DDoS aanvallen - wat doen wij?
DDoS-aanvallen worden steeds krachteriger en complexer. Met pieken van honderden gigabits per seconde en aanvallen die soms weken aanhouden wordt het een steeds grotere uitdaging om alle omgevingen online te houden.
In de zomer van 2021 ontvingen wij een serie forse DDoS-aanvallen. De op dat moment beschikbare bescherming bood niet in alle gevallen een passende oplossing. Daarom zijn we terug gegaan naar de tekentafel en hebben samen met onze netwerkleveranciers een flinke uitbreiding van het netwerk en de DDoS protectie uitgewerkt.
De afgelopen maanden hebben we hard gewerkt om onze weerbaarheid tegen DDoS-aanvallen te vergroten. In deze blog vind je interessante achtergrondinformatie over de maatregelen die we hebben genomen en de motivatie en voordelen daarvan.
Introductie
Er zijn veel verschillende mogelijkheden om je te wapenen tegen een DDoS, elk met eigen voor- en nadelen, technische implicaties en financiële consequenties. Je wilt zoveel mogelijk aanvalsverkeer filteren, maar zonder daarmee de situatie juist te verergeren door valse positieven. We onderzochten een aantal routes:
Opties
1. Verkeer van ‘bekende boefjes’ scheiden
Ook wel bekend als een ‘naugthy port’ (lees meer in dit interessant artikel). Hiermee wordt verkeer van partijen waarvan de reputatie betwijfeld kan worden gescheiden van het andere verkeer. Tijdens een aanval is er mogelijk impact merkbaar richting deze partijen en daarmee hopelijk minder richting de rest van het Internet.
Dat verklapt al een nadeel: je bent nooit zeker of je de juiste partijen op de naughty port hebt en bent vaak afhankelijk van de betreffende partijen om het verkeer via deze route te laten lopen. Het is daarbij een vrij arbeidsintensieve oplossing die vraagt om continue analyse van het verkeer en onderhoud van de routes.
Bij de aanval in de zomer van 2021 kwamen we als bron ook veel misbruikte virtuele servers van de grote cloudproviders als AWS en GCP tegen. We zien in de normale situatie veel verkeer van en naar deze partijen dus die wil je niet op een naughty port, maar je kunt ze dus blijkbaar ook niet volledig vertrouwen.
2. Verkeer van ‘vertrouwde’ partijen scheiden
Optie 1 omgedraaid. Ons verkeersprofiel laat logischerwijs vooral uitgaand verkeer zien naar de grote Nederlandse en Belgische accessproviders. De kans is relatief klein dat er tijdens een aanval een hoeveelheid verkeer van deze partijen komt die problematisch is. Wanneer we erin slagen om het verkeer aan deze partijen via een aparte verbinding te laten lopen dan beperken we tijdens een aanval de impact al met ruim 80%: de bekende/vertrouwde partijen blijven bereikbaar en alleen richting de minder gebruikte en minder bekende partijen is eventueel impact merkbaar.
Nadeel is dat er niet één aansluiting te krijgen is waarop alle gewenste partijen zijn aangesloten, deze optie vraagt dus al snel om meerdere verbindingen met bijbehorende financiële consequenties. En niet alle partijen zijn even toegankelijk: probeer maar eens te peeren met VodafoneZiggo of Deutsche Telekom… Deze partijen maken het steeds lastiger om via Internet Exchanges met hun netwerk te koppelen ten faveure van hun eigen commerciële verbindingsmogelijkheden.
3. Grove filtering
Bij veel aanvallen is wel een gemene deler te vinden: er wordt 1 specifiek IP-adres, -range of klant aangevallen, veel verkeer komt uit landen als China, Rusland of India, of een specifieke port (bijvoorbeeld UDP/53 t.b.v. DNS) wordt aangevallen. Door op hoog niveau een filter te plaatsen is heel efficiënt aanvalsverkeer tegen te houden. De impact wordt hiermee beperkt tot deze ene gemene deler. Dat kan meevallen (een enkele server is meestal wel te missen) maar ook heel erg tegenvallen (door een heel netwerk van DNS-verkeer onthouden zijn alsnog heel veel diensten niet bereikbaar)
4. Fijnmazige filtering & scrubbing
Door het verkeer fijnmaziger te controleren kunnen de nadelen van de vorige optie worden beperkt. Bijvoorbeeld door een aantal filters uit de voorgaande optie te combineren met aanvullende voorwaarden (filter alleen het verkeer vanuit Rusland aan het doel IP op poort UDP/53 indien de aanvraag meer dan 3x binnen 5 minuten wordt herhaald). Ook is er software beschikbaar dat aanvalspatronen herkend, vergelijkt met de ‘normale situatie’ zonder aanval en op die basis aanvalsverkeer kan filteren.
Nadeel is dat dit veel rekenkracht kost, veel specifieke kennis vereist van aanvalstechnieken en daarmee bijzonder onderhoudsintensief is. De karakteristiek van een DDoS-aanval verandert steeds en de filters moeten daar continue op worden aangepast. Het reële gevaar is dat je daarmee achter de feiten aan gaat lopen: bij een nieuw type aanval moeten de filters daarvoor nog ontworpen of continue getuned worden.
5. Magic Blackbox
Meerdere aanbieders van DDoS-oplossingen bieden een haast magische dienst aan. Je stopt er aanvalsverkeer in en het komt er schoon weer uit. Dat zou natuurlijk heel goed kunnen gaan, zeker als door deze partij alle voorgenoemde en overige opties worden gecombineerd en actief worden beheerd en onderhouden. Voeg 100 partijen als DirectVPS bij elkaar en je hebt meer dan voldoende budget en mogelijkheden om een heel goede oplossing te ontwikkelen.
Het probleem is echter: je hebt geen idee wat er precies gebeurt, hoe de filtering wordt gedaan, en wat de impact daarvan is voor de eindgebruiker. De betreffende aanbieders zijn ook niet heel scheutig met het delen van details. Te begrijpen, want je wilt de aanvallers niet wijzer maken dan noodzakelijk, maar wel ‘lastig’ in het informeren van gebruikers en voorkomen van onverwacht gedrag tijdens aanvallen.
En dan?
OK, 5 opties op tafel die vast nog niet uitputtend zijn. En dan?
We hebben er over nagedacht, gebrainstormd en gespard. En uiteindelijk besloten dat we ze het liefst allemaal willen combineren. Uiteindelijk willen we de beste zijn en nergens concessies hoeven doen. En als bouwers van platformen die ontworpen worden voor 100% uptime is downtime accepteren door externe invloeden zoals een DDoS geen sinecure. Dus zorg je voor goed gereedschap, ongeacht de investering in tijd en geld.
Maatregelen
We hebben peerings gerealiseerd met onder andere KPN, VodafoneZiggo, DTAG, Delta, Online.nl, Surfnet, Cambrium en Solcon. Verkeer tussen ons en deze vertrouwde partijen wordt daardoor via de kortst mogelijke route afgehandeld, afgescheiden van ‘de rest van de wereld’.
We implementeerden meer BGP communities tussen ons en onze bandbreedteleveranciers. Waar we voorheen alleen een IP konden blackholen, kunnen we nu veel fijnmaziger invloed uitoefenen op de routes naar ons netwerk. Bijvoorbeeld door tijdelijk verkeer vanuit bepaalde regio’s of partijen te blokkeren. Of om te leiden, zodat de bulk van het aanvalsverkeer over één ‘dirty verbinding’ kan worden geleid.
We hebben de totale netwerkcapaciteit vergroot door routers en switchstacks te vervangen. We hebben aanvullende verbindingen gerealiseerd, zodat als er aanval komt deze over meer verbindingen kan worden verdeeld en we daarin nog meer sturingsmogelijkheden hebben.
En we hebben een Magic Blackbox geregeld, als last resort. Kunnen we een aanval niet zelf afhandelen met genoemde opties, dan routeren we binnen een paar minuten al het verkeer (of een deel daarvan) naar een partij die nog veel meer bandbreedte ter beschikking heeft en een berg specifieke DDoS filters onderhoudt.
Op dit moment wordt gewerkt aan de implementatie van een eigen anycast netwerk om de bereikbaarheid van onze DNS-servers robuuster te maken. Dit is een netwerk van servers verdeeld over meer dan 20 datacentra over de gehele wereld – daarover binnenkort meer.
De komende maanden breiden we ons aanbod van netwerkbeveiliging uit met het productgamma van Fortinet. Na bovenstaande grove filtering kunnen we middels deze producten fijnmazig (tot op OSI layer 7) verder filteren.
Tot slot
Met alle aanpassingen hebben we ons netwerk significant sterker gemaakt. Flexibiel bij aanvallen, klaar voor nog veel meer uitbreiding, met momenteel een factor 100 aan overcapaciteit.
Ondanks alle inzet en investeringen levert dit nooit 100% garantie op een perfecte oplossing voor elke situatie. Om zo goed mogelijk voorbereidt te zijn op een mogelijke DDoS-aanval hebben we een quickscan ontwikkelt die binnen 15 minuten weergeeft hoe goed een bedrijf/netwerk beschermd is.
Zodat jouw servers altijd bereikbaar zijn.
Neem contact op met onze specialisten voor deze gratis scan.