Een DDoS-aanval, wat is dat eigenlijk?
Een DDoS-aanval, wat is dat eigenlijk?
Flashback naar begin mei. “Een ongeziene cyberaanval veroorzaakt grote internetproblemen”, zo kopt VRTNWS. Want inderdaad, op 4 mei werd Belnet – beheerder van het centraal internetknooppunt en internetprovider voor hogescholen, universiteiten, onderzoekscentra en overheidsbedrijven – getroffen door een cyberaanval. Met deze blog krik je je security-kennis weer een beetje op, wat jouw veiligheid in deze scary times alleen maar ten goede komt. We loodsen je doorheen de stand van zaken, leggen je uit wat er gebeurd is, wat de gevolgen zijn, en wat een DDoS-aanval nu exact is.
Wat is er gebeurd?
Het is nog altijd niet duidelijk wie de aanval heeft uitgevoerd, maar wat wel zeker is, is dat een “ongeziene cyberaanval” het op de overheid had gemunt. De aanvallers zijn gelukkig niet écht in hun opzet geslaagd. Providers als Telenet en Proximus waren wel een doelwit van de aanval, maar daar heeft die minder effect gehad dan bij Belnet, waar ze nochtans op zeer geavanceerde cybersecurity kunnen rekenen.
Door de problemen bij Belnet werkten tientallen websites tijdelijk een stuk trager – of zelfs helemaal niet. Zo waren er bij hogescholen en universiteiten bijvoorbeeld problemen voor het afstandsonderwijs, doordat de verbinding voortdurend uitviel. Daarnaast waren ook overheidswebsites als Tax-on-web en de boekingssystemen van vaccinatiecentra niet bereikbaar. Ook het parlement leed onder de aanval en moest verschillende vergaderingen uitstellen. Bij de Brusselse vervoersmaatschappij MIVB waren er dan weer problemen met de kaartjesverkoop, en ook openbare omroep VRT ondervond hinder.
De tekst gaat verder onder de afbeelding.
Wat zijn de gevolgen?
Alle instellingen die op het netwerk van Belnet zijn aangesloten, ondervonden hinder van de aanval. Het ging daarbij om zo’n tweehonderd overheids-, onderwijs- en onderzoeksinstellingen. Belnet besliste dan ook snel om een klacht in te dienen bij de Federal Computer Crime Unit (FCCU), de gespecialiseerde afdeling van de politie voor cybercriminaliteit. De dagen na de aanval bleef Belnet zeer waakzaam, want het was niet uitgesloten dat aanvallers het niet nog een keer zouden proberen.
De cybercriminelen waren er niet op uit om in de netwerken te infiltreren en te hacken of ransomware te installeren. Er werden dus geen gegevens gestolen of gegijzeld. Wel ging het heel duidelijk om een aanval met als specifiek doel (belangrijke) diensten plat te leggen. Een DDoS-aanval, dus. Een watte?
Wat is een DDoS-aanval?
DDoS staat voor ‘Distributed Denial of Service’. Bij een DDoS-aanval worden websites bestookt met duizenden aanvragen op zeer korte termijn. Daardoor raken ze overbelast en blokkeren ze. Websites werken dus trager en kunnen zelfs volledig onbereikbaar worden. Dit mag dan wel vrij onschuldig lijken, maar de schade voor bedrijven of organisaties kan hierdoor ook zeer groot zijn. Denk maar aan het feit dat het onmogelijk was om je afspraak voor een vaccinatie te maken of te verplaatsen, of dat studenten hun lessen niet meer konden volgen. Wanneer bijvoorbeeld een webshop het slachtoffer wordt van dit soort aanval, spreekt het voor zich dat een DDoS-aanval voor hen een enorme ramp is.
Aanvallers maken dan wel geen waardevolle data buit, hun redenen kunnen wel financieel zijn. Bedrijven kunnen bijvoorbeeld afgeperst worden in ruil voor het beëindigen van de aanval. Rivaliserende bedrijven of overheden kunnen ook een DDoS-aanval op elkaars website (laten) uitvoeren. Want de schade kan enorm zijn. Een belangrijk bedrijf waar veel mensen op rekenen dat uren of zelfs dagen offline is, kan heel wat klanten hun vertrouwen doen verliezen. Heel vaak handelen de aanvallers uit een bepaalde overtuiging, of zelfs gewoon uit – jawel – verveling.
De tekst gaat verder onder de afbeelding.
Hoe werkt zo’n aanval juist? Een DDoS-aanval is te vergelijken met een gigantische file op de snelweg: als iedereen op hetzelfde moment in zijn auto stapt om naar Brussel te gaan, dan raakt de snelweg snel verzadigd, tot hij helemaal dichtslibt. Dat gebeurt ook bij een DDoS-aanval: er is heel veel verkeer dat tegelijk naar een website surft. Daardoor raakt het ‘gewone’ verkeer – jij, ik, je tante of je buurman – niet meer op die website. In het geval van de aanval op Belnet werd massaal naar de overheidswebsites gesurft. In totaal ging het om 40 miljoen aanvragen, uit 29 verschillende landen. Dat is extreem veel.
Hoe herken ik een DDoS-aanval?
Met een ‘traffic analysis tool’ kan je onderzoeken of problemen met de prestatie van je site komen door een ‘gewone’ toename in verkeer op je site, bijvoorbeeld wanneer je een nieuw product lanceert (in dat geval: goed bezig!), of door een aanval. Typisch voor een DDoS-aanval zijn:
- Verdachte hoeveelheid verkeer van één IP-adres
- Verdachte hoeveelheid gebruikers met hetzelfde toesteltype, dezelfde locatie of dezelfde browser
- Verdachte hoeveelheid aanvragen voor één specifieke pagina
- Pieken in het verkeer op ongebruikelijke tijdstippen
- Ongebruikelijke pieken in het verkeer, zoals bijvoorbeeld om de 10 minuten
Wat kan ik doen tegen een DDoS-aanval?
Belnet heeft samengewerkt met het Centrum voor Cybersecurity België (CCB) om de storing op te lossen. Een hele opgave, aangezien de aanvallers voortdurend van tactiek bleken te veranderen. Uiteindelijk is de aanval vanzelf afgezwakt en uiteindelijk gestopt. Belnet heeft dan wel een klacht ingediend, maar aangezien nog altijd niet bekend is wie achter de aanval zat, is de kans groot dat deze zonder gevolgen blijft.
Zoals altijd geldt dus: beter voorkomen dan genezen. Zorg er dus, zoals steeds, voor dat je cybersecurity niets aan het toeval overlaat en volledig up-to-date is. Met layered security bescherm je álle punten binnen je netwerk. En recent introduceerde ConXioN ook SentinelOne, een endpoint security of antivirus die verdacht gedrag blokkeert vóór het tot een effectieve aanval kan komen.
DDoS-aanvallen komen vaak voor en (overheids)websites worden vrijwel dagelijks aangevallen. Een aanval van de omvang van de Belnet-aanval is gelukkig wel heel uitzonderlijk. Slaap dus gerust op twee oren – maar slaap voor de zekerheid toch niet té vast. 