DDoS-aanvallen kunnen de activiteiten van je bedrijf ernstig verstoren. Hoewel ze al lang bestaan, zijn ze nog steeds een favoriete optie voor veel hackers. Waarom? DDoS-aanvallen zullen altijd een punt van zorg blijven, vooral als mensen en organisaties niet de juiste voorzorgsmaatregelen nemen.
DDoS-aanvallen zijn er ook in verschillende vormen en veranderen voortdurend. Deze aanvallen kunnen in bepaalde situaties voor de hand liggen, maar ze kunnen ook behoorlijk complex worden en ernstige schade toebrengen aan je website. Je moet leren jezelf ertegen te beschermen en schade te voorkomen.
Laten we, voordat we leren wat je moet doen als je DDoS-ed wordt, eerst uitleggen wat een DDoS-aanval is en hoe het werkt.
In dit artikel
Wat is een DDoS-aanval?
DDoS staat voor Distributed Denial of Service. Om toegang tot een website of service te voorkomen, proberen aanvallers een server te overbelasten met verkeer.
DDoS-aanvallen kunnen om verschillende redenen worden uitgevoerd en zowel individuen als organisaties kunnen erachter zitten. Sommigen zijn gewoon ontevreden mensen die hun gevoelens willen uiten, willen laten zien hoe ze zich voelen of "wraak" willen nemen op mensen of organisaties.
Bovendien hebben grootschalige DDoS-aanvallen meestal een financieel motief. Ze zijn erop gericht bedrijven te ontwrichten en eisen betaling om de aanval te beëindigen. DDoS-aanvallen komen steeds vaker voor en zijn zelfs gericht op de grootste bedrijven; een van deze aanvallen vond plaats in 2020 op Amazon Web Services.
Hoe een DDoS-aanval werkt
Een subset van algemene Denial of Service-aanvallen staat bekend als gedistribueerde Denial of Service-aanvallen. DDoS-aanvallen proberen te profiteren van zwakke plekken in een netwerk door het te overspoelen met talloze fictieve verzoeken via één enkele internetverbinding.
DDoS-aanvallen kunnen gebruik maken van duizenden machines en een veel grotere schaal van verzoeken om hun doel te bereiken. De toename van het volume maakt het moeilijker om met de aanval om te gaan.
Als ze klaar zijn, geven de aanvallers het bevel aan het hele botnet om de aanval in te zetten door zoveel mogelijk verzoeken in te dienen tegen een bepaalde server of apparaat. Het Mirai-botnet is een goed voorbeeld van hoe hackers profiteren van kwetsbaarheden in IoT-apparaten om toegang te krijgen en deze te gebruiken om DDoS-aanvallen uit te voeren.
Verschillende soorten DDoS-aanvallen
Er zijn veel DDoS-aanvallen, dus het kan een uitdaging zijn om ze in te dammen. Hoewel ze in de kern hetzelfde zijn, hebben ze verschillende methoden en kenmerken. Hier zijn enkele van de meest voorkomende DDoS-aanvallen.
Uitputting van hulpbronnen
Brute force aanvallen worden vaak gebruikt door aanvallers om te proberen een netwerk te overweldigen door alle beschikbare bronnen te gebruiken in een eindeloos aantal aanmeldpogingen. Deze pogingen zijn meestal gericht op authenticatiesystemen. Aan de andere kant kunnen aanvallen van uitputting van bronnen ook veel SYN/ACK pakketten versturen om diensten te verstoren.
Inbreuken op de toepassingslaag
Aanvallen op de applicatielaag omvatten meestal het overspoelen van webservers met HTTP- of HTTPS-verzoeken totdat alle beschikbare bronnen zijn gebruikt. Sommige sturen echter slechts een deel van een HTTP-verzoek om zo serverbronnen op te slokken en verbindingen open te houden, wat resulteert in een denial of service aanval.
Protocol aanvallen
Soms maken hackers gebruik van open DNS-servers (Domain Name System) om het verkeer naar een doelwit te verhogen terwijl ze de legitimiteit van de query's veinzen.
Ze gebruiken ook open NTP (Network Time Protocol) servers om het verkeersvolume te vergroten. Sommige DDoS-aanvallen maken gebruik van kwetsbare UPnP- (Universal Plug and Play) en SSDP- (Simple Service Discovery Protocol) apparaten om de schaal van de aanval te vergroten.
Volumetrische aanvallen
Door het gebruik van valse IP's kunnen volumetrische aanvallen het doelwit overbelasten door het te bombarderen met UDP (User Datagram Protocol) pakketten. Een ander soort volumetrische aanval buit de bronnen en bandbreedte van het doelwit uit door ICMP-pakketten (Internet Control Message Protocol) te versturen.
Hybride aanvallen
Hybride DDoS-aanvallen combineren verschillende technieken om de schade te maximaliseren. Om te profiteren van verschillende variaties en bandbreedte te vullen, kan een aanval beginnen als een volumetrische aanval voordat er wordt overgegaan op een aanval op de applicatielaag.
Wat te doen als je DDoS-ed wordt?
Een DDoS-aanval is een ernstige bedreiging die je online diensten kan verstoren. Je moet dienovereenkomstig handelen om de schade te beperken en de aanval af te slaan.
De aanval identificeren
De eerste stap is het detecteren van een aanval, wat moeilijk kan zijn omdat er verschillende mogelijke oorsprongen zijn voor een aanval. Er zijn echter verschillende tekenen die wijzen op een DDoS-aanval:
- Als er losgeld wordt geëist nadat je website is gecrasht, is het duidelijk dat er een aanval heeft plaatsgevonden. Aanvallers vragen meestal losgeld in crypto zoals Bitcoin.
- Een DDoS-aanval kan erop wijzen als er een merkbare piek is in het verkeer naar je webapplicatie vanaf verschillende IP's in gebieden waar je niet veel gebruikers hebt.
- Een DDoS-aanval kan erop wijzen als je merkt dat je systeem traag werkt, dat je uitgaand verkeer buitensporig is en dat je CPU-gebruik constant hoog is.
- Er is sprake van een DDoS-aanval als je DDoS-bewakingsdienst je hiervoor waarschuwt en vreemde verkeerspatronen weergeeft.
DDoS-risicobeperkingsservices gebruiken
Veel website-eigenaren maken gebruik van cloud- en internetservicebedrijven die DDoS-aanvalsmitigatieservices leveren. Zodra je een aanval detecteert, schakel je deze services in om snel het slechte verkeer te verwijderen en je website van de ondergang te redden.Vraag je ISP (Internet Service Provider) of hosting service om tijdelijk je bandbreedte te verhogen zodat je website operationeel kan blijven en hoge verkeersvolumes kan absorberen zonder te crashen.
Routers en firewalls configureren
Tijdens een DDoS-aanval is het essentieel om je IP-adres te wijzigen. Je kunt dit doen via de interface van de router of via de webbrowser. Pas de instellingen van je router en firewall aan om al het schadelijke verkeer dat je hebt geïdentificeerd te blokkeren. Een verkeersbron kan zijn aandeel van geautoriseerde aanvragen beperken door beide netwerksystemen aan te passen.
Neem een Content Delivery Network
Overweeg contact op te nemen met een CDN (content delivery network) service om je content te distribueren over verschillende datacenters en servers. Zo kun je de prestaties van je website verbeteren, bezoekers binnenhalen, gegevens scheiden en ervoor zorgen dat je website operationeel blijft terwijl je de aanval aanpakt.
Door alle aanvragen gelijktijdig over meerdere servers te verdelen, kunt u Anycast DNS gebruiken om uw kernserver te ontlasten en websitestoringen te voorkomen.
Je netwerk voortdurend bewaken en analyseren
Door je netwerk in de gaten te houden, kun je trends herkennen en uitzoeken waar de aanval vandaan kwam. De effectiviteit van de aanval beperken door één bron tegelijk in te sluiten kan een aanzienlijke impact hebben. Analyseer het verkeer om de aard van de aanval te begrijpen en de beste beslissingen te nemen om de aanval te voorkomen.
Black Hole Routing implementeren
Een andere manier om je te verdedigen tegen een DDoS-aanval is door black hole routing te gebruiken. Een black hole route die al het verkeer naar een black hole leidt, kan ingesteld worden door de netwerkbeheerder of de ISP.
Dat betekent dat al het verkeer naar een niet-bestaande route zal gaan en van je netwerk zal verdwijnen. Het betekent echter ook dat je legitieme verkeer verloren gaat.
Herstelproces na de aanval
De acties die hier opgesomd worden, zullen je helpen bij het herstellen van een DDoS-aanval en je beschermen tegen verdere indringers op je netwerk.
Verloren gegevens herstellen
Veel DDoS-aanvallen omvatten netwerkcompromittering, ransomware en gegevensdiefstal. Daarom is het essentieel om een plan voor gegevensherstel te hebben.
Overweeg eerst om een back-up te maken van je gegevens, zodat je ze snel kunt herstellen. Aan de andere kant is het meestal een goed idee om een professionele data recovery tool zoals Wondershare Recoverit te gebruiken om verwijderde data terug te halen en opnieuw beschikbaar te maken.
Zo eenvoudig is het gebruik:
- Start Wondersahre Recoverit, klik op Harde schijven en locaties, en selecteer waar u wilt scannen voor verloren bestanden.
- De schijf die u heeft gekozen wordt meteen gescand door Wondershare Recoverit, en u kunt de voortgang controleren in de linker benedenhoek.
- Bekijk een voorbeeld van de bestanden om te controleren of het de bestanden zijn die je zoekt. Klik op Herstellen als dit het geval is.
- Geef het bestand een naam en selecteer de opslagbestemming. Klik op Opslaan als je klaar bent.
De aanval documenteren en analyseren
Noteer alle informatie met betrekking tot de aanval, zoals patronen, kenmerken, aard en lengte. Voer een gedetailleerde analyse uit om te bepalen hoe de aanval heeft plaatsgevonden en welke kwetsbaarheden eraan hebben bijgedragen. Bekijk welke maatregelen nuttig waren en welke niet. Onderzoek verkeersgegevens en -registraties op informatie die gebruikt kan worden om toekomstige incidenten te voorkomen.
Systemen en beveiligingsmaatregelen bijwerken
Onderzoek je incident response plan en netwerkinstellingen en werk samen met je hostingbedrijf of ISP om een sterker beveiligingsplan te ontwikkelen. Zorg ervoor dat voor al je software, inclusief besturingssystemen, tools en apps, tegelijkertijd de meest recente beveiligingspatches zijn geïnstalleerd.
Conclusie
DDoS-aanvallen evolueren en aanvallers maken gebruik van nieuwe kwetsbaarheden en andere technieken. Zowel individuen als organisaties moeten hun verdedigingsmechanismen moderniseren en met succes tegenaanvallen uitvoeren.
Het belangrijkste dat je moet doen als je een DDoS-aanval ontdekt, is snel handelen omdat je zo bijkomende schade kunt voorkomen. Om dergelijke aanvallen in de toekomst te voorkomen, moet je wat tijd besteden aan het herstellen van je gegevens, het analyseren van de aanval, het elimineren van de bedreiging en het updaten van je besturingssystemen, beveiligingsprogramma's en beveiligingssystemen na de aanval.
FAQ
Wat gebeurt er als je DDos-ed wordt?
Een denial-of-service-aanval (DDoS) zorgt er meestal voor dat een webserver aanzienlijk vertraagt of offline gaat. Elk bedrijf kan aanzienlijke schade lijden als alle interne servertoegang en klantenservices worden beëindigd.Zijn DDoS-aanvallen gericht op kleine bedrijven?
DDoS-aanvallen richten zich zelfs op kleine organisaties. Hun gebrek aan sterke bescherming maakt ze een makkelijk doelwit, ook al kunnen aanvallers er niet veel voordeel uit halen.Hoe lang duurt een DDoS-aanval?
De duur van de aanval kan verschillen afhankelijk van het type en de beveiligingssystemen. Het kan een paar minuten tot een paar dagen duren.
