"Een derde van het internet wordt aangevallen. Miljoenen netwerkadressen werden gedurende een periode van twee jaar onderworpen aan gedistribueerde denial-of-service (DDoS)-aanvallen, " meldt Warren Froelich op de UC San Diego News Center-website. Een DDoS is een soort denial-of-service (DoS)-aanval waarbij de aanvaller een aanval uitvoert met behulp van vele bronnen verspreid over het netwerk.

Maar is de journalist terecht in zijn alarmerende reactie? Ja en nee. Als een derde van het internet wordt aangevallen, dan zou een op de drie smartphones niet werken, en één op de drie computers zou offline zijn. Als we om ons heen kijken, we kunnen zien dat dit duidelijk niet het geval is, en als we nu zo sterk afhankelijk zijn van onze telefoons en Wikipedia, het is omdat we internet zijn gaan zien als een goed functionerend netwerk.

Nog altijd, het DDoS-fenomeen is echt. Recente aanvallen getuigen hiervan, zoals de aanval van het botnet Mirai op de Franse webhost OVH en de Amerikaanse webhost DynDNS. De websites van klanten van deze servers waren enkele uren niet bereikbaar.

Waar het brononderzoek echt naar keek, was het verschijnen van IP-adressen in de sporen van DDoS-aanvallen. Over een periode van twee jaar, vonden de auteurs de adressen van twee miljoen verschillende slachtoffers, van de 6 miljoen servers die op internet worden vermeld.

Files op de informatiesnelweg

Eenheden van gegevens, pakketten genoemd, circuleren op het internetnetwerk. Wanneer al deze pakketten naar dezelfde plaats willen gaan of hetzelfde pad willen volgen, congestie optreedt, net als de files die aan het einde van een werkdag ontstaan.

Opgemerkt moet worden dat het in de meeste gevallen erg moeilijk is, bijna onmogelijk, om onderscheid te maken tussen normaal verkeer en denial-of-service-aanvalsverkeer. Verkeer gegenereerd door "flash crowd"- en "slashdot-effect"-fenomenen is identiek aan het verkeer dat wordt waargenomen tijdens dit type aanval.

Echter, deze analogie gaat alleen zo ver, omdat pakketten vaak in stromen zijn georganiseerd, en de congestie op het netwerk kan ertoe leiden dat deze pakketten worden vernietigd, of het maken van nieuwe pakketten, waardoor er nog meer congestie ontstaat. Een denial-of-service-aanval op het web is daarom veel moeilijker te verhelpen dan een verkeersopstopping.

Dit type aanval verzadigt de netwerkverbinding die de server met internet verbindt. De aanvaller doet dit door een groot aantal pakketten naar de gerichte server te sturen. Deze pakketten kunnen direct worden verzonden als de aanvaller een groot aantal machines controleert, een botnet.

Aanvallers gebruiken ook de versterkingsmechanismen die zijn geïntegreerd in bepaalde netwerkprotocollen, zoals het naamgevingssysteem (DNS) en kloksynchronisatie (NTP). Deze protocollen zijn asymmetrisch. De verzoeken zijn klein, maar de reacties kunnen enorm zijn.

Bij dit type aanval een aanvaller maakt contact met de DNS- of NTP-versterkers door zich voor te doen als een server die is aangevallen. Het krijgt dan veel ongevraagde reacties. Daarom, zelfs met een beperkte connectiviteit, de aanvaller kan een aanzienlijk verkeersniveau creëren en het netwerk verzadigen.

Er zijn ook "diensten" die de mogelijkheid bieden om denial of service-aanvallen te kopen met verschillende niveaus van intensiteit en duur, zoals blijkt uit een onderzoek dat Brian Krebs uitvoerde nadat zijn eigen site was aangevallen.

Wat zijn de gevolgen?

Voor internetgebruikers, het belangrijkste gevolg is dat de website die ze willen bezoeken niet beschikbaar is.

Voor het slachtoffer van de aanslag, het belangrijkste gevolg is een inkomensverlies, die verschillende vormen kan aannemen. Voor een commerciële website bijvoorbeeld, dit verlies is te wijten aan een gebrek aan bestellingen in die periode. Voor andere websites, het kan het gevolg zijn van het mislopen van advertentie-inkomsten. Met dit type aanval kan een aanvaller advertenties gebruiken in plaats van een andere partij, waardoor de aanvaller kan profiteren van de inkomsten die worden gegenereerd door ze weer te geven.

Er zijn er een paar geweest, zeldzame institutionele aanvallen. Het meest gedocumenteerde voorbeeld is de aanval op Estland in 2007, die werd toegeschreven aan de Russische regering, hoewel dit onmogelijk te bewijzen was.

Direct financieel gewin voor de aanvaller is zeldzaam, echter, en is gekoppeld aan de losgeldeis in ruil voor het beëindigen van de aanval.

Is het serieus?

De impact van een aanval op een dienst hangt af van hoe populair de dienst is. Gebruikers ervaren een aanval op laag niveau dan ook als hinderlijk als ze van de betreffende dienst gebruik moeten maken.

Alleen bepaalde grootschalige gebeurtenissen, de meest recente is het Mirai-botnet, effecten hebben die door een veel groter publiek worden waargenomen.

Veel servers en services bevinden zich in privéomgevingen, en zijn daarom niet van buitenaf toegankelijk. Enterprise-servers, bijvoorbeeld, worden zelden getroffen door dit soort aanvallen. De belangrijkste factor voor kwetsbaarheid ligt daarom in het uitbesteden van IT-diensten, die een afhankelijkheid van het netwerk kunnen creëren.

Eindelijk, een aanval met een zeer grote impact zou, Allereerst, onmiddellijk worden gedetecteerd (en daarom vaak binnen enkele uren worden geblokkeerd), en uiteindelijk zou worden beperkt door zijn eigen activiteiten (aangezien de communicatie van de aanvaller ook zou worden geblokkeerd), zoals blijkt uit het oude voorbeeld van de SQL Slammer-worm.

uiteindelijk, het onderzoek toont aan dat de verschijnselen van denial-of-service-aanvallen door verzadiging zich de afgelopen twee jaar herhaaldelijk hebben voorgedaan. Dit nieuws is belangrijk genoeg om aan te tonen dat dit fenomeen moet worden aangepakt. Toch is dit geen nieuwe gebeurtenis.

andere verschijnselen, zoals routemanipulatie, dezelfde gevolgen hebben voor gebruikers, zoals toen Pakistan Telecom YouTube-adressen kaapte.

Goede IT-hygiëne

Helaas, er is geen zekere vorm van bescherming tegen deze aanvallen. Uiteindelijk, het komt neer op een kwestie van servicekosten en de hoeveelheid middelen die beschikbaar worden gesteld voor legitieme gebruikers.

De "grote" serviceproviders hebben zoveel middelen dat het voor een aanvaller moeilijk is om ze te overrompelen.

Nog altijd, dit is niet het einde van het internet, verre van. Echter, dit fenomeen moet worden beperkt. Voor gebruikers, goede IT-hygiënepraktijken moeten worden gevolgd om de risico's van compromittering van hun computer te beperken, en dus gebruikt om deel te nemen aan dit soort aanvallen.

Het is ook belangrijk om na te gaan welk type bescherming uitbestede dienstverleners hebben vastgesteld, ervoor te zorgen dat ze over voldoende capaciteit en beschermingsmiddelen beschikken.

Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees het originele artikel.