Een DDoS aanval is een veelvoorkomende cyberdreiging waarbij websites of online diensten overspoeld worden met enorme hoeveelheden verkeer. Het doel van een DDoS aanval is simpel: het platleggen van de dienst, zodat deze onbruikbaar wordt voor gebruikers. In deze blog vertellen we je alles over een DDoS aanval. Zo bespreken we de tactieken van de aanvallers en geven we tips om je organisatie én apparaten beter te beveiligen.
Wat is een DDoS aanval?
De afkorting DDoS staat voor (Distributed) Denial-of-Service. Dit is een cyberaanval waarbij een groot netwerk van computers of andere apparaten een website of applicatie overspoelen met verkeer. Hierdoor zijn online diensten slecht of helemaal niet meer bereikbaar. De laadsnelheid van een website wordt bijvoorbeeld erg traag of een website crasht helemaal.
Hoe werkt een DDoS aanval?
Een DDoS aanval verloopt in vier stappen, namelijk:
- Het creëren van een botnet
- Het sturen van verkeersstroom,
- Zorgen voor overbelasting
- Het zorgen voor service uitval.
Onderstaand worden deze stappen verder toegelicht.
Het creëren van een botnet
Een DDoS aanval begint met het creëren van een botnet. De aanvaller gebruikt een groot netwerk aan computers of andere apparaten. Dit hoeven niet zijn eigen apparaten te zijn, maar zijn bijna altijd geïnfecteerde apparaten. Deze apparaten worden vaak zonder medeweten van de eigenaar geïnfecteerd met een malware en worden vervolgens door de aanvaller aangestuurd.
Het sturen van verkeersstroom
Nu het botnet gecreëerd is, kunnen ze ongemerkt hun werk doen. Al deze apparaten sturen tegelijkertijd enorme hoeveelheden verzoeken naar de server of website van het doelwit. Dit kunnen bijvoorbeeld verzoeken zijn om een webpagina te laden. Ook kunnen het netwerkpakketten zijn die de bandbreedte van het doelwit opeten. Dat wil zeggen dat deze pakketten geen legitieme verzoeken bevatten, maar ze simpelweg de verbinding opvullen. Het is dan alsof duizenden mensen tegelijk proberen in te loggen op een website.
Zorgen voor overbelasting
Doordat er zoveel verkeer tegelijkertijd naar een server gaat, raakt deze overbelast. Wanneer een server overbelast raakt, kan het de aanvragen niet meer verwerken. Het gevolg is dat legitieme gebruikers geen toegang meer hebben tot de website of dienst. Als de gebruikers bijvoorbeeld al bezig waren met het invullen van een formulier, kunnen ze hun voortgang verliezen, omdat de server plotseling niet meer reageert. Dit kan leiden tot frustratie bij klanten en het verlies van loyaliteit aan het bedrijf.
Zorgen voor service uitval
Uiteindelijk kan de aanval ervoor zorgen dat de website of het netwerk onbruikbaar wordt totdat de aanval stopt of wordt afgeweerd. Dit kan in principe eindeloos doorgaan. Soms duurt een DDoS aanval maar een paar minuten, maar soms gaat zo’n aanval dagen of zelfs weken door.
Wat is het doel van een DDoS aanval?
DDoS aanvallen zijn vaak gericht op bedrijven, overheidsinstanties of populaire websites omdat het stilleggen van hun diensten grote gevolgen heeft. Dit kan leiden tot financieel verlies, reputatieschade en wantrouwen bij klanten of gebruikers. Onderstaand staan een aantal voorbeelden die hier een beeld van schetsen..
- Klanten van een webshop kunnen geen aankopen doen, wat resulteert in verlies van inkomsten voor het bedrijf.
- Klanten van een bank kunnen geen transacties uitvoeren, wat tot financiële problemen en reputatieschade leidt.
- Gebruikers van streamingdiensten kunnen geen verbinding maken of gebruikmaken van de dienst, wat tot frustratie en ontevredenheid leidt.
Soms wordt een DDoS aanval ook als middel voor chantage gebruikt, waarbij de aanvallers eisen dat een organisatie betaalt om de aanval te stoppen.
Wat kun je doen als organisatie tegen een DDoS aanval?
Een DDoS aanval kun je helaas nooit helemaal voorkomen. Wel zijn er een aantal dingen die je kan ondernemen om je organisatie weerbaarder te maken én je organisatie snel te herstellen in geval van een DDoS aanval. Wij geven je zeven tips om mee aan de slag te gaan.
- Zorg voor inzicht in je netwerk
Het is belangrijk om inzicht te hebben in het verkeer dat door je netwerk stroomt. Begin met het vaststellen van hoe je verbonden bent met het internet: heb je een rechtstreekse verbinding met een Internet Service Provider (ISP) zoals KPN of Ziggo, of maak je gebruik van andere organisaties? Noteer wie jouw ISP is en welk soort contract je hebt.
Maak daarnaast een uitgebreide inventaris van alle diensten die aan je netwerk zijn verbonden, inclusief netwerktopologieën en zowel externe als interne IP-adressen. Externe IP-adressen kun je eenvoudig achterhalen via websites zoals whatismyipaddress.com. Deze gedetailleerde documentatie is essentieel tijdens een aanval, dus zorg ervoor dat je deze informatie snel kunt raadplegen als dat nodig is. - Actieve Firewall
Zorg voor een goed geconfigureerde en actieve firewall, zowel op je netwerk als op interne systemen zoals servers en werkstations. Een netwerkgebaseerde firewall kan ongewenst verkeer van buitenaf blokkeren, terwijl host-based firewalls op individuele apparaten extra bescherming bieden. Door beide typen firewalls te combineren, creëer je een gelaagde beveiliging die zowel externe als interne bedreigingen kan tegenhouden. Vergeet niet om je firewalls regelmatig bij te werken en te testen om hun effectiviteit te waarborgen. - Automatisch up-to-date van je applicaties
Houd al je software en applicaties automatisch up-to-date om kwetsbaarheden te minimaliseren. Cybercriminelen maken vaak gebruik van verouderde systemen en applicaties om DDoS aanvallen uit te voeren. Door te zorgen dat je systemen altijd de laatste beveiligingsupdates hebben, verhoog je de weerbaarheid tegen aanvallen. - Monitor je log netwerk
Het regelmatig controleren van logbestanden kan waardevolle inzichten bieden in de activiteiten op je netwerk. Door verdachte logins of ongebruikelijk dataverkeer tijdig op te merken, kun je sneller reageren en mogelijke DDoS aanvallen in een vroeg stadium afwenden. - Verkleinen je aanvalsoppervlak
Door het minimaliseren van het aantal toegankelijke punten op je netwerk kun je de kans op een DDoS aanval verkleinen. Dit houdt in dat je alleen de noodzakelijke services online houdt en ongebruikte poorten en applicaties uitschakelt. Hierdoor verklein je de kans dat aanvallers een kwetsbaarheid vinden. - Netwerksegmentatie
Door je netwerk te segmenteren, beperk je de impact van een DDoS aanval op andere delen van je infrastructuur. Dit houdt in dat je verschillende delen van je netwerk gescheiden houdt, zodat als één segment wordt aangevallen, de andere segmenten nog steeds operationeel blijven. Dit helpt om de service beschikbaar te houden voor legitieme gebruikers. - Heb een doordacht Incident Response Plan klaar
Zorg ervoor dat je een duidelijk incident response plan hebt dat specifiek is ontworpen voor DDoS aanvallen. Dit plan moet stappen bevatten voor detectie, reactie, communicatie en herstel.
Het is essentieel om een out-of-band communicatiekanaal te hebben dat onafhankelijk is van je netwerk, zodat je tijdens een aanval kunt blijven communiceren. Denk hierbij aan communicatiemiddelen zoals telefoon, WhatsApp of 4G. Zorg ervoor dat je vooraf duidelijk afspreekt welke groepen met welke middelen gaan communiceren, zodat iedereen goed voorbereid is. Daarnaast is het belangrijk om een offline (uitgeprinte) contactlijst te hebben van alle betrokkenen die je moeten helpen of geïnformeerd moeten worden.
Wil je jouw organisatie weren tegen een DDoS aanval? Of heb je hulp nodig bij het opstellen van een Incident Response Plan? Neem dan vrijblijvend contact op met Eshgro, wij helpen je graag!