Wat is een DDoS-aanval?

Een DDoS-aanval is een gedistribueerde netwerkaanval uitgevoerd door hackers. Servers en andere netwerksystemen van een website worden opzettelijk overbelast door verzoeken van te veel apparaten. De server ontvangt meer verzoeken dan hij kan verwerken, waardoor de website vertraagt of helemaal vastloopt. Zie het als een groep mensen die demonstratief op het spoor bij Utrecht Centraal gaan zitten, om te voorkomen dat er treinen rijden.

DDoS-aanvallen maken vaak gebruik van meerdere computers of apparaten. Een hacker creëert een netwerk door apparaten met malware te infecteren, ze in bots te veranderen en ze op afstand allemaal tegelijk naar een specifiek IP-adres te sturen. De bijbehorende server wordt met verkeer overspoeld, waardoor diensten kunnen vertragen of vastlopen.

DDoS-aanvallen kunnen meer dan 24 uur duren en zijn moeilijk te traceren. Je computer kan deel uitmaken van een botnet, dat op kwaadaardige commando’s reageert zonder dat je het in de gaten hebt. Het is moeilijk op te merken dat je apparaat onderdeel van een botnet is – vaak zijn de enige tekenen marginaal verminderde prestaties of een oververhit apparaat.

DDoS-aanvallen maken vaak gebruik van spoofing, waardoor de identiteit van de kwaadaardige bron wordt gemaskeerd. Het verkeer dat het doelwit bombardeert lijkt afkomstig van legitieme (geïnfecteerde) apparaten, wat het moeilijker maakt om kwaadwillende verzoeken te blokkeren. Bovendien is het daarmee voor wethandhavings- en cyberveiligheidsteams moeilijker (maar niet onmogelijk) om de dader van de aanval op te sporen.

De aanvallen zijn vaak gericht op een specifiek onderdeel van de netwerkverbinding of op een combinatie daarvan. Elke verbinding die via het internet tot stand komt, doorloopt lagen van het OSI-model. (Het OSI-model beschrijft zeven lagen die computersystemen gebruiken om via een netwerk te communiceren). De meeste DDoS-aanvallen gebeuren in de volgende drie lagen:

• Netwerklaag (laag 3). Aanvallen op deze laag zijn onder meer Smurf-aanvallen, ICMP-floods en IP/ICMP-fragmentatie.
• Transportlaag (laag 4). Deze aanvallen omvatten SYN-floods, UDP-floods en TCP connection exhaustion.
• Toepassingslaag (laag 7). Dit zijn voornamelijk HTTP-get aanvallen.

Een denial-of-service-aanval (DoS) overspoelt een server met verkeer en maakt een dienst of website onbeschikbaar. DoS is een aanval waarbij één enkel systeem wordt gebruikt om een specifieke dienst aan te vallen. DDoS daarentegen gebruikt meerdere computers en systemen om het doelwit te compromitteren.

Hoewel beide aanvallen hetzelfde doel dienen, is een DDoS-aanval krachtiger en gevaarlijker.

Hoe sneller je een DDoS-aanval identificeert, hoe groter de kans dat je deze kunt stoppen. Dit zijn de belangrijkste kenmerken van een DDoS-aanval:

• Een trage of onbeschikbare dienst. Dit is meestal het eerste teken van een DDoS-aanval. Veel andere problemen kunnen echter ook trage prestaties veroorzaken, dus je kunt niet alleen op deze factor vertrouwen om een DDoS-aanval te identificeren.
• Een grote hoeveelheid verkeer afkomstig van één IP-adres. Je kunt het verkeer met behulp van tools voor verkeersanalyse controleren.
• Onnatuurlijke pieken in verkeer op vreemde tijden.
• Een plotselinge en onverklaarbare toename van aanvragen op een bepaalde pagina of een bepaald eindpunt.

TCP-verbindingsaanval

Een TCP-verbindingsaanval, ook bekend als SYN flood-aanval, vindt plaats wanneer een groot aantal verbindingsaanvragen door een groot aantal SYN-pakketten met foute bron-IP-adressen naar een server wordt gestuurd. Bij deze aanval wordt de TCP-handshake tussen host en server nooit voltooid, omdat het bericht van de server naar een verkeerd IP-adres wordt gestuurd. De server krijgt geen bericht terug en blijft op antwoord wachten. Terwijl de server wacht, neemt het geen andere verzoeken aan. De hacker blijft de server in de tussentijd met handshakes overspoelen, waardoor deze uiteindelijk crasht.

Volumetrische aanval

Volumetrische aanvallen zijn het meest voorkomende type DDoS-aanval. Hierbij wordt alle beschikbare bandbreedte tussen het doelwit en het internet verbruikt door de netwerklaag te overspoelen met verkeer dat in eerste instantie legitiem lijkt. Dit gebeurt meestal door botnets te gebruiken en deze naar een specifiek doel te sturen.

Fragmentatie-aanval

Het verkeer dat over het internet wordt verstuurd, is verdeeld over gegevenspakketten. Deze pakketen worden op verschillende manieren opnieuw samengesteld, afhankelijk van of ze over het TCP- of UDP-protocol reizen. Een fragmentatie-aanval stuurt valse gegevenspakketten die de gegevensstroom verstoren en daardoor de server overweldigen.

De ‘too many packets’-exploit is een voorbeeld van een fragmentatieaanval. Deze overspoelt het netwerk met een buitensporig aantal onvolledige, gefragmenteerde pakketten.

DDoS-aanval op de applicatielaag

Aanvallen op de applicatielaag of laag 7 zijn gericht op de laag waar de server webpagina’s genereert en reageert op HTTP-verzoeken. Zo’n aanval lijkt voor de server op een internetgebruiker die meerdere keren op refresh drukt op dezelfde pagina. Het ziet eruit als legitiem verkeer totdat de server wordt overspoeld en het te laat is. Deze aanvallen zijn minder duur en moeilijker te detecteren dan aanvallen op de netwerklaag.

Internetgebruikers kunnen op verschillende manieren slachtoffer worden van een DDoS-aanval. Indirect door geen gebruik te kunnen maken van een dienst, maar ook direct: als een aanvaller het op je gemunt heeft en je IP-adres met datapakketten bombardeert, kan je verbinding vertragen of wegvallen.

Om te voorkomen dat hackers en snoopers achter je IP-adres komen, is het slim om een VPN service te gebruiken. Een VPN is een dienst die alle inkomende en uitgaande data van je apparaat naar het internet versleutelt en je IP-adres en virtuele locatie verbergt, door je verbinding via een beveiligde VPN-server te leiden. Op die manier zijn je gegevens beveiligd en kan je IP-adres niet gebruikt worden om aanvallen op uit te voeren. Het maakt je ook minder kwetsbaar voor phishing. Lees hier meer over in het artikel: ‘Wat is phishing?’.

In veel landen is het uitvoeren van een DDoS-aanval illegaal. In de Verenigde Staten wordt het gezien als een federaal misdrijf en kan het worden bestraft met een celstraf. In veel Europese landen kan het leiden tot een arrestatie. In het Verenigd Koninkrijk kan een aanvaller zelfs worden veroordeeld tot een gevangenisstraf van tien jaar.

Desondanks zijn er diensten die DDoS-aanvallen aanbieden. Bij louche aanbieders worden aanvallen die een paar uur aanhouden voor een paar tientjes aangeboden, terwijl de schade voor bedrijven hoog kan oplopen. Elke minuut dat een dienst wordt onderbroken, betekent in de regel verlies aan inkomsten.

Dit zijn een paar manieren waarop je DDoS-aanvallen kunt voorkomen:

• Gebruik DDoS-preventietools. Verschillende diensten van derden kunnen je helpen om DDoS-risico’s te beperken. Zorg ervoor dat je veilige en betrouwbare diensten gebruikt. Geen enkele dienst kan je echter totale veiligheid garanderen.
• Monitor je websiteverkeer. Het regelmatig monitoren van websiteverkeer, verzoeken en gegevenspakketten helpt je patronen en gedrag te herkennen, zodat je schadelijk verkeer op tijd kunt blokkeren.
• Gebruik Threat Protection van NordVPN. Met NordVPN’s Threat Protection-functie verklein je de kans dat je computer onderdeel wordt van een botnet. Threat Protection waarschuwt je voor kwaadaardige websites en scant alle bestanden die je van het internet downloadt op bedreigingen. Als een bestand kwaadaardig is, wordt het automatisch verwijderd voordat het je computer kan infecteren.

DDoS-aanvallen worden meestal gebruikt om de reputatie of omzet van een bepaald persoon of platform te schaden. Maar ook individuele gebruikers kunnen worden getroffen. Dit gebeurt meestal bij online gamers. Je tegenstander kan een DDoS-aanval op je uitvoeren om je spel te verstoren. Dit is geen groot veiligheidsrisico, maar kan wel heel frustrerend zijn als je midden in een online game zit.

Je kunt een aanval op de gameserver zelf niet voorkomen. Bij P2P-gaming maak je echter rechtstreeks verbinding met andere spelers, waardoor je tegenstander je IP-adres kan opzoeken om het voor een DDoS-aanval te gebruiken. Je kunt dit voorkomen door een VPN voor gaming te gebruiken om je IP-adres te verbergen. Als je tegenstanders je IP-adres niet in handen hebben, kunnen ze geen DDoS-aanval op je uitvoeren.

Surf veilig en privé op het internet met een vertrouwde provider. Probeer NordVPN nu zonder risico met onze 30 dagen geld-terug-garantie.