Insights, technology, people and more

Altijd up-to-date met onze laatste artikelen.

@
Bescherm uzelf tegen DDoS aanvallen

Bescherm uzelf tegen DDoS aanvallen

20 April 2012 door in Security

Een Distributed Denial of Service (DDoS) aanval is een poging om een server of netwerk onbereikbaar te maken door het vanuit verschillende locaties massaal maken van verbindingen naar een bepaalde website of service. Helaas zijn DDoS aanvallen een veel voorkomend fenomeen op het internet en kunnen een ernstige bedreiging voor bedrijfskritische internetdiensten vormen. Door deze vorm van criminaliteit is het op relatief eenvoudige wijze mogelijk veel overlast te veroorzaken en schade toe te brengen. Zelfs grote providers kunnen aanzienlijke overlast ondervinden, zoals een collega-provider helaas recent moest ondervinden. Niet alleen de dienst of website die het slachtoffer is van een DDoS aanval lijdt eronder, maar ook andere diensten op dezelfde server of binnen hetzelfde netwerk kunnen hier overlast van ondervinden. In het verleden was het bovendien meestal erg moeilijk om dergelijke aanvallen af te slaan zonder de getroffen dienst offline te halen.

ddos

Er bestaan inmiddels oplossingen die speciaal ontwikkeld zijn om afwijkingen in netwerkverkeer, zoals DDoS aanvallen, te detecteren en af te slaan. Eén van de grootste leveranciers van dergelijke toepassingen is Arbor Networks. Wij beschikken sinds enige tijd over apparatuur van deze fabrikant. Deze oplossing kan op zeer gedetailleerd niveau het netwerkverkeer analyseren, aanvallen of andere afwijkingen zeer snel detecteren en, als deze zich voordoen, isoleren en afslaan. Het isoleren van het dataverkeer gebeurt vervolgens op zodanige wijze dat alleen vijandig verkeer geblokkeerd wordt en legitiem bezoek gewoon doorgang krijgt. De getroffen dienst blijft gewoon beschikbaar.

Permanente bewaking en ingrijpen wanneer nodig

Onze Arbor Peakflow SP oplossing is opgebouwd uit twee componenten: een Collector Platform (CP) en een Threat Management System (TMS). Het CP systeem zorgt voor permanente monitoring van het dataverkeer om onregelmatigheden te signaleren; als het CP een aanval signaleert, kan deze dit doorgeven zodat het TMS de aanval kan neutraliseren. Als dit zich voordoet, neemt de TMS al het betrokken dataverkeer ongefilterd van de routers over en scheidt het legitieme verkeer van het vijandige verkeer.

Arbor Networks DDoS schema

Peakflow SP Collector Platform

Het CP zorgt voor permanente bewaking en analyse van het netwerkverkeer. Het verkeer dat via de routers het netwerk in of uit gaat wordt geanalyseerd op verschillende factoren. Op zeer gedetaileerd niveau wordt het netwerkverkeer geïnpecteerd om afwijkingen ten opzichte van regulier gebruik te detecteren. Het CP ondersteunt een groot aantal protocollen en herkent een groot aantal applicaties. De toepassing wordt permanent van updates voorzien om altijd op de hoogte te zijn van de meest actuele bedreigingen.

Naast de al aanwezige logica op het device zelf, is het ook aangesloten op een wereldwijd netwerk van andere Arbor Peakflow SP systemen. Dit systeem, het Active Threat Level Analysis System (ATLAS) wordt actief beheerd wordt door specialisten van Arbor Networks zelf. In de bijbehorende portal worden mondiale trends verzameld uit actuele gegevens van het grootste deel van de belangrijkste ISPs ter wereld. Ruim 70% van het totale internetverkeer wordt geanalyseerd door het ATLAS systeem, waardoor dit systeem een uitzonderlijk goed inzicht heeft in actuele bedreigingen over het gehele internet. Het ATLAS systeem maakt het bijvoorbeeld mogelijk om op mondiaal niveau te signaleren of er grootschalige aanvallen plaatsvinden door botnets.

Als ontdekt wordt dat uw diensten of platformen onder vuur liggen, kan het CP een signaal afgeven aan de routers en het Threat Management System zodat de aanval opgevangen en geneutraliseerd kan worden.

Threat Management System (TMS)

Het Threat Management System is het feitelijke wapen tegen DDoS aanvallen. Op het moment dat het CP ervoor zorgt dat het TMS in actie komt, wordt al het verkeer richting betrokken servers via het TMS gerouteerd. Deze is in staat om legitiem verkeer te onderscheiden van vijandig verkeer. Het TMS gebruikt verschillende manieren om een aanval af te slaan, waaronder:

  • Blokkeren van bekende hosts. Door het gebruik van blacklists en whitelists is het TMS in staat om bijvoorbeeld verkeer afkomstig van zombies en botnetwerken te blokkeren en dat van geautoriseerde hosts door te laten.
  • Bescherming op applicatie-niveau. Het TMS bevat complexe filters die zelfs bij vervalst verkeer in staat zijn om de druk op een dienst of applicatie te beperken en het gevaar te neutraliseren.
  • Zelflerende bescherming. Doordat er doorlopend geleerd wordt van netwerk- en verkeerspatronen, wordt er kennis opgebouwd die bij ieder incident ingezet wordt om afwijkend verkeer te kunnen blokkeren.
  • Bewapening tegen HTTP aanvallen. Het systeem herkent een groot aantal HTTP-specifieke aanvalsmethoden en kan deze blokkeren.
  • Bescherming van andere diensten. Aanvallen op onder andere DNS systemen, SIP applicaties en directory services kunnen worden herkend en afgeweerd.
  • Gebruik van geografische informatie. Afhankelijk van de oorsprong van het dataverkeer kan het TMS dit blokkeren om aanvallen af te slaan.

Het TMS is uiteraard voorzien van ondersteuning voor zowel IPv4 als IPv6. Door de combinatie van de hierboven genoemde technieken, is het systeem in staat om alleen legitiem verkeer door te laten, terwijl kwaadaardig verkeer geblokkeerd wordt. Bovendien worden de andere onderdelen van het netwerk ontlast van de aanval doordat routers, switches, firewalls en servers niet meer direct te maken krijgen met de aanval. De overlast op andere diensten wordt dus ook beperkt.


Lees ook: In de schaduw van de DDoS aanval: minder zichtbare vormen van cyberaanvallen

Schadebeperking met flexibele maandelijkse afname

De impact van een DDoS aanval op uw dienstverlening kan aanzienlijk zijn. Op het moment dat uw diensten niet bereikbaar zijn, leidt u op vele vlakken schade.

  • Uw dienstverlening is offline. Dit resulteert in schade als gevolg van omzetderving doordat uw klanten niets kunnen bestellen en dit elders gaan doen.
  • Uw personeel wordt onnodig belast. Uw servicedesk krijgt te maken met veel vragen en klachten; uw beheerafdeling heeft het druk met de schade beperken door het nemen van noodmaatregelen. De reguliere productiviteit heeft hieronder te lijden.
  • Uw bestaande klanten verliezen het vertrouwen in u. U loopt hierdoor de kans dat deze op zoek gaan naar een andere partij of leverancier.
  • Uw imago loopt schade op. De kans is groot dat de aanwas van nieuwe klanten terugloopt of stagneert.

De kosten kunnen snel oplopen, waardoor het al heel snel de moeite loont om een anti DDoS oplossing in te zetten. De maandelijkse lasten verdienen zich, afhankelijk van hoe vaak u getroffen wordt door DDoS aanvallen, al snel terug. Bovendien hoeft u niet te investeren in extra operationele kosten en dure apparatuur. Door gebruik te maken van onze anti DDoS dienst, kiest u voor een flexibel abonnement dat u eenvoudig kunt aanpassen aan uw actuele behoefte.

ddos_kosten_grafiek

Iets voor u?

Als u met enige regelmaat te maken heeft met aanvallen op uw dienstverlening of bang bent voor de mogelijke impact als dit zou gebeuren, kan de DDoS beschermingsdienst van Cyso de oplossing bieden die uw problemen oplost. Neem voor informatie of een vrijblijvend advies contact op met onze verkoopafdeling. Meer informatie over deze dienst en andere security oplossingen vindt u op onze website


Altijd up-to-date met onze laatste artikelen.

@

Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
vmware enterprise service provider