Alle systemen plat door een tsunami van tientallen gigabytes aan data. Wie houdt de DDoS-aanval tegen?

Tientallen gigabytes aan data, die constant als een tsunami op je systeem beuken. DDoS-aanvallen komen steeds vaker voor. Zelfs het gerenommeerde internetbedrijf DDFR IT Infra & Security uit Leeuwarden kon in december en maart aanvallen niet afslaan. Andere bedrijven zijn gewaarschuwd.

Gerlof Dijk en Else Maria van der Meulen van DDFR.

Gerlof Dijk en Else Maria van der Meulen van DDFR. Foto: Catrinus van der Veen

,,Om zeven uur kwamen wij onder vuur te liggen. En toen ging het snel. De eigen bewaking piepte, en klanten belden. Alle verbindingen zaten vol.”

De zweem van agitatie is in een digitaal gesprek soms duidelijk te bespeuren bij Gerlof Dijk, netwerkengineer bij DDFR IT Infra & Security (voorheen DataDiensten Friesland), als hij praat over de DDoS-aanvallen die het bedrijf recent raakten. Samen met directeur Else Maria van der Meulen vertelt hij over dit fenomeen, dat grote impact had op de bedrijfsvoering.

Moderne kookplaat

Bij een DDoS-aanval (Distributed Denial of Service) wordt een systeem platgelegd door er grote hoeveelheden data naartoe te sturen. In het kort: een persoon (ook wel botmaster genoemd) infecteert een leger van internetapparaten. Dit kunnen reguliere computers zijn, maar ook andere apparaten die een internetverbinding hebben. ,,Zelfs een moderne kookplaat is tegenwoordig aangesloten op het internet”, aldus Van der Meulen.

Gebruikers van een geïnfecteerd apparaat merken daar vaak niet veel van. Maar het apparaat wordt wel onderdeel van een botnet, een groot netwerk van internetapparaten beheerd door de botmaster. Die botmaster kan dat al die apparaten opdracht geven om digitale pakketjes te sturen naar een IP-adres, een soort telefoonnummer voor een internetapparaat.

Duizend enveloppen

Een eenvoudige vergelijking is die met een brievenbus. Doe daar één of enkele enveloppen doorheen, en er is niets aan de hand. Dijk: ,,Maar als je er duizend doorheen probeert te duwen, komen die vast te zitten. Dat is eigenlijk ook wat er gebeurt bij een DDoS-aanval.”

Het getal duizend is niet willekeurig gekozen. DDFR werd het afgelopen jaar driemaal slachtoffer van een DDoS-aanval. DDFR heeft als internetinfrastructuurprovider aanzienlijke servers. Maar de aanval die in december werd verstuurd, had duizend keer meer data dan zelfs de sytsemen van DDFR aankonden, namelijk driehonderd gigabyte per seconde. Alsof er per seconde pakweg dertig lange films verstuurd werden. Of duizend enveloppen door een brievenbus gepropt werden. ,,We kregen een heel grote hoeveelheid bagger te verstouwen. Doordoor slipten de verbindingen dicht”, vertelt Dijk.

De mensen bij DDFR hadden nooit eerder zoiets gezien. ,,We bestaan nu twintig jaar, en al die jaren hebben we nooit een aanval gehad die zo groot was dat we er last van hadden”, meldt Van der Meulen. ,,We kregen wel vaker DDoS-aanvallen, vaak van zo’n vier gigabyte. Daar draaiden we onze hand niet voor om.”

Aanval voor tien euro

Zulke kleine aanvallen zijn tegenwoordig gemeengoed. Hier liggen vermoedelijk twee verklaringen aan ten grondslag: het is lastig om de dader te achterhalen, en de aanvallen zijn via het internet relatief eenvoudig te bestellen. Dijk: ,,Dat kost je tien euro, en dan heb je een DDoS-aanval van vijf minuten.”

Veel technische kennis is er niet nodig voor deze vorm van modern vandalisme, zoals Dijk het bestempelt. Daders zijn vaak zogeheten scriptkiddies. Dit zijn hackers zonder veel technische bagage, die relatief laagdrempelige vergrijpen plegen op het internet. Ze gebruiken daarbij vaak software van een ander en volgen een handleiding, of script. Van der Meulen: ,,Dit zijn bijvoorbeeld verveelde studenten. Of gamers, die een vervelende tegenspeler offline willen halen.”

Een paar klikken

Dat het echt zo eenvoudig is om een DDoS-aanval te regelen, toont Wino Bouwens. Hij is leraar bij Hacklab Leeuwarden, waar ethische hackers worden opgeleid. Dit zijn hackers die systemen controleren op kwetsbaarheden, om zo de systemen veiliger te maken. ,,Een paar klikken en dan is het klaar”, vat hij het proces samen.

Hij laat zijn laptop zien. Daarop zit het programma TOR, een afkorting voor The Onion Router. Met dit programma kan eenieder het darkweb op, oftewel het deel van het internet waar je niet komt via je standaard browser (zoals Google Chrome). Op dit darkweb worden allerlei ongure zaken aangeboden.

,,Je kunt op het darkweb iemand betalen om een ander te hacken”, vertelt Bouwens. ,,Of kinderporno op iemands computer laten zetten. Of drugs bestellen.” Of een DDoS-aanval bestellen dus. Bouwens opent een pagina. Het lijkt op een webshop. En inderdaad, voor een relatief bescheiden bedrag aan bitcoins kan een DDoS-aanval worden besteld.

Opgelicht

Volgens Bouwens loopt de besteller weinig risico om betrapt te worden, want het traject is volledig anoniem. ,,Wat wel vaak gebeurt is dat je wordt opgelicht. Want je betaalt eerst, en daarna volgt de service. Als het goed is.”

Bouwens heeft zelf weinig op met types die dergelijke aanvallen bestellen. ,,DDoS-aanvallen zijn de zwakke tak van de sport. Dit is voor de scriptkiddies.” Niettemin kunnen dergelijke aanvallen schade veroorzaken aan veel organisaties.

Geen huis-tuin-en-keuken-aanval

Maar de aanval van december op DDFR was vermoedelijk niet eenvoudig op internet te bestellen. ,,Dit was geen huis-tuin-en-keukenaanval”, aldus Dijk. ,,Hier zat geen scriptkiddie achter.” Er werden die dag meer providers in Nederland onder vuur genomen. De dader, of daders, gebruikte IP-adressen vanuit de hele wereld. Wie de aanval aanstuurde is onbekend.

Er is aangifte gedaan, maar daders blijven vaak buiten beeld. Van der Meulen: ,,De botnets zijn tegenwoordig ontzettend ingewikkeld. Vroeger waren die gelinkt aan één IP-adres van de botmaster, maar nu zitten er allerlei lagen tussen, en wordt het net van verschillende plekken aangestuurd. Het is een beetje als zevenblad. Als je dat uittrekt, vertakt het onder de grond en blijft het naar boven komen.”

De aanval had veel impact. Drie uur lang waren de verbindingen van alle klanten verbroken, bijvoorbeeld die van internetprovider KabelNoord. Duizenden mensen zaten daardoor zonder internet. De dag daarna volgde een tweede aanval, en was de schade een half uur.

De bietenbak in

De offtime (tijd dat het systeem offline is) kwam niet alleen door de aanval, maar ook door de verdediging. Er zijn twee hoofdoplossingen voor een DDoS-aanval: blackholing en nawassen. Bij blackholing (zwartgatten) wordt al het dataverkeer naar een IP-adres zo ver mogelijk stroomopwaarts weggegooid. ,,De bietenbak in. Alles gaat dan weg”, aldus Dijk.

De IT’er probeert het zo simpel mogelijk uit te leggen. ,,Wij hebben een wolkje (cloud, online opslaglocatie). En die zijn weer verbonden met andere wolkjes. En die zijn weer verbonden met andere wolkjes. Al het verkeer dat gericht wordt aan een bepaald IP-adres, gooien we daarin weg.” Om de brievenbusmetafoor er nog eens bij te pakken: alle enveloppen worden naar andere brievenbussen gestuurd, die aangesloten zitten op een grote papiershredder.

Dat heeft een voor de hand liggend nadeel: ook het reguliere verkeer (de bonafide enveloppen) gaan weg. Doordat het verkeer weggegooid wordt, zijn de systemen die aangevallen worden alsnog grotendeels onbruikbaar.

Nawasstraat

Internetproviders kiezen daarom steeds vaker voor methode twee: nawassen. ,,Daarbij worden de data van de DDoS-aanval eruit gefilterd.” Nederlandse providers hebben sinds enige tijd een gezamenlijke nawasstraat, waar DDFR sinds een jaar bij aangesloten zit. ,,De server blijft zo beschikbaar. Maar het heeft wel een financieel plaatje. En voor sommige aanvallen functioneert blackholing prima.”

DDFR was eind vorig jaar al bezig met het aanscherpen van de DDoS-maatregelen. ,,De aanval in december was een wake up call , en heeft ons werk in een stroomversnelling gebracht”, vertelt Van der Meulen. Niettemin werd het bedrijf in maart nogmaals slachtoffer. De maatregelen waren toen nog niet af. Inmiddels kan DDFR ook gigantische aanvallen tegengaan, en zit het in een landelijke pilot waarbij getracht wordt apparaten van klanten die gebruikt worden in een botnet op te sporen.

DDFR is echt geen kleintje als het gaat om dataservers, en heeft bovendien veel IT-expertise in huis. Als zij al slachtoffer kunnen worden, zegt dat vermoedelijk veel over de kwetsbaarheid van anderen. Niet voor niets neemt het aantal DDoS-aanvallen toe. De aanval op de school CSG Comenius in Leeuwarden, uitgevoerd door eigen leerlingen, is een recent Fries voorbeeld hiervan.

Te laat

Wat moet een slachtoffer van een aanval doen? ,,Uitzitten”, vertelt Van der Meulen. ,,Als je al onder vuur ligt, kun je niet veel doen. Als je zo’n aanval voorkomen wilt, moet je op zoek naar iemand die anti-DDoS-software aanbiedt.”

,,Het valt niet mee om ten tijde van een aanval op een snelle manier tegenmaatregelen in te zetten”, beaamt Dijk. ,,Als je dat tijdens de aanval nog bedenken moet, ben je al te laat.”

Van der Meulen, wier bedrijf zelf ook anti-DDoS-diensten levert, ziet bij organisaties weinig bereidheid om preventieve maatregelen te nemen. ,,Het is niet zo dat ze in rijen voor de deur staan. En de meeste organisaties hebben er ook niet veel mee te maken. In het landschap der verstoringen zijn er veel prioriteiten. Dan snap ik dat dit niet boven aan je lijstje staat. Je moet een afweging maken.”

Die afweging verschilt sterk per organisatie. ,,Absoluut. Als je het je kunt veroorloven om een paar uur offline te zijn, dan kan ik mij prima voorstellen dat je niets doet. Maar je moet niet denken: ik ben niet interessant, of het gebeurt mij niet. Dat stadium zijn we gepasseerd. Het is eerder de vraag wanneer het je overkomt, want bij DDoS-aanvallen zien we de omvang en het aantal toenemen.”