Loading AI tools
gespreide overbelastingsaanval op een computersysteem Van Wikipedia, de vrije encyclopedie
Denial-of-service-aanvallen (DoS-aanvallen) en distributed-denial-of-service-aanvallen (DDoS-aanvallen) zijn pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de bedoelde klanten.[1] Het verschil tussen een 'gewone' DoS-aanval en een distributed-DoS-aanval is dat in het laatste geval meerdere computers tegelijk de aanval op hun doelwit uitvoeren.
Voor DDoS wordt vaak een botnet gebruikt,[2] maar het kan ook gaan om meerdere personen die hun acties coördineren, iets wat bijvoorbeeld gebeurt bij aanvallen van de zogenaamde Anonymous-beweging of de Syrian Electronic Army.[3] In reactie hierop werd het publiek-private Nationaal Cyber Security Centrum[4] opgericht, Europol startte het European Cybercrime Centre[5] en het Team High Tech Crime van de nationale recherche werd uitgebreid van 30 naar bijna 120 mensen en het ministerie van Defensie deed een oproep in 2013 voor 150 white hats als cyberreservisten.[6][7] De AIVD en MIVD startten in 2014 met de Joint SIGINT Cyber Unit, een aftap- en cybercommando onder de codenaam Symbolon met 350 mensen,[8] en hebben voor 17 miljoen euro niet toegestane systemen om grootschalig telefoon- en internetverkeer op te kunnen vangen en verwerken besteld.[9] Voor 2013 werden er op ruim vijf miljoen .nl-domeinen[10] 39 DDoS-aanvallen gemeld in Nederland,[11] inclusief vermeende aanvallen die enkel een storing betroffen.[12]
Ook al kunnen de methode, het motief en het doelwit verschillen, toch blijft het hoofddoel een website, internetdienst of server ervan te weerhouden aanvragen van reguliere gebruikers te behandelen.[13] Vaak zijn de doelen prominente websites of diensten, zoals die van banken of creditcardservices. De term wordt gebruikt in verband met computernetwerken maar is niet beperkt tot dit gebied; hij wordt bijvoorbeeld ook gebruikt met betrekking tot CPU-resourcemanagement.
Een veelvoorkomende aanvalsvorm is het doelbewust overbelasten van het doelsysteem met externe communicatieverzoeken, zodat het niet kan reageren op legitieme verzoeken of zo traag wordt, dat het niet meer effectief te gebruiken valt. Dergelijke aanvallen leiden doorgaans tot een overbelasting van de server. Programma's die specifiek zijn ontworpen om dergelijke aanvallen uit te voeren, heten flooders. Meestal zijn DoS-aanvallen bedoeld om te bewerkstelligen dat het doelwit zijn computer moet resetten of andere zaken moet doen, waardoor het doelwit zijn beoogde diensten niet meer kan aanbieden. Denial-of-serviceaanvallen zijn in strijd met de regels van gebruik van vrijwel alle internetproviders. Daarnaast zijn ze in strijd met allerhande landeigen wetgevingen. Wanneer een DoS-aanvaller een grote hoeveelheid informatiebestanden tracht te versturen naar een netwerkgebruiker, dan ervaren alle gebruikers van dat netwerk mogelijk storingen en/of vertragingen. Een onbedoeld en nog weinig bestudeerd neveneffect van een DDoS-aanval kan zijn, dat legitieme gebruikers van de aangevallen website, die tijdens de aanval op normale wijze toegang proberen te krijgen, de site herhaaldelijk (en dus vaak tevergeefs) proberen te benaderen en zodoende het effect van de aanval versterken.
Het Amerikaanse computer emergency response team (US-CERT) noemt de volgende symptomen van een DDoS-aanval:[14]
Denial-of-serviceaanvallen kunnen ook leiden tot problemen bij andere computers of netwerken die verbonden zijn met het doelwit. Bij een grootschalige aanval kunnen hele geografische gebieden getroffen worden, ook al is dit niet de intentie van de aanvaller.
Een denial-of-serviceaanval wordt gekenmerkt door een expliciete poging van de cybercriminelen om de legitieme gebruikers van een dienst de toegang tot die dienst te ontnemen. Er zijn twee algemene vormen van DoS-aanvallen: de crashaanvallen en de floodaanvallen. Er zijn verschillende manieren of soorten van DoS-aanvallen, maar ook verschillende vormen van aanvallen. De vijf basisvormen zijn:
Er zijn DoS-aanvallen die gebruikmaken van het Internet Control Message Protocol (ICMP-aanvallen). Voorbeelden van programma's die dergelijke aanvallen inzetten, zogenaamde flooders, zijn Crazy Pinger en Some Trouble.
Zo worden er bij een smurfaanval echo requests (pings) met een vervalst IP-bronadres naar een broadcastadres binnen een netwerk gestuurd. Daardoor gaat het netwerk zelf dienen als een versterker van de smurfaanval. Bij een dergelijke aanval sturen de daders grote aantallen netwerkpakketten met een vervalst bronadres naar het slachtoffer. De bandbreedte van het netwerk van het slachtoffer wordt zo opgebruikt, waardoor legitieme zaken niet meer kunnen plaatsvinden. Om een smurfaanval te voorkomen, kunnen internetproviders verkeerd ingestelde netwerken opsporen.
Bij een ping flood zal men, uitgaande van een grotere bandbreedte, een aantal pingpakketten naar het slachtoffer verzenden. Dit is eenvoudig, maar het hoofdvereiste blijft dat de bandbreedte van de aanvaller groter is dan die van het slachtoffer.
Bij de zogenaamde ping-of-death worden pakketten groter dan 65.535 bytes verstuurd. Dat mag niet volgens het protocol en daarom zal alles worden opgesplitst in meerdere, kleinere pakketten. Deze pakketten worden bij de server weer in elkaar gezet, wat een crash in het besturingssysteem veroorzaakt. Hierdoor wordt de website onbereikbaar.
Bij een SYN flood stuurt de aanvaller TCP/SYN-pakketten, vaak met een vervalst bronadres. Elk van deze pakketten is een verzoek tot verbinding van de zender aan de ontvanger, waardoor er een halfopen verbinding bij de server wordt geopend. Deze halfopen verbindingen verzadigen het aantal verbindingen dat de ontvanger aankan. Daardoor krijgen legitieme gebruikers geen toegang meer tot het netwerk.
Een teardropaanval is het verzenden van vervormde IP-fragmenten met grote ladingen naar de doelcomputer. Hierdoor kan het besturingssysteem crashen. Verschillende besturingssystemen blijken hiervoor vatbaar.
Een permanente DoS (PDoS), ook bekend als phlashing, is een aanval die een systeem zo zwaar beschadigt, dat het vervangen of opnieuw geïnstalleerd moet worden. In tegenstelling tot de DDoS-aanvallen maakt de PDoS gebruik van veiligheidsproblemen op een computer, die het mogelijk maken om extern de computer te beheren. Wanneer het systeem extern beheerd wordt, kan de hacker het van binnenuit kapotmaken, waardoor het niet meer bruikbaar is. De PDoS is een puur hardwaregerichte aanval die sneller is dan een DDoS-aanval, waarbij botnetwerken gebruikt moeten worden. Omdat deze manier van DoS makkelijker is, zijn er al allerhande Super-PDoS-middelen op de markt gebracht, zoals PhlashDance.
Een distributed-denial-of-serviceaanval (DDoS) treedt op wanneer meerdere systemen vanuit meerdere webservers een flood van de bandbreedte van een ander systeem veroorzaken. Bij DDoS-aanvallen maakt men vaak gebruik van botnetwerken. Deze botnetwerken bestaan uit computers die allemaal extern aangestuurd kunnen worden. De externe bestuurder kan de computer van zijn slachtoffer laten crashen door alle computers in zijn botnetwerk tegelijkertijd bestanden te laten verzenden naar het slachtoffer. De bestanden die verstuurd worden, kunnen verschillen, zoals e-mails of verbindingsaanvragen. Er zijn tools beschikbaar die maken dat de eigenaar een botnetwerk kan besturen, zoals met een Trojaans paard.
LOIC of Low Orbit Ion Cannon is een van de mogelijke opensourceprogramma's waar een DoS-aanval mee uitgevoerd kan worden. Het programma is gemakkelijk te bemachtigen en is beschikbaar op Windows, Linux en Mac OS X. Het was ooit bedoeld om over IRC grote aanvallen te doen, waarbij duizenden netwerken op een doelwit gezet werden.
Een DNS amplification attack is een vorm van DDoS-aanval waarbij het DNS-systeem wordt gebruikt. Bij een DNS amplification attack stuurt een server DNS-query's van een gespooft IP (het IP dat hij wil aanvallen) en in deze query vraagt hij data op. Deze query is dan bijvoorbeeld 30 bytes, maar het DNS-netwerk zal een antwoord van bijvoorbeeld 30.000 bytes naar het gespoofte IP-adres sturen. Deze vorm van DDoS werd gebruikt door CyberBunker tegen Spamhaus.[15] Een voorbeeld hiervan is NTP amplification; hierbij wordt het NTP-protocol misbruikt om gespoofte packets te sturen.
De preventie van DoS-aanvallen wordt meestal gedaan door speciale software die een aanval kan detecteren. Deze software begint het verkeer te herkennen en classificeren. Wanneer niet-legitiem verkeer toegang tot de computer zoekt, wordt dit geblokkeerd. Een aantal mogelijke preventie- en bestrijdingsmethoden zijn:[14]
Tegenwoordig zijn er verscheidene "booters" online. Dit zijn webapplicaties die meestal gebruikmaken van (gehackte) servers, hierop staat dan een script dat veel packets verstuurt, of een amplification attack uitvoert. Negentig procent van alle booters is slecht geschreven, illegaal. Dit terwijl het eigenlijk bedoeld was voor stress-testing.
Op 20 oktober 2016 vonden twee DDoS-aanvallen plaats op een uitbater van een DNS-systeem die ervoor zorgden dat Twitter, Spotify en PayPal onbereikbaar werden. Opmerkelijk was hierbij dat de aanval mee uitgevoerd werd door aan het internet gekoppelde toestellen.[16]
Er vonden in 2021 meerdere DDoS aanvallen plaats op de CoronaCheck app. Ook de GGD-sites waar men een afspraak kon plannen voor vaccinatie werden enige malen platgelegd door ddos-aanvallen.[17]
Door meerdere DDoS-aanvallen op DigiD kon er niet worden worden ingelogd bij websites van de overheid, zoals de Sociale Verzekeringsbank (SVB) en de Dienst Uitvoering Onderwijs (DUO). Dit gebeurde onder andere in 2013, 2018 en 2022.[18][19][20]
Door een DDoS-aanval konden burgers en advocaten problemen ondervinden bij het bezoeken van Rechtspraak.nl en het raadplegen van persoonlijke dossiers in Mijn Rechtspraak, Mijn Strafdossier en andere portalen. Ook is was het niet mogelijk om online zittingen bij te wonen. Dit gebeurde in 2021 en 2023.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.