DDoS-aanvallen kunnen elke organisatie treffen die verbonden is met het internet, ongeacht de grootte en bandbreedte. Als ze succesvol zijn, leiden ze tot zakelijke verliezen. Vormen ze een reële bedreiging voor je website? En zo ja, hoe stel je dan een DDoS-responsplan op?
In dit artikel laat ik zien hoe je DDoS-aanvallen kunt voorkomen en welke oplossingen je kunt gebruiken om DDoS-aanvallen te blokkeren.
Wat is een DDoS-aanval?
Distributed Denial of Service is een gecoördineerde aanval op een netwerk of IT-systeem uitgevoerd door een botnet van honderdduizenden geïnfecteerde computers en andere IP-apparaten. DDoS zijn beschikbaar als online diensten – je hoeft geen specialistische kennis te hebben, gewoon bestellen en betalen. En de prijzen zijn helaas betaalbaar.
Er zijn twee soorten DDoS-aanvallen: volumetrische en applicatielaagaanvallen.
Volumetrische aanvallen
Het bestaat uit het massaal versturen van ongewenste gegevens naar de aangegeven IP-adressen, waardoor de verbinding “verstopt” raakt en het netwerkverkeer geblokkeerd wordt. De internetverbinding is efficiënt, maar heeft te weinig capaciteit om inkomende gegevensoverdracht te verwerken.
In de echte wereld kan het lijken alsof klanten de winkel niet in of uit kunnen omdat een grote groep vervangende quasi-klanten een drukte en kunstmatige menigte creëert voor te smalle deuren, waardoor ze de facto geblokkeerd worden.
Applicatielaag- en protocolaanvallen
Ze bestaan uit het uitputten van de netwerkinfrastructuur van internettoepassingen, bijvoorbeeld rekenkracht of geheugen. Een goed voorbereide DDoS-aanval met een laag volume kan het werk en de goede werking van het bedrijf verstoren en schade toebrengen aan de bedrijfsvoering.
Stel je voor dat in de kantoorboekhandel verschillende pseudoklanten zijn gedurende vele dagen. Ze eisen steeds meer nieuwe producten op, dienen valse klachten in of maken zelfs ruzie over iets. Door het personeel en de beveiliging van de winkel op te slokken, verhinderen of vertragen ze de service aan echte klanten die hun geduld verliezen en op zoek gaan naar een verkooppunt van de concurrent.
6 DDoS-beschermingsmethoden
De bescherming die je hostingprovider biedt
De eenvoudigste oplossing is anti-DDoS bescherming van je hostingprovider. Als je provider zo’n service niet biedt, is het het overwegen waard om over te stappen op een provider die een professioneel carrier-grade anti-DDoS systeem gebruikt.
Voordelen van bescherming rechtstreeks geleverd door je hostingprovider:
- De beheerder vindt het net zo belangrijk als jij dat het systeem effectief werkt, omdat hij niet wil dat volumetrische aanvallen of protocolaanvallen zijn netwerk belasten;
- Vrijwel geen vertragingen in de aflevering van legitiem verkeer omdat alle activiteiten binnen één netwerk plaatsvinden;
- Handig beheer van services in één paneel: voorbeeld van bandbreedteverzadiging, software voor bedreigingsbewaking, DDoS-aanvalsrapporten en de mogelijkheid om het beschermingsplan te wijzigen.
Het beveiligingssysteem bestaat uit twee mechanismen. Het eerste controleert de verkeerspatronen en controleert de kwaliteit voordat het je webserver bereikt. Wanneer er waarschuwingssignalen worden gedetecteerd, komt een tweede mechanisme in actie. Slecht verkeer wordt omgeleid naar het scrubbing center op aparte servers en gefilterd. Het normale verkeer wordt naar jou gestuurd.
Tijdens zeer intense Distributed Denial of Service-aanvallen kan scrubben inefficiënt blijken. Dan is het nodig om het vastgelopen verkeer te onderbreken (blackholing) totdat de aanval voorbij is. Dit is een extreme actie omdat het gepaard gaat met het verlies van legitieme gebruikers.
Het is het algemene werkingsprincipe, maar zoals met alles: het systeem is ongelijk in termen van efficiëntie. Welke eigenschappen zorgen dan voor een hoge efficiëntie?
- Onmiddellijke detectie van anomalieën en aanvalshandtekeningen en snelle start van de verdedigingsprocedure;
- Het automatisme van de reactie;
- Diepgaande en zelflerende algoritmen voor verkeersmonitoring op basis van een wereldwijde, rijke en voortdurend bijgewerkte database met bekende aanvalshandtekeningen;
- Regelmatige steekproeven van verkeer voor afwijkingen van de norm.
Cloud-gebaseerde DDoS-bescherming
Er zijn ook niet-hostingbedrijven die bescherming tegen DDoS-aanvallen aanbieden als cloudservice. In dit geval maakt het niet uit waar je website zich bevindt. Er zijn twee varianten van een dergelijke bescherming: het omleiden van verkeerspieken in het geval van een aanval of het permanent omleiden van al het verkeer naar een extern opschooncentrum in de clouddiensten.
In het eerste geval wordt het omleiden van inkomend verkeer naar de cloud geactiveerd door een anomalie. De cloudproviders filteren het nepverkeer eruit en sturen het juiste verkeer naar je terug. Je betaalt voor abnormaal verkeersvolume, dus geen aanvallen/anomalieën betekent geen kosten, wat een voordeel kan lijken.
Afhankelijk van de frequentie en omvang van de aanvallen kunnen de kosten echter overweldigend worden, en ze zijn moeilijk te voorspellen of zelfs algemeen in te schatten en op te nemen in budgetplannen.
In het tweede geval is het mechanisme identiek, maar wordt al het inkomende verkeer omgeleid naar de datacenters voordat het bij jou aankomt. De provider controleert de kwaliteit en filtert verdachte fragmenten eruit. Alleen veilig en legitiem verkeer wordt naar je verzonden. Klinkt geweldig, maar houd er rekening mee dat dit de constante vertraging in de pakketoverdracht verhoogt, wat in sommige industrieën of soorten bedrijven misschien niet acceptabel is.
Een andere manier om een DDoS-aanval te voorkomen is door gebruik te maken van het content delivery network. Een goede CDN-provider gebruikt de beste beveiligingsmethoden en tientallen servers om je diensten te beschermen tegen DDoS-aanvallen.
Top-down berusting van een deel van de beweging
Eén manier om je te verdedigen tegen DDoS-aanvallen is om al het verkeer van verdachte bronnen te blokkeren. Je kunt aangeven welke landen of regio’s van de wereld je wilt blokkeren. Deze oplossing kan effectief zijn, of op zijn minst voldoende, zolang je maar kunt bepalen waar je klanten/partners/leveranciers contact opnemen en waar niet.
Het is ook goed om te onthouden dat het risico bestaat dat je door het mechanisch afsnijden van HTTP verzoeken op basis van geografische criteria, gewenst verkeer verliest. Het zal sommige DDoS-aanvallen voorkomen, maar het kan ook een poging blokkeren om contact op te nemen met het bedrijf met een aanbod tot samenwerking.
Gigantische bandbreedte
Wat als je een veel grotere bandbreedte van het netwerk koopt dan je bedrijf nodig heeft? Je kunt hopen dat het in het geval van een aanval het toegenomen verkeer aankan zonder de gewenste communicatie in gevaar te brengen. Hoop – maar geen zekerheid.
Ten eerste, zoals we al zeiden, nemen de aanvalsvolumes met sprongen toe en kan er een aanval plaatsvinden die massaler is dan de doelserver aankan. Deze methode werkt ook tegen volumetrische DDoS aanvallen, maar niet tegen applicatie aanvallen.
Denk ook aan de kosten van een dergelijke oplossing. Hosting met meer bandbreedte zal veel duurder zijn dan hosting met dezelfde parameters maar standaard bandbreedte.
Firewall en antimalwaresystemen
Als je de server beveiligt met webbeveiligingsprogramma’s zoals een firewall, Intrusion Prevention System of zelfs Security Operation Center, zullen die DDoS-aanvallen helaas niet voorkomen. Dergelijke beveiligingsmechanismen zijn natuurlijk noodzakelijk en effectief, maar voor heel andere soorten online bedreigingen. Virale infecties en kwaadaardige verzoeken vereisen een ander soort bescherming.
Wil je je website beschermen tegen andere soorten bedreigingen? Lees dan zeker ons artikel over hoe je WordPress websites kunt beveiligen!
Wachtstrategie
Sommige bedrijven denken dat anti-DDoS preventie een onnodige kostenpost is. Als er een aanval plaatsvindt, wachten ze die alleen maar af en gaan dan weer aan het werk alsof er niets is gebeurd. Het lijkt misschien een goed en goedkoop idee om het probleem aan te pakken – maar waarschijnlijk alleen voor de eerste aanval.
Het niet beschikbaar zijn van de site en de onbeschikbaarheid van je webwinkel zou schadelijke gevolgen hebben: het onvermogen om klanten te bedienen, leveringen te beheren en het ontbreken van contact met zakenpartners. Vergeet niet dat een DDoS-aanval niet alleen de website treft, maar de hele server en webapps. Klantenaccounts, mailboxen en andere scripts en diensten die online op de server worden gehost, zullen niet meer werken.
Het is onmogelijk om te voorspellen wanneer een aanval zal plaatsvinden of wanneer deze zal eindigen. En hoe langer het duurt, hoe groter de financiële en imagoverliezen voor het bedrijf. Passief wachten op het einde van een DDoS-aanval is als toekijken hoe geld uit je portemonnee in een rivier stroomt. Wat als je concurrentie de kwetsbaarheid van je bedrijf ontdekt en er voordeel uit wil halen?
Is mijn website in gevaar?
Kleine bedrijven denken vaak dat DDoS-aanvallen alleen gericht zijn op grote ondernemingen. Ondertussen worden de meeste aanvallen uitgevoerd door botnets die hun doelwitten niet analyseren maar blindelings aanvallen, wat betekent dat elk bedrijf het slachtoffer kan worden van cybercriminelen.
Bovendien is de harde waarheid dat een DDoS-aanval op je bedrijf in opdracht kan worden uitgevoerd, bijvoorbeeld door concurrenten die de regels van fair play niet respecteren.
Om je website te beschermen tegen DDoS-aanvallen is het de moeite waard om deze te beveiligen met een DDoS-beveiligde VPS. UltaHost heeft opmerkelijke beschermingsmechanismen ontwikkeld waardoor het 99% van alle aanvalspatronen herkent en deze automatisch begint te filteren zodra het de eerste tekenen van een mogelijke DDoS-aanval detecteert.
De beveiligingssystemen beperken het risico op DDoS-aanvallen al in het stadium van de doelselectie door botnets. De tweede verdedigingslaag is het Cloudflare CDN-systeem, dat 80% van de aanvallen afzwakt. Maar zelfs als er een aanval wordt uitgevoerd, staat het BitNinja-systeem klaar om bescherming te bieden tegen DDoS-aanvallen tot 3500 Gbps.
Je kunt op onze blog ook nagaan welke andere factoren, naast beveiliging, de beste hosting moeten kenmerken. Lees het artikel over essentiële kenmerken van webhosting.
Conclusie
Bescherming tegen DDoS-aanvallen is essentieel. Het is cruciaal om abnormaal verkeer, valse gegevensverzoeken en andere aanvallen te blokkeren die je diensten kunnen beschadigen of uitschakelen. Succesvolle DDoS-aanvallen zullen gepaard gaan met schade aan je bedrijf, dus het voorbereiden van beveiligingsteams om deze dreiging te bestrijden zal geen weggegooid geld zijn. Effectieve beveiligingssystemen zullen je website en je bedrijf beschermen tegen veel grotere schade.
Bij UltaHost zijn we ons hier terdege van bewust. Onze prioriteiten zijn veiligheid en klantenondersteuning. We geven echter ook om prestaties en daarom zijn onze servers bliksemsnel, efficiënt en betrouwbaar.
Het is duidelijk dat je dol zult zijn op het hostingplatform van UltaHost. Krijg topklasse beveiliging van DDoS-beveiligde VPS met 24/7 ondersteuning van ons team van experts. Onze infrastructuur met SSD NVMe schijven is gericht op automatisch schalen, prestaties en beveiliging. Laat ons je het verschil zien! Bekijk onze plannen!
