Posted on

DDoS-aanvallen: Wat zijn ze en hoe voer je DDoS uit?

, Author

Updated 10/6/2020

Een DDoS-aanval (Distributed Denial-of-Service) lijkt sterk op een DoS-aanval (Denial-of-Service), met als enige verschil dat dezelfde aanval door veel verschillende mensen (of botnets) op exact hetzelfde moment wordt uitgevoerd. DDoS is dus een kwestie van schaal.

Nadat u een service hebt geselecteerd die u wilt aanvallen, volgt u deze vijf stappen om een DoS-aanval uit te voeren:

  1. Lanceer een DoS-tool, zoals LOIC.

  2. Specificeer het IP-adres van de server die u wilt aanvallen.

  3. Kies een poort waarvan u weet dat deze open is en inkomende verbindingen accepteert.

  4. Selecteer TCP.

  5. Klik op de knop om de aanval te starten.

Om een DDoS-aanval uit te voeren, doet u hetzelfde als voor een DoS-aanval, maar dan met het hulpprogramma HOIC. Dit is hoe je moet DDoS-en:

  1. Zoek en kies een service.

  2. Selecteer een open poort.

  3. Lanceer HOIC.

  4. Vergroot de Threads.

  5. Doel de gewenste URL.

  6. Verhoog het vermogen naar Hoog.

  7. Selecteer uw Booster.

  8. Monteer de aanval.

Laten we eerst een DoS-aanval doornemen, zodat een DDoS-aanval beter kan worden begrepen.

Wat is een Denial-of-Service-aanval (DoS)?

DoS is een cyberaanval die is bedoeld om een onlinedienst te overweldigen, het systeem te laten crashen en zo de dienstverlening aan klanten, werknemers, enzovoort onmogelijk te maken. Om een DoS-aanval uit te voeren, hoeft u alleen maar:

  1. Een service te vinden en te kiezen.

  2. Een open poort te kiezen.

  3. De service te overrompelen.

In de kern is een DoS-aanval vrij eenvoudig en gemakkelijk uit te voeren. De echte vraag hier is of je genoeg schaalgrootte hebt om je doelsysteem te overweldigen.

Hier volgt een uitsplitsing van elke stap.

Vind en kies een service om te targeten

De eerste stap om een DoS uit te voeren is het vinden van een service die je kunt targeten. Dit moet iets zijn met open poorten en kwetsbaarheden, en dat inkomende verbindingen accepteert.

Enkele diensten die aan deze criteria voldoen zijn:

  • webservers

  • DNS-servers

  • Emailservers

  • FTP-servers

  • Telnet-servers

Wat deze diensten zo gemakkelijk tot doelwit maakt, is dat ze ongeauthenticeerde verbindingen accepteren.

Selecteer een open poort

Bekijk een lijst met open poorten in Windows door de DOS-opdrachtregel te openen, netstat in te voeren en op Enter te drukken. Om de poorten te bekijken waarmee een computer communiceert, typt u netstat -an |find /i “established”.

De poortinstellingen verschillen per programma, maar het algemene idee is over de hele linie hetzelfde. Als je een poort probeert te bereiken, weet je dat hij niet toegankelijk is als “Connecting…” blijft hangen en het venster daarna verdwijnt. Als hij wel bereikbaar is, krijg je een leeg venster of een tekst als “220 ESMTP hier gesproken.”

Als je dat liever hebt, zijn hier drie tools die je kunt gebruiken om open poorten te vinden:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Overbluf the Service

Het liefst zou u een service kiezen die geen maximum heeft voor het aantal verbindingen dat hij toestaat. De beste manier om erachter te komen of een dienst geen bovengrens heeft, is om hem een paar honderdduizend verbindingen te sturen en dan te observeren wat er gebeurt.

Om een optimaal effect te bereiken, moet u specifieke query’s en informatie sturen. Als je bijvoorbeeld een webserver met een zoekmachine als doelwit hebt, vraag dan niet gewoon een webpagina op of druk een paar keer op F5. Vraag een complexe zoekopdracht die een aanzienlijke hoeveelheid paardenkracht gaat kosten om op te lossen. Als dat één keer een merkbare impact heeft op de backend, dan zal honderd keer per seconde de server platleggen.

Je kunt hetzelfde doen tegen een DNS server. Je kunt hem dwingen om complexe DNS queries op te lossen die niet in de cache staan. Als je dat vaak genoeg doet, valt de server uit.

Voor een email service kun je veel grote email bijlagen versturen, als je een legitieme account op de server kunt krijgen.

Als je je niet op een specifieke dienst kunt richten, kun je een host gewoon overspoelen met verkeer, alleen is de aanval misschien niet zo elegant en is er zeker wat meer verkeer nodig.

Als je het systeem eenmaal hebt overweldigd, is de omgeving klaar voor een aanval.

Hoe een DoS aanval uit te voeren

Als je de netwerk footprinting, scanning en enumeratie processen hebt gedaan, zou je een goed idee moeten hebben van wat er gaande is in het netwerk dat je op het oog hebt. Hier is een voorbeeld van een bepaald systeem dat je zou willen aanvallen. Het gaat om 192.168.1.16 (een Windows 2008 Domain Controller en webserver).

Om het aan te vallen, volgt u deze 5 stappen:

1. Start uw favoriete hulpmiddel om systemen aan te vallen. Ik ben dol op het Low Orbit Ion Cannon (LOIC). Dit is het gemakkelijkst te begrijpen, omdat het vrij duidelijk is wat het doet.

Andere DoS-tools die je kunt gebruiken om aan te vallen zijn XOIC, HULK, DDOSIM, R.U.D.Y. en Tor’s Hammer.

2. Geef het IP-adres op van de server die je wilt aanvallen, wat in dit geval 192.168.1.16 is. Zet het vast.

3. Kies een poort waarvan u weet dat deze open is en inkomende verbindingen accepteert. Kies bijvoorbeeld poort 80 voor een web-based aanval.

4. Selecteer TCP om aan te geven welke bronnen moeten worden vastgezet.

5. Klik op de knop om de aanval uit te voeren.

U zult zien dat de opgevraagde gegevens snel toenemen.

De toename van gegevens kan uiteindelijk wat langzamer gaan, deels omdat u resources op de client verbruikt, maar ook omdat de server zelf ofwel geen resources meer heeft of zich tegen uw aanval begint te verdedigen.

Wat te doen als de host zichzelf begint te verdedigen

Sommige hosts kunnen worden ingesteld om naar patronen te zoeken, aanvallen te identificeren, en zichzelf te gaan verdedigen. Om hun verdediging te pareren, kunt u:

  1. De aanval tijdelijk stoppen (door op dezelfde knop te klikken als waarmee u de aanval uitvoerde).

  2. De poort die wordt aangevallen wijzigen.

  3. Verminder de aanval een beetje, wat voor verwarring zorgt.

In ons voorbeeld wijzigt u de poort van poort 80 in poort 88 (als u de schermafbeelding op de geavanceerde poortscanner bekijkt, ziet u dat poort 88 ook open is). Als u klaar bent met het wijzigen van de instellingen, kunt u de aanval hervatten door opnieuw op de aanvalsknop te klikken.

U valt nu een andere poort aan (wat neerkomt op een andere service) op een iets andere manier en met een andere snelheid. Snelheid is alleen belangrijk als je vanaf één client aanvalt.

Dit is hoe een aanval eruit zou zien als je dit soort DoS vanaf slechts één machine uitvoert.

Wat is een DDoS-aanval? Meerdere clients tegelijk aanvallen

Een Distributed Denial of Service (DDoS)-aanval wordt uitgevoerd met het doel een website of dienst plat te leggen door deze te overspoelen met meer informatie of verwerking dan de website aankan. Het is praktisch hetzelfde als een DoS-aanval, met dit verschil dat hij door veel verschillende machines tegelijk wordt uitgevoerd.

Het hangt van de situatie af of één client die op deze manier aanvalt al dan niet onmiddellijk invloed heeft op de prestaties van de server, maar een DDoS-aanval hoeft niet te stoppen bij slechts één client. Typisch zou je deze aanval uitvoeren tegen verschillende poorten op verschillende tijdstippen, en proberen af te drukken of je acties de diensten beïnvloeden. Beter nog, het zal de server platleggen.

Als de aanval het gewenste effect heeft, kun je deze opschalen door de LOIC op een dozijn (of zelfs honderden) machines tegelijk uit te voeren. Veel van deze actie kan gescript worden, wat betekent dat je het verkeer kunt vastleggen en het via de commandoregel op verschillende doelen kunt afspelen. Of je kunt het afspelen als onderdeel van een script van verschillende aanvallers, die je peers, je zombies, of beide kunnen zijn. Vaak wordt malware (botnets, zie hieronder) gebruikt om de aanvallen te lanceren, omdat malware kan worden getimed om op precies hetzelfde moment te lanceren.

Dit is wanneer snelheid minder belangrijk wordt, omdat je honderd verschillende clients hebt die op hetzelfde moment aanvallen. Je kunt het bij elke client langzamer doen en toch nog een effectieve aanval uitvoeren.

Het scherm zou er op elke individuele machine hetzelfde uitzien als je de aanval vanaf honderden of duizenden machines uitvoert, alsof je het op een enkele machine zou doen.

Wat is een Botnet?

Zoals uitgelegd door de Internet Society:

“Een botnet is een verzameling met internet verbonden gebruikerscomputers (bots) die zijn geïnfecteerd met kwaadaardige software (malware) waarmee de computers op afstand kunnen worden bestuurd door een operator (botherder) via een command-and-control (C&C)-server om geautomatiseerde taken uit te voeren op apparaten die zijn verbonden met veel computers, zoals het stelen van informatie of het lanceren van aanvallen op andere computers. Botnet-malware is zo ontworpen dat de exploitanten ervan de controle krijgen over een groot aantal gebruikerscomputers tegelijk. Dit stelt botnetoperators in staat om computer- en bandbreedtebronnen in veel verschillende netwerken te gebruiken voor kwaadaardige activiteiten.”

Hoewel botnets een grote hulp zijn voor hackers, zijn ze eerder een plaag voor een groot deel van de online samenleving. Botnets:

  • kunnen over grote afstanden worden verspreid en zelfs in verschillende landen actief zijn.

  • Beperken de openheid, innovatie en mondiale reikwijdte van het internet.

  • Aantasting van fundamentele gebruikersrechten door het blokkeren van de vrijheid van meningsuiting en mening en het schenden van de privacy.

Hoe een DDoS-aanval uitvoeren

Om meer dan 256 gelijktijdige DDoS-aanvallen uit te voeren die een systeem platleggen, kan een team van meerdere gebruikers tegelijkertijd High Orbit Ion Cannon (HOIC) gebruiken en het add-on-script “booster” gebruiken.

Om een DDoS-aanval uit te voeren, zoek en kies je een service, selecteer je een open poort en overrompel je de service door de volgende stappen te volgen:

  1. Lanceer HOIC.

  2. Verhoog de Threads.

  3. Doel de gewenste URL.

  4. Verhoog het vermogen naar Hoog.

  5. Selecteer uw Booster.

  6. Voer de aanval uit.

Waarom voeren illegale hackers DoS- en DDoS-aanvallen uit?

DoS-aanvallen en DDoS-aanvallen zijn overdreven destructief en het kost wat moeite om ze uit te voeren, maar ze worden door cybercriminelen gebruikt als wapen tegen een concurrent, als vorm van afpersing, of als rookgordijn om het ontfutselen van gevoelige gegevens te verbergen.

Ook worden soms aanvallen uitgevoerd om een of meer van de volgende redenen:

  • Internet-gebaseerde turf-oorlogen.

  • Een uiting van woede of een afstraffing.

  • Oefenen, of gewoon om te zien of het kan.

  • Voor de “fun” van het veroorzaken van chaos.

De schade die wordt veroorzaakt door DDoS-aanvallen is zeer aanzienlijk. Cisco heeft een aantal oogverblindende feiten en schattingen gemeld:

  • Het aantal wereldwijde DDoS-aanvallen zal verdubbelen van 7,9 miljoen in 2018 tot 15,4 miljoen in 2023.

  • De gemiddelde grootte van een DDoS-aanval is 1 Gbps, waarmee een organisatie volledig offline kan worden gehaald.

Uit een ITIC-onderzoek van 2019 blijkt dat “één enkel uur downtime 98% van de bedrijven nu ten minste 100.000 dollar kost. En 86% van de bedrijven zegt dat de kosten voor één uur downtime $300.000 of hoger zijn.” Vierendertig procent zegt dat het $ 1 miljoen tot $ 5 miljoen kost om een uur down te zijn.

Een recent voorbeeld van een DDoS-aanval is de Amazon Web Services-aanval in februari 2020. De cloudcomputinggigant was het doelwit en stuurde drie dagen achter elkaar tot een verbazingwekkende 2,3 terabyte aan gegevens per seconde.

Als u in realtime (of in de buurt daarvan) wilt bladeren door wereldwijde aanvallen, bekijk dan een dreigingskaart van cyberaanvallen.

Hoe uw bedrijf te beschermen tegen DoS- en DDoS-aanvallen

Om uw bedrijf te beschermen tegen DoS- en DDoS-aanvallen, volgen hier enkele aanbevelingen:

  1. Installeer beveiligingssoftware en houd deze bijgewerkt met de nieuwste patches.

  2. Beveilig alle wachtwoorden.

  3. Gebruik anti-DDoS-diensten om legitieme pieken in het netwerkverkeer te herkennen, in plaats van een aanval.

  4. Zorg voor een reserve-ISP zodat uw internetprovider uw verkeer kan omleiden.

  5. Gebruik diensten die massaal aanvalsverkeer over een netwerk van servers verspreiden.

  6. Benader en configureer uw firewalls en routers om frauduleus verkeer te weigeren.

  7. Integreer front-endhardware voor toepassingen om pakketten te screenen en classificeren.

  8. Gebruik een zelflerend AI-systeem dat verkeer routeert en analyseert voordat het de computers van het bedrijf bereikt.

  9. Zet een ethische hacker in om onbeschermde plekken in uw systeem op te sporen en te vinden.

Het is een moeilijke taak om uw bedrijf te beschermen tegen DoS- en DDoS-aanvallen, maar het bepalen van uw kwetsbaarheden, het hebben van een verdedigingsplan en het bedenken van mitigatietactieken zijn essentiële elementen van netwerkbeveiliging.

Lees meer over ethisch hacken

Ethisch hacken is een belangrijk en waardevol hulpmiddel dat wordt gebruikt door IT-beveiligingsprofessionals in hun strijd tegen dure en mogelijk verwoestende cyberinbreuken. Het maakt gebruik van hackingtechnieken om informatie te verkrijgen over de effectiviteit van beveiligingssoftware en -beleid, zodat netwerken beter kunnen worden beschermd.

De basisprincipes die bij legaal hacken in acht moeten worden genomen, zijn:

  • Gebruik uw kennis nooit voor persoonlijk gewin.

  • Doe het alleen als u daartoe het recht hebt gekregen.

  • Gebruik geen illegaal gekopieerde software in je aanvallen.

  • Gebruik altijd integriteit en wees betrouwbaar.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.