DDoS-aanvallen zijn op volume gebaseerde aanvallen die zijn ontworpen om de netwerkbandbreedte van het doelwit te overbelasten en te overspoelen. Ze maken gebruik van zwakke plekken in het netwerkprotocol en verstoren bedrijfsdiensten. Ze maken gebruik van TCP- en UDP-protocollen en kunnen ook aanvallen op applicatieniveau uitvoeren, zoals aanvallen op webservers. Een DDoS-aanval kan veel verzoeken versturen en de bronnen overbelasten totdat ze uitgeput zijn.
In deze handleiding leest u hoe u DDoS-aanvallen kunt voorkomen en welke stappen u kunt nemen om uw organisatie te beschermen.
Wat zijn DDoS-aanvallen?
Een DDoS-aanval is een Distributed Denial of Service-aanval die gericht is op uw volledige infrastructuur. DDoS-bedreigingen richten zich op computersystemen en kunnen misbruik maken van machines en andere netwerkapparatuur, zoals IoT-apparaten. Een DDoS-aanval kan uw verkeer onverwachts verstoren, datahighways verstoppen en ervoor zorgen dat uw reguliere datapakketten hun bestemming niet op tijd bereiken.
Hoe werken DDoS-aanvallen?
DDoS-aanvallen worden uitgevoerd op netwerken die zijn verbonden met IoT-machines. Deze netwerken kunnen ook andere apparaten bevatten die mogelijk zijn geïnfecteerd met malware. DDoS-aanvallers kunnen op afstand verbinding maken met deze machines, en sommige van deze individuele apparaten worden bots of zombies genoemd. Een botnet is een verzameling bots. Zodra een botnet is gecreëerd, kan de aanvaller de DDoS-aanval sturen en opschalen door op afstand instructies te sturen naar elke bot.
Wanneer een botnet zich richt op het netwerk of de server van het slachtoffer, stuurt het verzoeken naar het IP-adres van de host. Deze verzoeken kunnen de netwerkserver mogelijk overbelasten, waardoor het normale verkeer wordt geblokkeerd.
Elke bot kan afkomstig lijken te zijn van een legitiem internetapparaat, waardoor het moeilijk is om deze te onderscheiden van andere bots.
Hoe detecteert u een inkomende DDoS-aanval?
Een van de beste manieren om een DDoS-aanval te voorkomen, is door te weten dat de aanval ergens plaatsvindt. Om een DDoS-aanval te detecteren, moet u voldoende informatie over uw netwerkverkeer verzamelen en een grondige analyse uitvoeren. U kunt dit handmatig doen of met behulp van geautomatiseerde beveiligingstools. Uw detectiemethoden zijn de sleutel tot het opzetten van een sterke DDoS-verdedigingsstrategie.
U kunt een inline-onderzoek van alle pakketten uitvoeren en out-of-band-detectie toepassen door middel van analyse van verkeersstroomgegevens. Beide benaderingen kunnen worden gebruikt op cloudservices of lokale netwerken. Essentiële inline DDoS-detectie omvat functies zoals inbraakpreventiesystemen, firewalls en load balancers. Out-of-band DDoS-detectie kan gegevensstromen ontvangen van sFlow, jFlow, NetFlow en andere IPFIX-compatibele netwerken, compatibele routers en switches. Hierbij worden stroomgegevens geanalyseerd om aanvallen te detecteren en bedreigingen automatisch te beperken.
U kunt de nauwkeurigheid van uw DDoS-detectie verbeteren door gebruik te maken van big data-technologieën. Afzonderlijke servers beschikken niet over voldoende rekenkracht, geheugen of opslagruimte om wereldwijd grote verkeersvolumes te volgen. U kunt big data-technologieën gebruiken om netwerkgebeurtenissen in realtime op te slaan en toegang te krijgen tot gegevensopslagplaatsen in de cloud. Op deze manier kunt u uw DDoS-detectie opschalen en dure interne projecten vermijden die voortdurende investeringen vereisen.
Krijg diepere informatie over bedreigingen
Bekijk hoe de SentinelOne service WatchTower voor het opsporen van bedreigingen meer inzichten kan opleveren en u kan helpen aanvallen te slim af te zijn.
Meer lerenBest practices om DDoS-aanvallen te voorkomen
Koppel uw modem los en wacht even. Uw internetprovider zal het IP-adres dat iemand nabootst, aan iemand anders toewijzen. Laat het worden opgepikt door een nieuw IP-adres dat de aanvallers niet kennen. Werk uw DNS bij met een nieuw dynamisch IP-adres.
Uw aanvallers zullen gegevenspakketten blijven verzenden naar een IP-adres dat niet aan u is gekoppeld.
Het kan veel uitdagender zijn als u een gevestigd bedrijf bent dat een statisch IP-adres heeft.
U kunt bescherming gebruiken die wordt geboden door diensten zoals SentinelOne om DDoS-aanvallen te bestrijden.
Neem geen te grote netwerkbandbreedte omdat deze goedkoop is; dit biedt meer ruimte voor DDoS-aanvallen. Gebruik geautomatiseerde DDoS-beperkende technologieën en tools voor het monitoren van webverkeer om bedreigingen onmiddellijk te detecteren en te stoppen. Schakel ook een externe dienstverlener in om webapps te beschermen en cloudaudits uit te voeren. Het installeren van webapplicatie-firewalls kan ook helpen om verdacht webverkeer te filteren. Deze bieden basisbescherming voor kleine tot middelgrote bedrijven.
Hier zijn enkele best practices die u kunt implementeren om te leren hoe u DDoS-aanvallen kunt voorkomen.
1. Leer meer over uw netwerkverkeer
U moet normale en abnormale verkeerspatronen begrijpen, afwijkingen identificeren die kunnen wijzen op een mogelijke DDoS-aanval, uw netwerken beoordelen, het aanvalsoppervlak van uw netwerk onderzoeken, inclusief software, hardware en de algehele topologie, een idee krijgen van het risiconiveau en prioriteit geven aan risicobeperkende maatregelen. U moet in staat zijn om de waarschijnlijkheid van een aanval te identificeren, de potentiële impact ervan te beoordelen en deze te neutraliseren.
2. Werk aan een DDoS-veerkrachtplan
Maak een inventaris van al uw web- en cloudassets die bescherming tegen DDoS-aanvallen nodig hebben.
Dit omvat netwerkconfiguraties en u moet een DDoS-responsplan opstellen.
Ontwerp een plan om aanvallen te beperken, inclusief communicatieprotocollen en escalatieprocedures. Plan uw herstelstappen om de bedrijfscontinuïteit te waarborgen.
Ontwikkel governance en controle over DDoS-maatregelen en -implementatie om ervoor te zorgen dat uw netwerk aan de voorschriften voldoet. U kunt ook de dagelijkse werking controleren en storingen tijdens belangrijke incidenten voorkomen.
3. Pas de beste netwerk- en infrastructuurbeveiligingsmaatregelen toe.
U kunt ook maatregelen nemen zoals het implementeren van meerlaagse bescherming tegen de dreiging en het toepassen van snelheidsbeperkingen, het toevoegen van snelheidslimieten voor API-eindpunten, het voorkomen van API-misbruik en het beperken van het risico op DDoS-aanvallen. Nadat u het type aanval voor DDoS-bedreigingen hebt geïdentificeerd, filtert u specifiek verkeer of blokkeert u kwaadaardige IP-adressen. Dit helpt u uw beveiligingsstatus te verbeteren en verdere aanvallen te voorkomen.
4. Wijs DDoS-prioriteitscategorieën toe
Dit komt omdat niet alle webbronnen gelijk zijn. Sommige activa moeten eerder worden beschermd dan andere. Als u begrijpt hoe cruciaal uw bronnen zijn, kunt u de DDoS-beveiliging verbeteren. Voor sommige bronnen hebt u 24/7 DDoS-bescherming nodig en u kunt zich geen compromis veroorloven op het gebied van zakelijke transacties of communicatie om uw reputatie te beschermen.
5. Probeer netwerksegmentatie
Gebruik netwerksegmentatie om uw assets te scheiden en te verspreiden, zodat ze moeilijker te targeten zijn. U kunt uw webservers op openbare subnetten plaatsen en databaseservers op privé-subnetten. Beperk ongeoorloofde toegang tot databaseservers vanuit webbrowsers en webservers en sluit andere hosts uit. U kunt het verkeer vanuit andere bestemmingen en landen waar uw gebruikers zich niet bevinden, beperken. Dit vermindert de blootstelling aan potentiële aanvallers uit regio's waarvan u niet verwacht dat uw gebruikers daar vandaan komen. U kunt load balancer-beveiligingstechnologieën gebruiken om webservers en rekenkrachtbronnen te beveiligen.
Hoe kunt u een DDoS-aanval die gaande is beperken?
Begrijp de waarschuwingssignalen van DDoS-aanvallen en let op symptomen van onregelmatige netwerkconnectiviteit, zoals intranetten, intermitterende website-uitval en plotselinge internetonderbrekingen.
Ongebruikelijke pieken in het gebruik van bronnen, grote hoeveelheden spam-e-mails, onregelmatige logboekvermeldingen, onvoorziene systeemcrashes of -bevriezingen en problemen met de netwerkverbinding zijn tekenen van DDoS-bedreigingen.
Voer een verkeersanalyse uit die specifiek gericht is op DDoS-aanvallen en bepaal hoe plotseling het verkeer op uw website piekt of afneemt. U kunt ook black hole routing implementeren, een techniek die kwaadaardig verkeer afvangt net voordat het de doelservers bereikt. Hiermee kunt u verkeer van specifieke IP-adressen en subnetten blokkeren die identificeerbaar zijn als de bron van de aanvaller.
U kunt verkeer van onbekende IP-adressen blokkeren, interne bronnen of apparaten monitoren en proberen te voorkomen dat deze op afstand worden bestuurd of in botnets veranderen.
U kunt dit doen door uw apparaten en software up-to-date te houden, een goede VPN-verbinding te gebruiken, gerenommeerde anti-malwareoplossingen te gebruiken en sterke en unieke wachtwoorden te gebruiken om in te loggen.
Gebruik botnetdetectie- en verwijderingsdiensten om het risico op kaping van uw apparaten te verminderen. Begin met het implementeren van technologieën voor continue monitoring en loggegevensanalyse. Deze maken een proactieve aanpak mogelijk om snel te reageren op DDoS-aanvallen.
U kunt weerbaarheid tegen DDoS-bedreigingen opbouwen door regelmatig logboeken te controleren en een robuuste logboekinfrastructuur te onderhouden. Implementeer CAPTCHA-uitdagingen als onderdeel van uw DDoS-verdedigingsstrategie.
Hiermee kunt u menselijke interacties verifiëren, het gebruik van bronnen controleren en de algehele applicatiebeveiliging verbeteren. Bots kunnen CAPTCHA-verzoeken niet voltooien en websites overspoelen met ongeautoriseerde toegangspogingen. Hoewel dit een extra hindernis voor uw gebruikers zal zijn, kunnen moderne CAPTCHA-oplossingen wonderen verrichten om een evenwicht te vinden tussen beveiliging en gebruikerservaring. U kunt tijdens het aanvraagproces ook cryptografische puzzeluitdagingen toevoegen om gebruikers te screenen en te verifiëren. Deze puzzels kunnen bestaan uit wiskundige problemen, hashing of vragen die botnets niet plotseling kunnen beantwoorden.
Deze methode kan kwaadaardige geautomatiseerde verzoeken filteren en ervoor zorgen dat uw serverbronnen worden toegewezen aan de juiste gebruikers en niet worden overweldigd door door bots gegenereerd verkeer. Wijs beveiligingsprofessionals aan die verantwoordelijk zijn voor het afhandelen van DDoS-herstelprocessen. U moet ook de locatie van uw gegevensback-ups specificeren en ervoor zorgen dat deze worden opgeslagen en regelmatig worden gecontroleerd. Een goede DDoS-herstelplanning omvat ook specifieke stappen om de normale beveiligingsactiviteiten tijdens DDoS-aanvallen te herstellen.
Praktijkvoorbeelden van DDoS-aanvallen
Blizzard is onlangs getroffen door een DDoS-aanval. De spelers kunnen geen verbinding maken met Overwatch, World of Warcraft en verschillende andere games. De aanval heeft gevolgen voor het inloggen en de latentie. De klantenservice van Blizzard heeft dit erkend en werkt momenteel aan een oplossing.
Blizzard heeft aangegeven dat de aanval voor sommige spelers zal leiden tot hoge latentie en verbroken verbindingen.
Ze werken actief aan een oplossing voor het probleem. Elon Musk zei ook dat grootschalige cyberaanvallen X hadden verstoord en wees op IP-adressen die afkomstig leken te zijn uit het gebied rond Oekraïne. Er zijn meerdere keren DDoS-aanvallen uitgevoerd op de infrastructuur van X, wat tot verstoringen heeft geleid. De nieuwe Eleven11bot heeft 86.000 apparaten geïnfecteerd met DDoS-aanvallen.
De aanvallen waren gericht op beveiligingscamera's en netwerkvideorecorders en hielden losjes verband met Iran. De Eleven11bot werd ontdekt door onderzoekers van Nokia, die details over het incident hebben gedeeld.
De aanvalscampagne was uitzonderlijk en ook in landen als Mexico, het Verenigd Koninkrijk, Australië en Canada zijn veel apparaten geïnfecteerd.
Beperk DDoS-aanvallen met SentinelOne
SentinelOne biedt robuuste DDoS-bescherming via zijn endpoint-beveiligingsoplossing. De beveiligingsmogelijkheden kunnen afwijkende verkeerspatronen detecteren die wijzen op DDoS-aanvallen en de snelheid van machines tegengaan om het vermogen van de aanvallers om uw netwerkbronnen te overspoelen te verstoren. De cloud-agnostische endpoint-agent van SentinelOne heeft geen cloudconnectiviteit nodig om te werken en beschermt uw systemen wanneer de verbinding met internet tijdens een aanval wordt verbroken.
Wanneer SentinelOne indicatoren voor DDoS-bedreigingen detecteert, groepeert het automatisch gerelateerde waarschuwingen in complete verhaallijnen, waardoor waarschuwingsmoeheid wordt voorkomen en uw beveiligingsteam bruikbare context krijgt. Deze aanpak maakt het interpreteren van de betekenis van aanvalsvectoren eenvoudiger en maakt een snelle, geautomatiseerde reactie op opkomende bedreigingen mogelijk. Het platform blinkt uit in snelle, geautomatiseerde herstelmaatregelen door kwaadaardige processen te beëindigen, geïnfecteerde apparaten die mogelijk deel uitmaken van een botnet uit te schakelen en in quarantaine te plaatsen, en zelfs gebeurtenissen terug te draaien om systemen te herstellen naar de toestand van vóór de aanval.
De architectuur van SentinelOne vereenvoudigt het beveiligingsbeheer aanzienlijk en vermindert de complexiteit van de infrastructuur. Omdat het platform meerdere beveiligingsfuncties onderbrengt in één krachtige console, hebt u niet langer verschillende oplossingen nodig om verschillende soorten DDoS-bedreigingen te beperken. De integratie voorkomt dat aanvallers misbruik maken van hiaten tussen geïsoleerde beveiligingsoplossingen.
Het 24/7 SOC-personeel van SentinelOne biedt uitstekende monitoring en beheer, waardoor de lacunes in de cyberbeveiligingsexpertise van uw organisatie worden verkleind. De beveiligingsexperts houden voortdurend toezicht op aankomende DDoS-bedreigingen voordat deze worden geactiveerd, waardoor uw beveiligingspositie tegen dergelijke verlammende aanvallen wordt verbeterd. Met SentinelOne kunt u uw DDoS-beveiligingsstrategie veranderen van reactief naar proactief, waardoor de bedrijfscontinuïteit gegarandeerd blijft, ongeacht geavanceerde aanvalscampagnes.
Conclusie
Het beveiligen van uw bedrijf tegen DDoS-aanvallen vereist waakzaamheid, planning en het gebruik van de juiste beveiligingstools. Met de best practices die in deze handleiding worden beschreven, kunt u uw blootstelling aan deze verstorende aanvallen aanzienlijk verminderen. DDoS-bescherming is geen op zichzelf staande activiteit, maar een terugkerend proces van monitoring, analyse en verbetering van uw verdedigingspositie. Blijf op de hoogte van nieuwe aanvalskanalen en verdedigingsstrategieën om uw online activa zo goed mogelijk te beveiligen.
Wacht niet met het versterken van uw verdediging tot nadat u bent aangevallen. End-to-end-oplossingen zoals SentinelOne kunnen uw DDoS-beveiligingsplan omzetten van reactief naar proactief. Doe het nu, controleer uw huidige beveiligingsmaatregelen, identificeer mogelijke zwakke plekken en implementeer een meerlaagse verdedigingsaanpak die ervoor zorgt dat uw bedrijf blijft draaien, zelfs als er steeds nieuwe bedreigingen opduiken.
FAQs
Een DDoS-aanval (Distributed Denial of Service) is een illegale poging om het normale verkeer van een doelserver, -dienst of -netwerk te verstoren door deze te overspoelen met een plotselinge hoeveelheid internetverkeer. In tegenstelling tot gewone DoS-aanvallen maken DDoS-aanvallen gebruik van talrijke gekaapte computersystemen als aanvalsvectoren, meestal botnets die bestaan uit duizenden gekaapte apparaten. De aanvallen maken gebruik van TCP- en UDP-protocollen en voeren aanvallen uit op de applicatielaag van webservers, waardoor ze bronnen in beslag nemen zodat legitieme gebruikers geen toegang hebben tot diensten.
DDoS-aanvallen vormen een ernstige bedreiging omdat ze uw online bedrijf volledig kunnen platleggen, wat enorme downtime en omzetverlies tot gevolg heeft. Ze dienen doorgaans als rookgordijn voor meer destructieve aanvallen, zoals datalekken of malware-infecties. Financiële verliezen omvatten directe kosten voor mitigatie, indirecte verliezen door reputatieschade en verlies van klantvertrouwen. Nieuwe DDoS-aanvallen worden steeds geavanceerder, waarbij sommige in staat zijn om meerdere kwetsbaarheden tegelijk aan te vallen, waardoor ze moeilijk te weerstaan zijn zonder de juiste beschermingsmaatregelen en tools.
DDoS-aanvallen kunnen vele vormen aannemen. Volume-aanvallen overbelasten netwerken met veel verkeer door gebruik te maken van UDP, ICMP of vervalste pakketten om de bandbreedte uit te putten. Protocolaanvallen vallen serverbronnen aan door gebruik te maken van kwetsbaarheden in netwerkprotocollen, zoals TCP met behulp van SYN-floods. Aanvallen op de applicatielaag richten zich op kwetsbaarheden in webapplicaties en verschijnen als geldige verzoeken, terwijl ze de serverbronnen uitputten. Er zijn ook amplificatieaanvallen die het verkeersvolume versterken en multi-vectoraanvallen die verschillende technieken gebruiken om de verdediging te overbelasten en mitigatie moeilijker te maken.
Ja, Content Delivery Networks (CDN's) kunnen uitgebreide bescherming bieden tegen DDoS-aanvallen door het verkeer over meerdere servers wereldwijd te verspreiden. CDN's onderscheppen aanvalsverkeer aan de rand van het netwerk, zodat het nooit uw oorspronkelijke server bereikt. CDN's hebben ingebouwde functies voor het filteren van verkeer, waardoor kwaadaardige verzoeken automatisch worden gedetecteerd en geblokkeerd voordat ze uw infrastructuur kunnen beïnvloeden. CDN's hebben ook functies voor het beperken van de verkeerssnelheid en kunnen direct worden geschaald om plotselinge pieken in het verkeer op te vangen. Ze zijn echter het meest effectief wanneer ze worden gebruikt als onderdeel van een complete, meerlaagse verdedigingsstrategie en niet als een onafhankelijke oplossing.
Voer na een DDoS-aanval een uitgebreide analyse uit om de aanvalsvectoren en misbruikte kwetsbaarheden vast te stellen. Herzie op basis hiervan uw incidentresponsplan en installeer geavanceerdere systemen voor verkeersmonitoring om vroege waarschuwingssignalen te herkennen. Controleer en versterk uw netwerkontwerp met betere segmentatie en overweeg om de bandbreedtecapaciteit te vergroten. Breid uw DDoS-mitigatiestrategie uit met gespecialiseerde beveiligingsdiensten, introduceer CAPTCHA-uitdagingen en cryptografische puzzels en test uw verdedigingsmechanismen regelmatig. Neem beveiligingsexperts in dienst die verantwoordelijk zijn voor het beheer van DDoS-herstelprocessen en maak regelmatig back-ups van gegevens.
Botmitigatie voorkomt DDoS-aanvallen door onderscheid te maken tussen authentieke gebruikers en kwaadaardig geautomatiseerd verkeer. Het past technieken toe zoals CAPTCHA-uitdagingen, gedragsanalyse en apparaatvingerafdrukken om botverkeer te identificeren en te blokkeren. Door middel van deze authenticatieprocessen kunt u voorkomen dat geautomatiseerd verkeer uw bronnen bereikt en kunnen echte gebruikers zonder belemmeringen gebruikmaken van diensten. Deze processen voorkomen dat uw apparaten worden gekaapt voor botnets en kunnen effectief voorkomen dat de meeste DDoS-aanvallen enige impact hebben. Botmitigatietechnologieën zijn nu een fundamenteel onderdeel van complete DDoS-beveiligingsoplossingen.
