211service.com
De eerste DDoS-aanval was 20 jaar geleden. Dit is wat we sindsdien hebben geleerd.
mevrouw Tech; computer: Wikimedia commons
22 juli 1999 is een onheilspellende datum in de geschiedenis van de informatica. Op die dag werd een computer van de Universiteit van Minnesota plotseling aangevallen door een netwerk van 114 andere computers die besmet waren met een kwaadaardig script genaamd Trin00.
Deze code zorgde ervoor dat de geïnfecteerde computers overbodige datapakketten naar de universiteit stuurden, waardoor de computer overweldigd werd en legitieme verzoeken niet konden worden afgehandeld. Op deze manier legde de aanval de computer van de universiteit twee dagen plat.
Dit was 's werelds eerste gedistribueerde denial of service (DDoS)-aanval. Maar het duurde niet lang voordat de tactiek zich verspreidde. In de maanden die volgden werden tal van andere websites het slachtoffer, waaronder Yahoo, Amazon en CNN. Elk werd overspoeld met datapakketten die verhinderden dat het legitiem verkeer accepteerde. En in beide gevallen kwamen de kwaadaardige datapakketten van een netwerk van geïnfecteerde computers.
Sindsdien zijn DDoS-aanvallen gemeengoed geworden. Kwaadwillenden maken ook een lucratieve handel in het afpersen van beschermingsgeld van websites die ze dreigen aan te vallen. Ze verkopen hun diensten zelfs op het dark web. Een 24-uurs DDoS-aanval op een enkel doelwit kan slechts $ 400 kosten.
Maar de kosten voor het slachtoffer kunnen enorm zijn in termen van gederfde inkomsten of een beschadigde reputatie. Dat heeft op zijn beurt een markt gecreëerd voor cyberdefensie die bescherming biedt tegen dit soort aanvallen. In 2018 was deze markt maar liefst € 2 miljard waard. Dit alles roept de belangrijke vraag op of er meer kan worden gedaan om zich te verdedigen tegen DDoS-aanvallen.
Vandaag, 20 jaar na de eerste aanval, onderzoeken Eric Osterweil van de George Mason University in Virginia en collega's de aard van DDoS-aanvallen, hoe ze zijn geëvolueerd en of er fundamentele problemen zijn met de netwerkarchitectuur die moeten worden aangepakt om deze veiliger te maken. De antwoorden, zeggen ze, zijn verre van eenvoudig: het landschap van goedkope, compromitterende bots is alleen maar vruchtbaarder geworden voor onverlaten en schadelijker voor internetserviceproviders.
Eerst wat achtergrond. DDoS-aanvallen verlopen meestal in fasen. In de eerste fase infecteert een kwaadwillende indringer een computer met software die is ontworpen om zich over een netwerk te verspreiden. Deze eerste computer staat bekend als de master, omdat deze de volgende computers kan besturen die geïnfecteerd raken. De andere geïnfecteerde computers voeren de daadwerkelijke aanval uit en staan bekend als daemons.
Veelvoorkomende slachtoffers in deze eerste fase zijn computernetwerken van universiteiten of hogescholen, omdat ze verbonden zijn met een groot aantal andere apparaten.
Een DDoS-aanval begint wanneer de hoofdcomputer een commando naar de daemons stuurt met daarin het adres van het doelwit. De daemons beginnen dan grote aantallen datapakketten naar dit adres te sturen. Het doel is om het doelwit te overstelpen met verkeer voor de duur van de aanval. De grootste aanvallen van vandaag verzenden kwaadaardige datapakketten met een snelheid van terabits per seconde.
De aanvallers doen vaak veel moeite om hun locatie en identiteit te verbergen. De daemons gebruiken bijvoorbeeld vaak een techniek genaamd IP-adresspoofing om hun adres op internet te verbergen. Mastercomputers kunnen ook moeilijk te traceren zijn, omdat ze slechts één commando hoeven te sturen om een aanval uit te lokken. En een aanvaller kan ervoor kiezen om daemons alleen te gebruiken in landen die moeilijk toegankelijk zijn, ook al bevinden ze zich mogelijk ergens anders.
Verdedigen tegen dit soort aanvallen is moeilijk omdat het gezamenlijke acties van een reeks operators vereist. De eerste verdedigingslinie is om te voorkomen dat het daemon-netwerk wordt gemaakt. Dit vereist dat systeembeheerders de software die ze gebruiken regelmatig updaten en patchen en een goede hygiëne onder gebruikers van hun netwerk aanmoedigen, bijvoorbeeld door regelmatig wachtwoorden te wijzigen, persoonlijke firewalls te gebruiken, enzovoort.
Internetserviceproviders kunnen ook enige verdediging bieden. Hun rol is het doorsturen van datapakketten van het ene deel van een netwerk naar het andere, afhankelijk van het adres in de header van elk datapakket. Dit wordt vaak gedaan met weinig of geen aandacht voor waar het datapakket vandaan kwam.
Maar dat zou kunnen veranderen. De header bevat niet alleen het doeladres, maar ook het bronadres. Dus in theorie is het voor een ISP mogelijk om het bronadres te onderzoeken en pakketten te blokkeren die duidelijk vervalste bronnen bevatten.
Dit is echter rekenkundig duur en tijdrovend. En aangezien de ISP's niet noodzakelijk het doelwit zijn van een DDoS-aanval, hebben ze een beperkte prikkel om dure mitigatieprocedures toe te passen.
Ten slotte kan het doelwit zelf stappen ondernemen om de effecten van een aanval te verzachten. Een voor de hand liggende stap is om de slechte datapakketten eruit te filteren zodra ze binnenkomen. Dat werkt als ze gemakkelijk te herkennen zijn en als de computerbronnen aanwezig zijn om de hoeveelheid kwaadaardig verkeer aan te kunnen.
Maar deze bronnen zijn duur en moeten voortdurend worden bijgewerkt met de nieuwste bedreigingen. Ze zitten het grootste deel van de tijd ongebruikt en komen pas in actie als er een aanval plaatsvindt. En zelfs dan kunnen ze de grootste aanvallen misschien niet aan. Dit soort mitigatie is dus zeldzaam.
Een andere optie is om het probleem uit te besteden aan een cloudservice die beter is toegerust om dergelijke bedreigingen aan te pakken. Dit centraliseert de problemen van DDoS-beperking in wascentra, en velen kunnen hier goed mee omgaan. Maar zelfs deze kunnen moeite hebben met de grootste aanvallen.
Dat alles roept de vraag op of er meer kan worden gedaan. Hoe kan onze netwerkinfrastructuur worden verbeterd om de principes aan te pakken die het DDoS-probleem mogelijk maken? vraag Osterweil en co. En ze zeggen dat de 20e verjaardag van de eerste aanval een goede gelegenheid zou moeten bieden om het probleem in meer detail te bestuderen. We zijn van mening dat er onderzoek nodig is naar de fundamentele factoren die DDoS mogelijk maken en verergeren, zeggen ze.
Een belangrijke constatering bij DDoS-aanvallen is dat de aanval en de verdediging asymmetrisch zijn. Een DDoS-aanval wordt meestal gelanceerd vanuit vele daemons over de hele wereld, en toch vindt de verdediging grotendeels plaats op één enkele locatie: het knooppunt dat wordt aangevallen.
Een belangrijke vraag is of netwerken kunnen of moeten worden aangepast om een soort gedistribueerde verdediging tegen deze aanvallen op te nemen. Een mogelijke oplossing zou bijvoorbeeld kunnen zijn om het voor ISP's gemakkelijker te maken om vervalste datapakketten uit te filteren.
Een ander idee is om datapakketten traceerbaar te maken terwijl ze over het internet reizen. Elke ISP zou een steekproef van datapakketten kunnen markeren - misschien één op 20.000 - terwijl ze worden gerouteerd, zodat hun reis later kan worden gereconstrueerd. Dat zou het slachtoffer en wetshandhavingsinstanties in staat stellen de bron van een aanval te volgen, zelfs nadat deze is beëindigd.
Deze en andere ideeën hebben de potentie om het internet veiliger te maken. Maar ze vereisen overeenstemming en bereidheid om te handelen. Osterweil en co denken dat de tijd rijp is voor actie: dit is een oproep tot actie: de onderzoeksgemeenschap is onze beste hoop en het best gekwalificeerd om deze oproep aan te nemen.
Referentie: arxiv.org/abs/1904.02739 : 20 jaar DDoS: een oproep tot actie