Hoe werkt een DDoS-aanval?

DDoS-aanvallen zijn al langere tijd een probleem voor websites. Een aanval kan een site voor uren tot dagen uit de lucht halen. Maar wat is een DDoS-aanval eigenlijk en hoe werkt het?

DDoS staat voor Distributed Denial of Service. Als een site te maken heeft met een DDoS-aanval, dan betekent het dat de site het internetverkeer niet meer aankan. Hierdoor wordt de betreffende site trager en kan de site zelfs niet meer reageren op gebruikers.

Botnet
Om een DDoS-aanval uit te voeren, gebruiken hackers heel veel computers om een stroom aan verschillende informatie naar de desbetreffende server te sturen. De server heeft moeite met deze stroom aan informatie en zo komen de sites verbonden aan de server ook in de problemen. Soms werken hackers in grote groepen samen om een DDoS-aanval uit te voeren, maar vaker is het maar één of een paar hackers met een soort leger onder zich. Zo’n leger noemen we een botnet. Een botnet is een netwerk bestaande uit geïnfecteerde computers die gebruikt kunnen worden door een hacker. Meestal weten de eigenaren van zulke computers niet eens dat hun computer deel uitmaakt van een botnet. Met een botnet is een hacker in staat om in zijn eentje een site te bombarderen met informatie.

Symptomen
Als een site of netwerk last heeft van één van de volgende symptomen, dan bestaat de kans dat een DDoS-aanval aan de gang is.
- Het netwerk is verdacht traag.
- De sites die de server beheert, zijn onbereikbaar.
- De sites reageren niet op input.

Het doel van de hacker is vaak om ervoor te zorgen dat bezoekers niet meer gebruik kunnen maken van een site. Op die manier is de hacker in staat om de eigenaar te chanteren voor geld voordat ze de aanval stoppen. Een DDoS-aanval kan zelfs gebruikt worden om de reputatie van een site te beschadigen door de site onbetrouwbaar te laten lijken. Webshops en banken zijn vaak slachtoffer (geweest) van een DDoS-aanval. Sites kunnen ook aangevallen worden vanwege politieke beweegredenen. Een voorbeeld hiervan is de website van de Britse Labour partij.

Preventie
Er zijn manieren om te voorkomen dat je server succesvol wordt aangevallen. Er bestaat specifieke software dat in staat is om dataverkeer te herkennen en op die manier verkeer van een botnet te blokkeren. Een firewall kan voorkomen dat de dataserver misbruikt kan worden van buitenaf. Switches in de server zorgen ervoor dat het internetverkeer langzamer gaat, maar hiervoor wordt het wel makkelijker om het verkeer te scannen en een botnet eruit te halen. Routers hebben tegenwoordig vaak een ingebouwde firewall en daarbij zijn ze ook in staat om dataverkeer te vertragen. Internetverkeer kan door een clean pipe gestuurd worden. De clean pipe analyseert het verkeer dan en laat alleen goedgekeurde gebruikers toe. In het uiterste geval dat bovenstaande methoden niet helpen, dan kan een scrubbing center van dienst zijn. Zo’n center is een betere versie van een clean pipe, maar het verschil is dat een scrubbing center gebruikt wordt als een aanval al bezig is.

Geen van deze methodes zijn honderd procent succesvol. Soms is de enige optie die je hebt, te wachten tot de aanval ophoudt. Wel belangrijk is dat de bescherming tegen DDoS-aanvallen inhoudelijk beter wordt. Het aantal DDoS-aanvallen is jaarlijks langzaam aan het afnemen. Dit komt waarschijnlijk door de verbetering in methoden om je site te beschermen en vanwege de politie die cybercriminelen arresteert.