(D)DoS-aanvallen leggen je netwerk plat, dat wil zeggen dat er geen communicatie, geen data uitwisseling meer mogelijk is. Netwerkcommunicatie vindt plaats op verschillende niveau’s. Dit worden lagen genoemd en zijn vastgelegd in het OSI-model. Niet elke (D)DoS-aanval is dan ook hetzelfde, maar is onder andere afhankelijk van de laag waarop de aanval plaatsvindt.
Er bestaan drie typen (D)DoS-aanvallen.
Applicatie laag aanval (laag 7 van OSI model)
Protocol laag aanval (laag 3 en 4 van OSI model)
Volume (D)DoS-aanval
Deze afbeelding geeft aan welke verschillende lagen aangevallen kunnen worden en wat de meest voorkomende (D)DoS-aanvallen hierbinnen zijn. Hieronder worden deze type aanvallen met voorbeelden beschreven en wordt aangegeven hoe deze (D)DoS-aanvallen te herkennen zijn.
Applicatie laag aanval
Een aanval op de applicatie laag (laag 7 van het OSI model) maakt gebruik van een (soms onbedoelde) functionaliteit in de software/website/applicatie zelf.
Voorbeeld: een webshop heeft een zoekmenu waarin je met het * alle mogelijke producten kan opvragen. Hierdoor kan het antwoord heel groot zijn. Eén gebruiker is geen probleem, maar bij een botnet van 1000 apparaten die tegelijk dit verzoek doen, dan zijn de antwoorden (zonder maatregelen als caching) samen 1000x zo groot. Herhaal dat verzoek een paar keer en dan heb je een systeem wat niet snel meer reageert. Andere mogelijkheden tot misbruik zijn het opvragen van plaatjes, of het versturen van random urls naar de server, willekeurige zoekopdrachten et cetera.
De uitdaging hier is om het legitieme verkeer te onderscheiden van een hackpoging. Het loggen en analyseren van de logs (logging en monitoring) is hier een speerpunt. Een afwijkend patroon (anomalie) is een goede indicatie dat er iets aan de hand is.
Protocol laag aanval (netwerk)
Een applicatie draait altijd op een (virtuele) server die de applicatie ontsluit via het internet door middel van een operating system en netwerkprotocollen. We praten hier over laag 3-4 van het OSI model. Hackers hebben in de loop van de jaren kwetsbaarheden ontdekt in de wijze waarop deze protocollen worden toegepast. Met een gerichte aanval kunnen ze daardoor het operating system of de netwerkprotocollen overbelasten. Synflood, ping of death, NTP of DNS aanvallen om er een paar te noemen.
(D)DoS-aanvallen op deze laag zijn de aanvallen waar je in het nieuws regelmatig iets over hoort. Aanvallen op dit niveau zijn vrij lastig te bestrijden; het gaat hier vaak om wie het meeste data (bits) kan leveren. Jezelf beschermen tegen dit soort aanvallen kan door middel van scrubbing centers. Scrubbing centers zijn voor deze aanval een effectief middel, maar de vraag is altijd of het opweegt tegen de kosten.
Volume (D)DoS-aanval
Dit type aanval is gericht op het volgooien van de internetverbinding zodat normale verzoeken er niet meer bij passen. ICMP floods, UDP floods, elke methode voor het versturen van een hoeveelheid packages. Hiervoor zijn veel tools beschikbaar zoals LOIC, XOIC, NTP en DNS -amplificatie aanvallen.
Voorbeeld: Er wordt een aanval gedaan tegen je infrastructuur met 1 Gbit. Als jouw lijn maar 500 Mbit is, dan is de aanval ongeveer 2 x zoveel dat jouw lijn aan kan. Je krijgt dus “file” op je internet lijn. Omdat aanvallen steeds groter worden, wordt het steeds moeilijker om zelf een betaalbare bescherming aan te schaffen.