Hoe maken ‘hackers’ een website onbruikbaar ( DDOS-aanval )

DDOS-aanval of echter gehacked?

Je leest het wel meer, ‘hackers hebben de website van … voor 24u offline gehaald’…

Maar wat wil dit dan juist zeggen? Hoe doen ze dit en wat er tegen te doen?

Hackers

Eerst en vooral moeten we de term ‘hackers’ hierbij breed interpreteren.
‘Hacken’ wil voor veel mensen zeggen dat men in de computer inbreekt en overal aan kan.
In de praktijk komt dit echter veel minder voor, en dit gebeurt zeker niet zoals in films door een paar regeltjes in te typen en klaar is kees.
De ‘Hackers’ waarvan men meestal spreekt, doen zelfs niet aan echt ‘hacken’, maar je zou ze eerder ‘boycotters’ kunnen noemen.
Ze doen immers wat men noemt en ‘DDOS’-aanval, wat staat voor Distributed Denial Of Service attack, men gaat dus proberen de dienstverlening negatief te beinvloeden. Zo verliest de dienstverlener inkomsten of reputatie.

Hoe gaat een DOS aanval in z’n werk?

Het principe is heel simpel, en dat maakt het ook zo moeilijk om het te voorkomen.
Stel je hebt een website met een login pagina:

• Een normale gebruiker geeft z’n gebruikersnaam en wachtwoord in.
• De pagina geeft dit door naar de server, die vraagt aan de achterliggende databank of de gegevens correct zijn.
• De databank doet z’n zoekwerk en geeft de resultaten terug
• De server geeft dit daarna door aan de website en die geeft de gebruiker toegang.

( dit is een redelijk simpele beeldvorming, bv de server gaat normaal je wachtwoord nog encrypteren en dan vergelijken met de gencrypteerde waarde in de databank )

Bij een DOS-aanval gaat men net hetzelfde doen, maar met een willekeurige gebruikersnaam of wachtwoord.
De aanvaller moet immers niet inloggen, hij hoeft enkel de databank te belasten.
Dus gaat men keer en keer opnieuw proberen inloggen met verkeerde gegevens, en telkens moet de server rekenen en opzoeken tot op een bepaald moment de server door z’n knieën gaat en crashed.

Wat is dan een DDOS aanval?

De naam zegt het zelf al Distributed Denial of Service, verdeeld….

Hedendaagse servers kunnen het gerust aan als één andere computer deze foutieve gegevens blijft doorgeven, dus zijn hackers opzoek gegaan naar meer ‘kracht’. En die hebben ze gevonden in een ‘BotNet‘.
In plaats van via één computer aan te vallen, vallen ze met duizenden ter gelijkertijd aan!

Wat is een BotNet?

Een botnet is een ‘leger’ van geïnfecteerde computers, meeste mensen weten niet dat hun computer hiervan deel uit maakt.
Het enige dat de computer doet is op de achtergrond connectie proberen maken met de website van het doelwit.
Het ‘internet of things’ fenomeen ( ijskast / broodrooster / camera’s / printers ) die aan het internet hangen zijn hierbij een groot doelwit aan het worden. Zij kunnen immers niet beschermd worden door een antivirus en worden amper geupdate door fabrikanten, wat zorgt voor ongedichte beveiligingslekken.

Hoe beschermen tegen een DDOS-aanval?

First line:

De website moet zelf een beveiliging hebben tegen regelmatig foutief inloggen, elke inlogpoging moet het IP Adres van de bezoeker bewaren.
Bij bijvoorbeeld 5 foutieve pogingen binnen het kwartier, worden alle volgende aanvragen van de gebruiker gestopt.
Dit werkt goed voor kleinschalige aanvallen, maar als men met 40 000 bots op hetzelfde moment aan wil loggen, dan heeft dit mechanisme geen tijd om tot 5 foute logins te tellen.

Second Line:

Meervoudige IP’s / Servers

Door te doen aan ‘load balancing’ en ‘high availability’ kan de website de belasting verdelen onder meerdere servers, dit kan echter kostelijk worden en maakt de website ingewikkelder en duurder.

Last Line:

DDOS Protection en Mitigation as a service.

De bekendste dienst hiervoor is ‘cloudflare’, men gaat dan altijd de bezoeker eerst via cloudflare sturen, die sterke servers hiervoor hebben.
Zij gaan dan ofwel een heel bereik aan IPs tijdelijk blokkeren ( bv half duitsland als blijkt dat meeste aanvallen van daar komen ) totdat de aanvaller het opgeeft.
Ofwel gaan ze ontwijken ( mitigation ), door de echte gebruikers naar een ander adres te sturen ( de bezoeker komt via een omweg terecht op de website )

Waarom doet men een DDOS-aanval?

Bij een (D)DOS-aanval is er dus geen ( rechtstreeks ) veiligheidsrisico, er is echter wel een onrechtstreekse reden mogelijk, een ‘hidden agenda’ om het zo maar te noemen.

Voorbeelden zijn:

• Stock Manipulatie: Men gaat een beurswebsite belasten zodat men enkele seconden voordeel kan hebben ivbm de vertraging
• Website foutcodes analyseren: Men gaat de website proberen doen crashen om zo bepaalde code zichtbaar te maken om later ‘echt’ in te breken
• Afleiding: IT Security personeel afleiden van een echte hack op een ander systeem op dat moment, of het oversluizen van gegevens te verdoezelen
• Afpersing: Betaal ons en je website blijft online.

SHARE IT: