17 feb. 1999
2 minuten
Een anti-DDoS-manifest is nodig om op een proactieve en collectieve manier DDoS-aanvallen te lijf te gaan en onze vitale infrastructuur te beschermen. Dat stellen onderzoekers van de Universiteit Twente, SIDN en SurfF. Zij pleiten voor een DDoS-radar.
DDoS-aanvallen (distributed denial of service) worden steeds groter en complexer: het gaat al over aanvallen met meer dan een terabit per seconde. Vergelijk dit met recente aanvallen op banken, waarbij zo’n 40 gigabit per seconde – 25 maal minder – op de servers werd ‘afgevuurd’, en het is duidelijk dat de kracht toeneemt.
Wat het complex maakt, is dat DDoS-aanvallers zeer uiteenlopende bronnen gebruikt, tot aan slecht beveiligde computers van particulieren of de sterk groeiende aantallen apparaten die met het internet verbonden zijn.
Specialisten op het gebied van internetveiligheid Cristian Hesselman (SIDN Labs), Roland van Rijswijk (Surfnet), en Jeroen van der Ham, Jair Santanna en Aiko Pras (Universiteit Twente) pleiten daarom voor een DDoS-radar:
‘Onze positie is dat de Nederlandse vitale infrastructuur op dit moment onvoldoende in staat is om steeds grotere en complexere DDoS-aanvallen duurzaam het hoofd te bieden’, stellen ze op SIDN labs.nl . ‘Dit komt omdat vitale aanbieders vooral reactief DDoS-aanvallen bestrijden, meestal door het DDoS-verkeer dat ze te verwerken krijgen door te sturen naar een commercieel DDoS-verwerkingsbedrijf dat het legitieme verkeer scheidt van het aanvalsverkeer. Daarnaast werken vitale aanbieders vaak individueel en hebben ze geen actueel inzicht in DDoS-aanvallen bij andere vitale aanbieders. Deze reactieve en individuele strategie vergroot de kans dat aanbieders onvoldoende voorbereid zijn op een aanval en dat er daardoor een verstoring van hun dienstverlening optreedt. Daarnaast hebben commerciële DDoS-verwerkingsbedrijven er een financieel belang bij dit model te handhaven, wat betekent dat een verandering van de vitale aanbieders zelf zal moeten komen.
‘Wij stellen daarom voor dat de Nederlandse vitale infrastructuur een proactieve en collectieve DDoS-bestrijdingsstrategie introduceert op basis van de ‘nationale DDoS-radar’, een nog te ontwikkelen systeem dat voortdurend ‘fingerprints’ maakt van potentiële en actieve DDoS-bronnen en die automatisch deelt met aangesloten vitale aanbieders. De fingerprints representeren bijvoorbeeld de internetadressen van DDoS-bronnen, identifiers van de netwerken waar ze staan en gedetailleerde verkeerspatronen van het DDoS-verkeer dat ze genereren. De DDoS-radar maakt fingerprints op basis van sensoren van vitale aanbieders, zoals DDoS-logs, ‘crawlers’ die het internet afzoeken naar booter-sites, en ‘honeypots’ die besmette IoT-apparaten aantrekken en in kaart brengen.’
De auteurs bepleiten een gezamenlijke actie van partners uit het Trusted Networks Iniative, het Dutch Continuity Board, de NaWas (nationale ‘wasstraat’ tegen DDoS-aanvallen), banken, overheid en de wetenschap.
Anderen lazen ook
