Veel DDoS-diensten zijn na offline halen slechts korte tijd uit de lucht
Het offline halen van DDoS-diensten, ook wel 'booters' genoemd, lijkt weinig effectief. Van de neergehaalde booters verschijnt meer dan de helft weer online. Gemiddeld zijn de diensten binnen twintig uur weer beschikbaar. Wel daalt het gebruik van de diensten doorgaans fors. Dit melden onderzoekers van de Universiteit van Cambridge. Zij onderzochten twee grote politieacties die eind december 2022 en in mei 2023 diverse booters uit de lucht haalden.
De onderzoekers onderzochten de impact van deze acties. Zo is de webpagina waarnaar bezoekers van de booters na de politieacties werden doorgestuurd gehost op infrastructuur van het team. Uit verzamelde gegevens blijkt dat deze pagina in totaal meer dan twintig miljoen keer is bezocht. Ook onderzochten de onderzoekers datasets van onder meer Hopscotch, AmpPot en Netscout met betrekking tot booters over een periode van twee jaar. Tot slot zijn forumposts en chatberichten uit Telegram-channels onder de loep genomen om de reactie van beheerders en klanten op de politieactie in kaart te brengen.
Op basis hiervan melden de onderzoekers dat na de politieactie in december 2022 meer dan de helft van de booters slechts korte tijd uit de lucht was. Gemiddeld waren de DDoS-diensten binnen twintig uur weer bereikbaar. In veel gevallen leken de nieuwe websites daarbij sprekend op de oude websites, met als enige verschil de domeinnaam. Bij de politieactie in mei 2023 kwamen alle offline gehaalde booters uiteindelijk weer in de lucht. In dit geval waren booters gemiddeld veertig uur uit de lucht.
Hoewel de websites sprekend op hun voorganger leken, was het verkeer naar de websites wel fors minder. De onderzoekers wijzen op een daling van 80 tot 90% in het aantal bezoekers in verhouding met vooraf aan de politieactie. Ook op de lange termijn herstelde dit verkeer zich niet.
Uit het onderzoek blijkt ook dat de pagina waarnaar booters na de actie doorverwezen, door gebruikers wereldwijd zijn bezocht. De meeste bezoeken kwamen uit de Verenigde Staten, gevolgd door China, Duitsland, het Verenigd Koninkrijk en Rusland. Een klein deel van de bezoekers was afkomstig uit Nederland. Opvallend is ook dat slechts een klein deel van de gebruikers hun identiteit afschermde met proxies, VPN's of Tor.
Als je op die manier te werk gaat kan ik wel snappen dat we steeds meer DDoS aanvallen zien...
- Stressbestendig zijn en je eigen belangrijkheid niet overschatten. Zo erg is het vaak ook weer niet als je even uit de lucht bent. Het is natuurlijk leuk trots zijn op een uptime van 100%, dat enkele gegeven trekt niet één extra bezoeker of een knaak in kassa hoor.
- Overdimensioneren van je resources. Zo duur zijn die namelijk echt niet meer. Niks mis mee om onder normaal bedrijf op 10 of 20% van je server- en schijfcapaciteit te draaien. Dan kun je niet alleen best een klappie hebben, maar is het écht een ddos, dan zie je hem eerder aankomen.
- Zorgen dat je wat defensie betreft minstens de NAVO-norm haalt. Een fatsoenlijk datacenter zoeken waar ze niet enkel in de folder, maar ook in het echie een heel arsenaal truuken klaar hebben staan om een aanval af te slaan.
- Zorgen dat je zelf wat mitigatiescriptjes hebt. Wat dat betreft heb ik hier zelf op security.nl eens een prachtige tip gekregen die werkte als glorix op de ddos.
- Ddos is een vorm van stalking. De aanvaller wil je gek maken. Het gevoel geven dat ie de baas over je kan spelen. Zorg dat je de psychologie van de aanvallers leert. Een stalker verdrijf je door zijn zwakste punt te kennen: hij wil je bang maken omdat hij zelf bang is. Straal negeren en je juist niet gek laten maken ketst af als een laser op een spiegel.
- Ken jezelf. Hoe vaak ik niet gelijk dacht, fuk, een ddos! En dan was het heel iets anders!
- Het hele internet, en alle voorouders daarvan, zijn bedacht om hele kernoorlogen te slim af te zijn. Zie de betrekkelijkheid van je eigen belangrijkheid van altijd bereikbaar moeten zijn vooral op de schaal van een kernoorlog, in de wetenschap dat je die geheid gaat overleven als het opgelost is.
- Als je aan de knoppen zit, zorg dat je een bordje voor briesende managers klaar hebt met "kop dicht tot we klaar zijn", dat je snel kunt neerzetten. Of superlijm gewoon zijn kantoor dicht.
- Haal genoegen uit het inschatten van de aanvaller, vooral omdat ddossen geld kost. Ben je goed voorbereid, dan kunnen die kosten flink oplopen, vooral als een aanval lang moet duren. Maar een stalker nooit laten merken dat je in je vuistje lacht!
- Doe enkel aangifte als je denkt dat er meer mee gebeurt dan statistiekjes voor politici maken want die snappen toch niks.
- Hou je gebruikers te allen tijde goed op de hoogte. Maar zonder boze paniekverhalen want de vijand leest mee. Een brave gebruiker snapt "er is een zekering stuk en die moet helemaal uit amerika komen" ook. Zolang een gebruiker maar wát hoort en weet dat je met je waterpomptang onder de auto ligt en hoopt dat de krik niet omvalt, kunnen gebruikers verbluffend veel begrip en geduld tonen. Maar laat altijd wat weten, al is het maar via een kneuzenmedium als facebook of zo.
- Gebruik je opgedane ervaring om de volgende keer nòg voorbereider te zijn. Ofwel, hou je hoofd koel zodat je de film van het hele scenario later terug kunt spoelen. Maak aantekeningen.
Verkoop daarna je oorlogsverslag voor vet geld aan security specialisten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Netwerkbeheerder
Netwerk Services
AIVD
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?