. Websites en internetdiensten raken overbelast en zijn daardoor een periode onbereikbaar. Ook intranetten en mailservers kunnen door een goed uitgevoerde DDoS voor een tijdje onbruikbaar worden. Bij grote DDoS-aanvallen kunnen zelfs hele landen en regio’s offline raken, wanneer ergens in het netwerk een cruciale backbone router het loodje legt.

Bestrijding

Een DDoS met een klein of middelmatig volume is door een goed geconfigureerde firewall of loadbalancer af te stoppen. Sommige devices bieden een geautomatiseerde DDoS-bescherming, terwijl je in andere apparaten na het ontdekken van de aanval kunt instellen dat je het bepaald type verkeer dat de DDoS veroorzaakt wordt gefilterd. Ook kun je een internetserviceprovider (ISP) om hulp vragen om te voorkomen dat je organisatie een DDoS te verwerken krijgt. Gespecialiseerde providers bieden ‘DDoS-shields’ – in de vorm van een fysieke appliance, een internetdienst of een softwarematige module voor je bestaande server – die onderscheid kunnen maken tussen DDoS-verkeer en regulier verkeer waardoor je diensten bereikbaar blijven. Het gebruik van een modern IPv6-netwerk biedt trouwens geen garantie dat je infrastructuur van een DDoS gevrijwaard blijft.