CDN
Content Delivery Network (CDN) kun je bij verschillende providers afnemen. Het doel van een CDN is om bestanden die niet tot nauwelijks wijzigen (static content) niet vanaf je eigen backend servers te serveren, maar vanaf een netwerk dicht bij de gebruiker. Denk hieraan bijvoorbeeld een plaatje. Een goed CDN netwerk controleert het source IP van de aanvrager. Als deze vanuit Amerika komt dan wordt het plaatje indien deze aanwezig is vanuit een CDN edge server in Amerika aangeboden. Mocht het plaatje niet bestaan dan download de CDN server deze eerst. Op deze manier wordt de webserver minder belast en kan static content sneller worden aangeboden.
Door gebruik te maken van een CDN krijg je dus minder verzoeken/verkeer en belast je dus minder je eigen server. Maar dit is niet 100% waterdicht. Er zijn mogelijkheden om een CDN voor de gek te houden. Waardoor de verzoeken alsnog bij de server aankomt en deze dus nog steeds overbelast kan raken.
Rate limiting
Bij Rate limiting wordt er gekeken naar het aantal packets dat verstuurd wordt per IP-nummer. Je kunt hier verschillende regels op toepassen om je backend server te beschermen. Verschillende appliances en software bieden diverse mogelijkheden. Denk aan een captcha scherm (zoals weergegeven in de afbeelding) die ingevuld moet worden als er vanaf 1 IP-nummer meer dan 1000 connecties binnen een minuut komen.
Ook Rate limiting is niet 100% waterdicht. Als de hacker kan achterhalen wanneer een rate limiting policy wordt uitgevoerd dan kan er gekozen worden om onder dit limiet te blijven en meer bots in te zetten. Waardoor alsnog een (D)DoS-aanval uitgevoerd kan worden.
Scrubbing Center
Een scrubbing center, ook wel een wasstraat genoemd, kan worden ingezet om meer volume af te vangen indien een (D)DoS-aanval wordt uitgevoerd. Zodra een aanval wordt gedetecteerd, wordt al het verkeer omgeleid naar de wasstraat. Hier wordt het schadelijke verkeer eruit gefilterd, waarna het legitieme verkeer alsnog veilig kan aankomen.
Niet elk scrubbing center is gelijk. NaWas doet alleen laag 3 en 4, terwijl Incapsula of cloudflare ook laag 7 doen. Per geval of per netwerk moet dus gekeken worden in hoeverre je het wilt beschermen. Hoe meer lagen je wilt beschermen, hoe duurder het wordt.
Nationale Wasstraat (NaWas) nbip
De Nationale anti-(D)DoS Wasstraat (kortweg NaWas) biedt on demand beveiliging tegen (D)DoS-aanvallen. NaWas is bedoeld voor middelgrote, maar ook voor kleinere internet providers voor wie het zelf kopen en onderhouden van anti-(D)DoS apparatuur onhaalbaar of niet rendabel is. De NaWas is als een verzekering: hopelijk is het niet nodig, maar als er ellende is kan er beroep op worden gedaan. Zonder grote investeringen. Dit betekent dat je je eigen BGP Nummer (vergelijkbaar met DNS-nummer) moet hebben wil je gebruik kunnen maken van de NaWas. Dit is voor veel organisatie niet van toepassing.
Bescherming IP-nummer
Het internet werkt met IP-nummers en domeinnamen verwijzen naar deze IP-nummers. Vaak hebben organisaties meer diensten dan alleen een webserver. Al deze diensten krijgen hun eigen domeinnaam (DNS). Vervolgens zijn weer al deze domeinnamen aan een eigen IP-nummer gekoppeld. Veel diensten beschermen enkel het IP-nummer van een dienst en niet het gekoppelde IP-nummer van jouw organisatie. Dit betekent dat wanneer iemand jouw echte IP-nummer kan achterhalen, ze de aanval nog steeds kunnen uitvoeren.
Het kan zijn dat de website op een andere locatie wordt gehost dan je interne netwerk. Beide kunnen doelwit zijn voor een (D)DoS-aanval. Je kunt dit controleren door bijvoorbeeld de website http://www.watismijnip.nl/ te bezoeken. Deze geeft het IP-nummer weer waarmee je op internet bekend bent. Voor scholen is dit het IP-nummer wat aangevallen kan worden om lessen of beschikbaarheid van internet te verstoren. Beide moeten worden gecontroleerd en eventueel worden beschermd.
Indien je IP-nummer eigendom is van bijvoorbeeld Ziggo, Vodafone, T-mobile et cetera, dan kun je als klant zelf geen bescherming afnemen bij de NAWAS. Je bent van afhankelijk van de ISP (Internet Service Provider) om je te beschermen. Wel bestaan er diensten die je kunnen beschermen.
Website bescherming
Website bescherming bestaat niet alleen uit het beschermen tegen (D)DoS-aanvallen. Je website server zou namelijk ook in handen kunnen vallen van een hacker en misbruikt kunnen worden om andere aan te vallen of om informatie te stelen. Andere belangrijke beschermingsmethoden die overwogen moeten worden zijn de toegang bescherming (shell codes), Web application firewall (waf), login bescherming en bot bescherming. Deze verzameling van producten of diensten kan ervoor zorgen dat je website optimaal beschermd is tegen SQL injectie, remote en local file inclusion et cetra.
Websites draaien op Laag 7 van het OSI-model. Deze kun je dus niet beschermen met een laag 3 / 4 oplossing. Je zult hier dus extra diensten voor moeten afnemen of moeten configureren. Denk aan CDN, rate limiting en scrubbing centrums. Dit kan een kostbare investering worden naarmate de hoeveelheid domeinen of IP-nummers toeneemt die je in gebruik hebt.