DDoS-aanvallen maken gebruik van netwerken van machines die met internet zijn verbonden.
Deze netwerken bestaan uit met malware geïnfecteerde pc's en andere gadgets (zoals IoT-apparaten), die online door een aanvaller kunnen worden gemanipuleerd. Individuele apparaten staan bekend als bots (of zombies), terwijl een botnet een verzameling bots is.
De aanvaller kan een aanval uitvoeren zodra er inderdaad een botnet is gebouwd, door opdrachten op afstand aan elke bot te geven.
Wanneer een botnet zich richt op de server of het netwerk van een slachtoffer, stuurt elke bot verzoeken naar het IP-adres van het doelwit, waardoor de server of het systeem mogelijk wordt overbelast en een denial-of-service voor het reguliere verkeer wordt geactiveerd.
Het is moeilijk om het aanvalsverkeer te onderscheiden van echt internetverkeer, omdat elke bot een geldig internetapparaat is.
Een DDoS-aanval identificeren
Een website of dienst die plotseling traag of niet beschikbaar is, is de meest zichtbare indicator van een DDoS-aanval. Omdat verschillende factoren, zoals een echte verkeerstoename, echter identieke prestatieproblemen kunnen veroorzaken, is doorgaans meer analyse nodig.
Een aantal van deze waarschuwingssignalen van een DDoS-aanval kunnen worden gedetecteerd met behulp van verkeersmonitoringtools:
- Ongebruikelijke verkeersvolumes afkomstig van één enkel IP-adres of een reeks IP-adressen
- Er is een toename van het verkeer van gebruikers met vergelijkbare gedragsprofielen, zoals specifieke apparaten, locaties of versies van internetbrowsers.
- Onverwacht grote vraag naar een bepaalde pagina of eindpunt
- Vreemde verkeerspatronen, zoals pieken op ongebruikelijke uren van de dag of trends die er abnormaal uitzien (bijvoorbeeld een piek elke tien minuten).
Andere, meer specifieke symptomen van een DDoS-aanval kunnen verschillen, afhankelijk van de aanval.
DDoS-aanvallen: hoe lang duren ze??
Langetermijnaanval: Een langdurige aanval vindt plaats over meerdere uren of dagen. De DDoS-aanval op AWS veroorzaakte bijvoorbeeld een onderbreking van drie dagen voordat deze werd aangepakt.
Burst Attack: Deze DDoS-aanvallen worden relatief kort uitgevoerd en duren amper een minuut of enkele seconden.
Laat je niet misleiden . Burst-aanvallen kunnen, ondanks hun snelheid, ongelooflijk verwoestend zijn. Met de introductie van apparatuur van het internet der dingen (IoT) is het nu mogelijk om meer volumeverkeer te creëren dankzij krachtigere computermachines. Hierdoor kunnen aanvallers in korte tijd grote hoeveelheden verkeer genereren. Een aanvaller kan profiteren van een burst-DDoS-aanval omdat deze veel moeilijker te traceren is.
Wat is de procedure voor het omgaan met een DDoS-aanval?
DDoS-verkeer neemt op het hedendaagse internet verschillende vormen aan. Van onspoofbare aanvallen met één bron tot gecompliceerde en adaptieve multi-vectoraanvallen: het verkeer kan op meerdere manieren worden ontworpen.
Je hebt verschillende technieken nodig om meerdere trajecten van een multi-vector DDoS-aanval te weerstaan.
In het algemeen geldt dat hoe ingewikkelder de aanval is, hoe moeilijker het zal zijn om aanvalsverkeer te onderscheiden van regulier verkeer. Het doel van de aanvaller is om er zoveel mogelijk in te stoppen, waardoor de mitigatiemethoden niet effectief zijn.
Mitigatiepogingen die het verkeer willekeurig verwijderen of beperken, lopen het risico dat goed en schadelijk verkeer door elkaar worden gehaald. De aanval kan zich ook aanpassen en aanpassen om tegenmaatregelen te voorkomen. Een gelaagde aanpak zal het meeste voordeel opleveren bij het overwinnen van een gecompliceerde poging tot verstoring.
