Oplossingen voor DDOS aanvallen
De Nederlander Iljitsch van Beijnum, onder andere schrijver van een boek
over het belangrijke internet-routeringssysteem BGP, heeft een artikel op zijn website
geplaatst waarin hij een aantal oplossingen voorstelt om gedistribueerde
sabotage-aanvallen (DDOS) te voorkomen.
Een DDOS aanval zal nooit in zijn geheel bestreden kunnen worden, het is namelijk niet mogelijk een attacker te onderscheiden van een normale gebruiker.
Om DDOS aanvallen beter onder controle te krijgen, zal er begonnen moeten worden providers te verplichten IP spoofing te voorkomen. Het voorkomen van IP spoofing is door de provider eenvoudig te implementeren.
Clients die worden misbruikt om deel te nemen aan een DDOS aanval kunnen door IP spoofing te voorkomen minder schade aanrichten. Ook zal door IP spoofing te voorkomen de bron van de DDOS aanval beter traceerbaar zijn.
Greetzzzzzzz
Henk-Jan
Als het artikel goed wordt gelezen staat er dus eigenlijk dat het onmogelijk is dit op te lossen
Dat is de conclusie die veel mensen trekken, en helemaal onterecht is die niet, want uiteindelijk doe jij er niks tegen als ik vanaf een willekeurig IP adres een pakket naar jou stuur waar jij niet om gevraagd hebt.
Maar het is volgens mij wel degelijk mogelijk het probleem binnen beheersbare proporties te krijgen. Vergelijk het met fietsendiefstal. Als je je fiets op slot zet, kan-ie nog steeds gejat worden door iemand die er wat moeite voor wil doen. Maar maakt dat het op slot zetten zinloos? Zolang jouw fiets niet de mooiste is en niet het slechtste slot heeft heb je een goede kans dat de dief een andere fiets pakt.
Om (D)DoS aanvallen tegen te gaan is het buitengewoon belangrijk dat ISPs anti-spoofing filters richting hun klanten hanteren. Ik zou zelfs nog verder willen gaan en anti-spoofing filters op peering-verbindingen tussen ISPs willen adviseren, hoewel dat nogal wat haken en ogen heeft. Als de gespoofde adressen eenmaal in een ISP-netwerk zitten doet een klant van die ISP er niks meer aan.
Zonder spoofing is het gewoon een kwestie van alle bronnen waar foute pakketten vandaan komen weg te filteren. Zeker, als dat er duizenden zijn is dat makkelijker gezegd dan gedaan, maar een onoverkomelijk probleem is het niet.
Zonder spoofing is het gewoon een kwestie van alle bronnen waar foute pakketten vandaan komen weg te filteren. Zeker, als dat er duizenden zijn is dat makkelijker gezegd dan gedaan, maar een onoverkomelijk probleem is het niet.
Sorry maar het filteren op foute pakketten is niet mogelijk. Bij een redelijke DDOS aanval is namelijk de source van ieder pakket anders, ondanks dat het vanaf dezelde machine komt. Hierdoor is het dus niet mogelijk op source adres te filteren
Een goede DDOS aanval zal altijd worden gedaan naar een voor voor publiek opengestelde service. Ook hier kan dus geen filtering op worden gedaan, omdat anders die service niet meer kan worden geboden aan legitieme gebruiks. Het zal dus duidelijk zijn dat dst port filtering geen succes zal zijn.
De laatst mogelijke filtering die je oppert is destination filtering, ook die filtering kan helaas niet worden gebruikt. Hiermee zou de geboden dienst niet meer berijkbaar zijn, en de DDOS aanval is dan dus geslaagd.
greetzzzzzzzzzzzzzz
Henk-Jan
Sr. Security Support Specialist
Sorry maar het filteren op foute pakketten is niet mogelijk. Bij een redelijke DDOS aanval is namelijk de source van ieder pakket anders, ondanks dat het vanaf dezelde machine komt.
En je kan in principe altijd met een stateful firewall aan de gang.
Bij een goed opgezette DDOS aanval zonder spoofing, is de aanval niet te onderscheiden van legitiem verkeer. De aanval heeft namelijk alleen maar te maken met het flooden van een geboden dienst. Dit wordt dan b.v. gedaan vanaf 100.000 machines die hier onbewust aan meedoen. Omdat het verkeer er net zo uitziet als legitiem verkeer kan hier geen filter voor worden gemaakt.
Statefull inspection van een firewall is hiervoor ook geen oplossing, daar de DDOS aanval zonder spoofing normaal verkeer is en dus door elke firewall zal worden doorgelaten.
Henk-Jan
Sr. Security Support Specialist
Maar je hebt gelijk dat een slimme en geduldige aanvaller je het heel erg moeilijk kan maken.
Je hebt gelijk, als 100000 bakken legitieme requests doen dan wordt het aardig moeilijk. Maar dan zal iemand toch eerst 100000 bakken te pakken moeten krijgen. Ik kan me ook niet voorstellen dat een zo groot aantal machines in te zetten is zonder dat ze een of meer gemeenschappelijke kenmerken hebben waar ze uiteindelijk wel aan te herkennen zijn. En op dat moment kan je ze weer filteren.
Maar je hebt gelijk dat een slimme en geduldige aanvaller je het heel erg moeilijk kan maken.
Die load is wel tegen te gaan door firewalling op deze manier, maar dat 't jou richting op komt (en jou dus geld kost) imo niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.