Onlangs kreeg een van onze klanten te maken met een gerichte volumetrische DDoS-aanval. De aanval kon succesvol worden afgeweerd door onze DDoS Mitigation Service, maar werd op een bepaald moment zo krachtig dat sommige uplinks van het Belnet-netwerk verzadigd raakten.
De vraag die u zich misschien stelt is of zo’n anti-DDoS-bescherming wel nuttig is, aangezien er toch een (zij het beperkte) impact was. Laat ons de situatie eens bekijken vanuit het standpunt van de aanvallers.
Om een of andere duistere reden besluiten zij op een gegeven moment om een DDoS-aanval op één van onze klanten te lanceren. Uit onze grafieken kunnen we afleiden dat de aanval tijdens die eerste minuten vrij klein is. Toch wordt de aanval zeer snel gedetecteerd en gemitigeerd door de DDOS-oplossing die deze klant bij ons afneemt. Het effect van de aanval op zijn netwerkverkeer is zelfs nauwelijks zichtbaar.
Nu kan ik enkel speculeren, maar ik kan me best voorstellen dat onze aanvallers gefrustreerd raken omdat ze niet het gewenste effect bereiken. Ze zullen meer geld moeten uitgeven om het volume van de aanval te vergroten en hun kansen op succes te doen toenemen. Enkele minuten en een paar datapunten in onze grafieken later, zien we effectief een plotse toename van het volume van de aanval.
Verzadiging
Op dat moment beginnen sommige van onze uplinks, die de snelwegen naar het Belnet-netwerk vormen, verzadigd te raken. Nu pas is er sprake van impact, maar niet diegene waar de aanvallers op hoopten. Onze klant, zich tot nu toe niet bewust van de stortvloed aan verkeer, ondervindt enkel dezelfde hinder als alle andere organisaties op ons netwerk. Sommige IP-ranges worden namelijk onstabiel als gevolg van de verzadiging op de uplinks. Websites die enkel via deze wegen te bereiken zijn, laden daardoor traag. De dienst die wordt aangevallen blijft echter operationeel. Wellicht – en ik hoop het ten zeerste - tot grote frustratie van de aanvallers.
Ondertussen worden alarmen geactiveerd en wordt het incident geëscaleerd tot het niveau van de derdelijns support bij Belnet, zijnde het Networks team waarvan ik deel uitmaak. We starten de procedure op om een nieuwe laag in onze anti-DDoS bescherming te activeren. Die bestaat uit een gigantisch wereldwijd scrubbing netwerk buiten het Belnet-netwerk dat het verkeer van de getroffen klant absorbeert en filtert.
Scrubbing center
“Waarom wordt dat beschermingsmechanisme niet automatisch geactiveerd?” vraagt u zich misschien af. Hoewel het scrubbing center heel efficiënt is in het filteren van het kwaadwillige netwerkverkeer, kunnen sommige meer gevoelige services in dit proces worden beïnvloed. Daarom heeft Belnet ervoor gekozen om een bewuste beslissing te nemen vooraleer deze extra beschermingslaag te activeren.
We staan net op het punt om het scrubbing center te activeren wanneer de aanvallers besluiten om de DDoS-aanval af te blazen, die uiteindelijk toch niet deed waarvoor hij betaalde. De diensten van de geviseerde organisatie zijn immers de hele tijd beschikbaar gebleven.
Wapenwedloop
Helaas is er geen waterdichte bescherming tegen cybercriminaliteit, en al zeker niet tegen DDoS-aanvallen. Bij Belnet beschikken we over meerdere beschermingsniveaus: een volledig geautomatiseerde laag aangevuld met specifieke mechanismes die indien nodig kunnen worden geactiveerd. Bovendien ondernemen we voortdurend acties om de kwaliteit van onze DDOS-mitigatie verder te verbeteren en onze reactie- en escalatietijden nog te versnellen. Desondanks blijft het een wapenwedloop tussen aanvallers en doelwitten. Onze doelstelling? De aanvallers zodanig tegenwerken dat ze de strijd opgeven.
Om terug te keren naar onze oorspronkelijke vraag: een anti-DDOS bescherming is wel degelijk nuttig. Zonder bescherming zouden de diensten van het doelwit ernstig verstoord zijn geweest, tot grote tevredenheid van de aanvallers die wellicht bereid zouden geweest zijn om nog meer te betalen om de aanval misschien nog vele uren verder te zetten.
Over de auteur
Jo Segaert studeerde industriële wetenschappen in Gent en werkt al bijna 8 jaar als netwerkingenieur bij Belnet. Zijn ultieme doel is om zijn eigen job volledig te automatiseren. Hiervoor treedt hij soms buiten het veld van de telecommunicatie en verdiept hij zich in data engineering, data analyse en programmeren. Buiten Belnet heeft hij meer interesses dan tijd. Nu eens zit hij met zijn neus in een boek over macro-economie, dan weer op een balfolk dansfestival.