DDoS staat voor Distributed Denial of Service. In het nieuws hoor je vaak dat de website van een bank hier last van heeft gehad, maar deze aanvallen komen ook voor bij andere type websites. Bij Byte hebben wij helaas ook wel eens last van deze aanvallen.

In dit artikel leggen we uit wat een DDoS aanval is, wat wij bij Byte hieraan doen en wat dit voor jou als klant betekent.

Wat is een DDoS aanval?

DDoS aanval

afb. 1 DDoS aanval

We nemen een callcenter en een x aantal medewerkers die de telefoon opnemen. Wanneer er iemand belt, dan neemt medewerker A de telefoon op. Wanneer alle lijnen bezet zijn, zul je moeten wachten tot er een lijn beschikbaar komt.

Bij een DDoS aanval wordt er geprobeerd om miljoenen verbindingen te maken naar een website. De server kan slechts een x aantal verzoeken tegelijk verwerken. Is de server druk bezig met alle andere verzoeken, dan zul jij moeten wachten.

Bij een DDoS aanval wordt er gebruik gemaakt van speciale programma’s (flooders en bots) om snel achter elkaar vele verbindingen op te zetten naar een doel locatie. Deze aanvallen zijn via internet te bestellen. Bij zo’n aanval zullen er programma’s en scripts gestart worden waarbij kwaadwillend verkeer uitgevoerd wordt. Deze scripts/programma staan op gehackte websites.

Wanneer er miljoenen simultane verbindingen gemaakt worden is het een kwestie van tijd voordat de server het aantal verzoeken niet meer aan kan. Bezoek jij dan de website, dan wordt jouw verbinding (request) in een wachtrij geplaatst. Aangezien de server nog alle andere requests moet afhandelen, kan jij de gewenste website niet bereiken (zie afbeelding 1).

Wat doet Byte hier tegen?

Drukte in een winkelstraat

afb. 2 Drukte in een winkelstraat

Bij Byte gebruiken we de volgende methodes om deze aanvallen af te slaan:

  • Het malafide verkeer filteren
  • Capaciteit van de dienst in kwestie vergroten
  • Doelwit isoleren/verplaatsen

Wij analyseren als eerst de traffic dat naar de website gaat. We zoeken hierbij naar overeenkomsten in de pakketjes (verbindingen) die verstuurd worden naar onze server. Wanneer wij overeenkomsten zien, passen wij onze firewall aan om de verbindingen niet door te laten gaan.

In het geval wij geen overeenkomsten kunnen vinden, schalen wij onze servercapaciteit op. Hieronder leggen we dat uit:

Je zegt tegen 15.000 mensen dat ze allemaal tegelijk naar winkel X moeten gaan. De mensen kunnen niet allemaal tegelijk naar binnen en er ontstaan grote wachtrijen. Dit kun je je oplossen door een tweede ingang te plaatsen en/of de winkel te verplaatsen naar een grotere straat (zie afbeelding 2).

Door de servercapaciteit te vergroten (tweede ingang) kan de server meer verkeer aan. We vergroten ook de bandbreedte (straat vergroten), zodat er meer verbindingen mogelijk zijn. Wij verplaatsen/isoleren ook het doelwit, waardoor het verkeer niet bij zijn doelwit terecht kan. Denk hierbij aan het verplaatsen van de website naar een ander cluster/omgeving, bepaalde IP adressen uitschakelen e.d.

Aanval vanuit een website bij Byte

Het komt ook voor dat een DDoS aanval vanuit een website dat bij Byte gehost staat uitgevoerd wordt. Op het moment dat wij zien dat een site hieraan meedoet, dan schakelen wij deze website uit. De heractivatie van de website valt dan onder Byte’s abuse beleid.

Wat betekent het voor mijn website?

Onderhoud en storingen pagina

afb. 3 Onderhoud en storingen pagina

Hoe groot de impact voor jouw website is, is afhankelijk van de aanval zelf. Een DDoS aanval kan vaak alleen gericht worden op het IP adres van een website. Helaas zijn dit vaak IP adressen van een shared omgeving. Wanneer er een aanval uitgevoerd wordt op het shared IP adres van een cluster, dan hebben alle sites op dat cluster er last van. Staat jouw website op dat cluster, dan zal deze minder bereikbaar zijn.

Wanneer je merkt dat er een DDoS aanval op ons netwerk gaande is, kun je het beste de volgende communicatiemiddelen in de gaten houden (zie afbeelding 3):

Wij gaan dan aan de slag om het probleem op te lossen en zullen onze storingspagina en Twitter account updaten, zodra er meer informatie beschikbaar is. Ons streven is om elke 15 minuten een update te kunnen geven over storingen.

60