Distributed Denial of Service-aanvallen, kortweg DDoS- of 'cyberaanvallen', bestaan al heel lang. Maar begin 2013 komen ze ineens weer regelmatig in het nieuws, door een reeks aanvallen op Nederlandse doelwitten. NUtech legt uit hoe het zit met deze hinderlijke vorm van cybercrime.

Wat is een DDoS-aanval?

Een DDoS-aanval is simpelweg een manier om heel veel internetverkeer op één server of groep servers te richten. Een onschuldige variant van een DDoS is als een site ten onder gaat aan zijn eigen populariteit, en de servers de grote hoeveelheid dataverkeer niet meer aankunnen.

Kwaadaardige DDoS-aanvallen lopen meestal via 'botnets'. Dat zijn netwerken van computers of andere met het internet verbonden apparaten die zijn besmet met schadelijke software. Vanuit een centraal 'moederschip' kunnen de apparaten vervolgens worden aangestuurd, bijvoorbeeld om spam te versturen. Kwaadaardige botnets kunnen honderdduizenden of zelfs miljoenen computers groot zijn.

Al die apparaten kunnen ook de opdracht krijgen om tegelijk honderden keren per minuut één website te bezoeken. Dat zorgt voor een vertraging in de servers die ook bij onschuldige bezoekers voor problemen kan zorgen.

Zit mijn computer dan ook in een botnet?

Als je de beveiligingssoftware op je computer up to date houdt, is daar weinig kans op. Botnets bestaan vaak uit apparaten die zwaar verouderde software draaien.

Af en toe waarschuwen beveiligingsonderzoekers dat ook andere apparaten, zoals de settopbox onder je tv, mogelijk gehackt kunnen worden. Dat lijkt echter nog niet grootschalig voor te komen.

Kunnen sites zich niet verdedigen tegen DDoS-aanvallen?

Het afslaan van DDoS-aanvallen is mogelijk, maar kan erg moeilijk zijn. Het doel van DDoS-aanvallen is altijd hetzelfde, maar de manier waarop dat gebeurt kan verschillen.

De meest simpele DDoS-aanvallen zijn relatief eenvoudig af te slaan. Als een computer normaal in verbinding komt te staan met een server, dan sturen die berichten heen en weer om te bevestigen dat er een connectie is. Bij een simpele DDoS-aanval wordt een grote hoeveelheid verzoeken om een connectie te maken verstuurd, maar wordt niet gereageerd op de respons die de server vervolgens verzendt. Beveiligingssoftware kan dit gedrag herkennen en blokkeren.

Dat is lastiger als de aanvallers proberen dit gedrag te verhullen, bijvoorbeeld met een zogenoemde 'Layer 7'-aanval. Die maakt gebruik van de mogelijkheid in het http-protocol om bestanden op te vragen. Dat is een legitieme manier om te communiceren met een server, en is dus moeilijker te blokkeren zonder ook werkelijke gebruikers te hinderen.

Wie zit er achter dit soort aanvallen?

Een DDoS-aanval kan worden gestart door de 'eigenaar' van een botnet, maar je kan ook tijd op een botnet kopen. Eind 2012 zeiden onderzoekers van Trend Micro dat dat in Rusland al kan voor prijzen vanaf 2 dollar per uur. Toegang tot een botnet kan ook worden gekocht voor enkele honderden dollars. Voor het bedrag van 10 dollar kun je al een miljoen spammails versturen.

Omdat de computers die direct betrokken zijn bij een DDoS-aanval niet van de dader zelf zijn, is vaak moeilijk te achterhalen wie er de opdracht heeft gegeven voor een aanval.

Zijn er steeds meer DDoS-aanvallen?

De DDoS-aanval kwam aan het eind van de jaren '90 voor het eerst grootschalig voor. In 2000 haalden hackers zowel de zoekmachine als de e-maildienst van Yahoo enkele uren offline door een DDoS-aanval, wat volgens de BBC werd gezien als een 'serieuze dreiging' door de FBI.

Sindsdien komen DDoS-aanvallen vrij regelmatig voor. Wel is duidelijk dat begin 2013 een opleving plaatsvond, te beginnen met de enorme aanval op spambestrijder Spamhaus. Volgens onderzoek van Arbor Networks gebruikte die aanval zo'n 300 Gbps aan dataverkeer, een veelvoud van eerder gemeten aanvallen.

In april 2013 worden allerlei Nederlandse bedrijven doelwit van aanvallen, zoals de banken ING, ABN Amro en SNS. Ook de NS, DigiD en KLM worden offline gehaald door DDoS-aanvallen. Wie daarachter zat blijft mysterieus. Wel is een Nederlander opgepakt op verdenking van de aanval op Spamhaus.