Hoe DDoS-aanvallen zijn in te dammen
Internetverkeer van DDoS-aanvallen komt vaak van plaatsen waar normaal geen verkeer vandaan komt. Die kennis maakt het mogelijk aanvallen onschadelijk te maken.
Dat vertelde Erik Bais van A2B Internet tijdens het door de AMS-IX georganiseerde More-IP-evenement in Amsterdam. Bais liet tijdens zijn presentatie zien hoe DDoS'ers simpel aanvallen kunnen uitvoeren met behulp van openbare lijsten met daarop de IP-nummers van kwetsbare servers en standaardscriptjes die ze van GitHub plukken. Via lekke machines kunnen DDoS-aanvallers grote hoeveelheden verkeer doorsturen naar een site of partij die ze uit de lucht willen krijgen.
Ondeugend verkeer
Maar niet alleen scriptkiddies kunnen hun voordeel doen met de lijsten van kwetsbare servers, dat geldt ook voor providers die zich willen wapenen tegen DDoS-aanvallen, vertelde Bais. Door te kijken bij welke providers de meeste lekke servers staan valt te voorspellen hoe groot de kans is dat het verkeer afkomstig van die providers malafide is.
Heeft een provider relatief veel lekke servers en komt er normaal relatief weinig verkeer van die provider, dan is de kans heel groot dat een plotselinge enorme toename van het verkeer afkomstig van die provider wordt veroorzaakt door een DDoS-aanval. "Zo valt goed te voorspellen of verkeer ‘ondeugend’ is of niet", zegt Bais die op basis van deze informatie een ratingsysteem voor providers ontwierp.
Door het verkeer dat afkomstig is van 'ondeugende' providers via een andere route te sturen, is het mogelijk om de nadelige gevolgen van DDoS-aanvallen enorm te beperken. "Het verkeer van 'ondeugende' providers handelen we bij de AMS-IX af via een andere, veel kleinere poort", aldus Bais. Daar kan al dat DDoS-verkeer niet doorheen, met als gevolg dat de DDoS-aanval grotendeels wordt afgeslagen.
Abuse-afhandeling
Providers die hoog scoren op de 'ondeugendheid'-index zijn overigens lang niet in alle gevallen dubieuze partijen. "Vaak hebben ze gewoon geen idee en zijn ze maar al te graag bereid om iets aan de lekke servers te doen als wij hen daar op wijzen." Via de Nederlandse Abuse.IO-software is het mogelijk de abuse-afhandeling te automatiseren. "Daar hebben we al heel veel goede resultaten van gezien", aldus Bais.
Bais hield zijn presentatie over zijn Naughty Peer Project maandag ook in Kopenhagen. Een video daarvan staat hier.