Wat is een DDoS-aanval?

DDoS staat voor Distributed Denial of Service. Het idee is simpel: een aanvaller stuurt zoveel verkeer naar een website of online dienst dat die het niet meer aankan. Vergelijk het met een winkel waar plotseling duizenden mensen tegelijk door de deur proberen te komen. Echte klanten komen er niet meer doorheen, en uiteindelijk bezwijkt de deur.

Het woord “distributed” is hier belangrijk. Het verkeer komt niet vanaf één computer, maar vanaf duizenden of zelfs miljoenen apparaten tegelijk. Die apparaten zijn vaak onderdeel van een zogenaamd botnet: een netwerk van gehackte computers, routers, beveiligingscamera’s en andere apparaten die zonder medeweten van de eigenaar worden ingezet.

Hoe werkt een DDoS-aanval?

Er zijn grofweg drie typen DDoS-aanvallen, elk gericht op een ander deel van de infrastructuur.

1. Volumetrische aanvallen (de “watervloed”)

Dit is de meest bekende variant. De aanvaller stuurt een enorme hoeveelheid data naar het doelwit, vaak tientallen of honderden gigabits per seconde. Het doel is simpel: de internetverbinding volledig verzadigen. Bekende technieken zijn DNS amplification en NTP reflection, waarbij de aanvaller kleine verzoeken stuurt naar openbare servers die vervolgens veel grotere antwoorden naar het slachtoffer sturen. Een soort digitale megafoon.

2. Protocol-aanvallen (de “handshake-truc”)

Deze aanvallen misbruiken zwakheden in netwerkprotocollen. Het bekendste voorbeeld is de SYN flood. Normaal gesproken begint elke internetverbinding met een “drieweg-handshake”: de client zegt hallo (SYN), de server antwoordt (SYN-ACK) en de client bevestigt (ACK). Bij een SYN flood stuurt de aanvaller miljoenen SYN-verzoeken maar voltooit de handshake nooit. De server blijft wachten op antwoorden die nooit komen en raakt zijn capaciteit kwijt.

3. Applicatielaag-aanvallen (de “slimme” aanval)

Dit type is lastiger te detecteren omdat het verkeer eruitziet als normaal websitebezoek. De aanvaller stuurt ogenschijnlijk gewone HTTP-verzoeken, maar dan heel veel tegelijk, of verzoeken die extra zwaar zijn om te verwerken. Denk aan het massaal opvragen van zoekresultaten of het laden van pagina’s die veel databasequeries vereisen. Omdat elke individuele request er “normaal” uitziet, is het moeilijk om kwaadaardig verkeer van echt bezoek te onderscheiden.

Waarom worden DDoS-aanvallen uitgevoerd?

De motivatie verschilt. Soms is het puur financieel: criminelen dreigen met een aanval en eisen losgeld om ermee te stoppen (zogenaamde ransom DDoS). Andere aanvallen zijn ideologisch gemotiveerd, denk aan hacktivisten die overheidssites platleggen als protest. En soms is het gewoon sabotage, een concurrent die je webshop wil platleggen tijdens Black Friday, of een ontevreden ex-klant.

Wat het extra zorgwekkend maakt: DDoS-as-a-Service is een ding. Voor een paar tientjes per maand kun je online een aanval “bestellen” op een doelwit naar keuze. De drempel is dus schrikbarend laag.

Wat zijn de gevolgen?

De impact hangt af van je situatie. Voor een consument met een website of kleine webshop betekent het dat je site uren of zelfs dagen onbereikbaar kan zijn. Vervelend, maar meestal te overzien.

Voor bedrijven met online diensten liggen de gevolgen een stuk zwaarder. Elke minuut downtime kost omzet. Klanten raken gefrustreerd en stappen over naar de concurrent. Interne systemen die afhankelijk zijn van dezelfde infrastructuur kunnen meevallen. En dan is er nog de reputatieschade: als je dienst regelmatig plat gaat, verlies je het vertrouwen van je klanten. Uit onderzoek blijkt dat de gemiddelde kosten van een DDoS-aanval voor een bedrijf in de tienduizenden euro’s lopen, en voor grotere organisaties kan dat oplopen tot honderdduizenden of meer.

Hoe bescherm je jezelf tegen DDoS?

Het slechte nieuws: je kunt een DDoS-aanval niet voorkomen. Iedereen met een internetverbinding is in principe een doelwit. Het goede nieuws: je kunt de impact ervan tot vrijwel nul reduceren. Dit is hoe.

Voor iedereen (ook als je “gewoon” een website hebt)

Gebruik een CDN met DDoS-bescherming. Een Content Delivery Network zoals Cloudflare zet een beschermingslaag tussen het internet en jouw server. Verkeer loopt eerst via het CDN-netwerk, waar kwaadaardig verkeer wordt gefilterd voordat het jouw server bereikt. Voor de meeste websites is dit de eenvoudigste en meest effectieve maatregel. Cloudflare biedt zelfs in het gratis plan al basis DDoS-bescherming.

Houd je software up-to-date. Verouderde WordPress-plugins, een oude PHP-versie of een ongepatchte server maken je niet alleen kwetsbaar voor hacks, maar ook voor DDoS. Sommige aanvallen misbruiken specifieke softwarekwetsbaarheden om met minimaal verkeer maximale schade aan te richten.

Verberg je oorspronkelijke IP-adres. Als een aanvaller het IP-adres van je server kent, kan die het CDN omzeilen en je server rechtstreeks aanvallen. Zorg ervoor dat je echte server-IP nergens publiekelijk zichtbaar is, niet in DNS-records, niet in e-mailheaders, nergens.

Voor bedrijven en organisaties

Investeer in een professionele DDoS-mitigatie-oplossing. Cloudflare, in combinatie met een Web Application Firewall (WAF), biedt geavanceerde bescherming die automatisch aanvallen detecteert en blokkeert. De WAF filtert daarnaast ook verkeer op applicatieniveau, wat essentieel is tegen de eerder genoemde applicatielaag-aanvallen.

Stel rate limiting in. Beperk het aantal verzoeken dat één IP-adres in een bepaalde periode mag doen. Dit stopt niet de grootste volumetrische aanvallen, maar het is zeer effectief tegen applicatielaag-aanvallen en brute-force pogingen.

Zorg voor een incident response plan. Weet van tevoren wat je doet als het misgaat. Wie belt wie? Welke systemen hebben prioriteit? Hoe communiceer je naar klanten? Een aanval is niet het moment om dit voor het eerst te bedenken.

Monitor je verkeer continu. Ongebruikelijke pieken in verkeer, veel verzoeken vanaf dezelfde regio’s of een plotselinge toename van 404-errors kunnen vroege signalen zijn. Hoe sneller je een aanval detecteert, hoe sneller je kunt handelen.

Overweeg redundantie. Verdeel je diensten over meerdere servers en locaties. Als één server wordt aangevallen, kunnen andere het overnemen. In combinatie met Cloudflare’s load balancing kun je verkeer automatisch omleiden naar gezonde servers.

Wat te doen tijdens een aanval?

Als het toch misgaat, zijn dit de eerste stappen:

Activeer je DDoS-bescherming (als je dat nog niet hebt gedaan). In Cloudflare kun je de “Under Attack Mode” inschakelen, die extra verificatie toevoegt voor alle bezoekers.

Analyseer het type aanval. Is het volumetrisch? Protocol-gebaseerd? Applicatielaag? De juiste reactie hangt af van het type. Je DDoS-mitigatiedienst kan hier doorgaans bij helpen.

Blokkeer niet zomaar IP-adressen. Bij een gedistribueerde aanval komen verzoeken van duizenden verschillende IP’s. Handmatig blokkeren is dweilen met de kraan open. Laat je mitigatiedienst het zware werk doen.

Communiceer naar je klanten. Een korte melding op social media of via e-mail dat je op de hoogte bent en eraan werkt, doet meer voor je reputatie dan stilte.

De toekomst van DDoS

DDoS-aanvallen worden groter, slimmer en goedkoper om uit te voeren. De opkomst van het Internet of Things (IoT) zorgt voor steeds grotere botnets, er staan inmiddels miljarden apparaten online waarvan een flink deel slecht beveiligd is. Tegelijkertijd worden aanvallen complexer: in plaats van één type aanval zetten aanvallers steeds vaker meerdere technieken tegelijk in (zogenaamde multi-vector aanvallen).

Maar de verdediging groeit mee. Cloud-gebaseerde bescherming zoals Cloudflare kan inmiddels aanvallen van meerdere terabits per seconde opvangen. Machine learning wordt ingezet om aanvallen sneller te detecteren en te onderscheiden van legitiem verkeer. De sleutel is: wacht niet tot het je overkomt.

---

Hulp nodig?

Wil je weten of jouw website of online dienst goed beschermd is tegen DDoS-aanvallen? Of zoek je hulp bij het opzetten van Cloudflare? Neem gerust contact op met TechTovenaar. Ik help je graag met het inrichten en beheren van een solide Cloudflare-setup, zodat jij je kunt richten op waar je goed in bent.