Wat is een DDoS-aanval?

Distributed denial of service (DDoS-attack - DDoS-aanval) in the digital worldFoto: © MJB Events PR

Wat is een DDoS-aanval?

We horen het steeds vaker in het nieuws: DDoS-aanvallen. Maar wat zijn DDoS-aanvallen eigenlijk? In dit artikel leg ik uit wat een DDoS-aanval is en wat je er (mogelijk) eraan kunt doen om het bij jouw website of webshop te minimaliseren.

Waarschuwing: Het uitvoeren van een DDoS-aanval, groot of klein, of het deelnamen aan een dergelijke actie is een strafbaar feit volgens de Nederlandse wetgeving. Dit artikel is puur gepubliceerd ter uitleg van wat een DDoS-aanval is. Raadpleeg een jurist of advocaat voor juridische bijstand.

Wat is een DDoS-aanval?

DDoS is de afkorting voor Distributed Denial of Service. Een aanval dat digitaal uitgevoerd word om een website, webshop of een digitaal systeem plat te leggen. Daarom valt een DDoS-aanval onder de zogeheten cyberaanvallen (cyberattack).

Tijdens een DDoS-aanval word er binnen korte tijd een grote hoeveelheid aanvragen (verkeer) naar een website, webshop of digitaal systeem gestuurd. Normaal, wanneer je aan het internetten bent, klik je bijvoorbeeld het icoontje aan van Facebook of ga je naar facebook.com. Hierdoor krijgt de server van Facebook een vraag om de pagina op te halen die jij dan te zien krijgt.

Bij een DDoS-aanval gaat ditzelfde principe inwerking, maar dan in een groot meervoud. Dus dezelfde aanvraag word gedaan als die van één persoon, maar dan in een meervoud van honderden, duizenden of miljoenen aanvragen. Hierdoor zal de capaciteit van de webserver en de internetverbinding van deze webserver overbelast worden. Als gevolg hiervan zullen bezoekers van de website een trage verbinding ervaren. Of zelfs niet meer op de website, webshop of connectie kunnen maken met het digitaal systeem.

Hoe lang mensen hier last van hebben is afhankelijk van de rekenkracht van de webserver, van de internetverbinding, van de duur van de DDoS-aanval en van de grootte van een DDoS-aanval. In veel gevallen gaat het om aanvallen van tientallen of honderden gigabytes (GB) groot. Tijdens de oorlog tussen Rusland en Oekraïne heeft Anonymous een DDoS-aanval ingezet van meerdere Terabytes (TB) groot.

Hoe kan een DDoS-aanval worden uitgevoerd?

Een DDoS-aanval zal uitgevoerd worden door middel van een botnet. Soms worden zulke systemen ook wel zombienetwerken genoemd. Deze netwerken bestaan uit geïnfecteerde computers, laptops, smartphones of tablets. De gebruiker van het apparaat merkt er meestal niet heel veel van. Pas als de computer (erg) traag word en veel internetverkeer vraagt, te monitoren via onder andere taakbeheer en broncontrole, kan eventuele infectie worden gedetecteerd.

De hacker gaat dan, vanuit een centraal punt, de malware inzetten om de computers aan te sturen en een websiteverzoek in te dienen voor een bepaalde website, webshop of digitaal systeem. Daardoor raakt de webservercapaciteit op en word de website niet geladen. Op deze manier kunnen hele IT-infrastructuren plat gelegd worden waardoor (imago)schade op kan treden dat al snel gaat naar de € 100.000 voor middel-klein bedrijven.

Op welke manier een computer word gebruikt voor een DDoS-aanval kan verschillend zijn. In de meeste gevallen zal de zogeheten laag 7 (applicatie laag) worden gebruikt van een OSI Model. Deze laag word gebruikt om de gebruikers (computers) met elkaar te verbinden en te communiceren. Denk daarbij aan verbindingen via HTTP, SSL, FTP, IMAP en POP en SMTP. Omdat deze communicatiemiddelen normale activiteiten zijn, zou een botnet zich erg eenvoudig zich kunnen voordoen als een gebruiker. Hierdoor is het stoppen van een DDoS-aanval (erg) moeilijk om te stoppen.

Echter moet daarbij wel een kanttekening gemaakt worden. Niet alle piekmomenten hoeven per definitie een DDoS-aanval te zijn, aldus het NCSC. Het kan ook gaan om een (noodlottig) druk moment. Denk bijvoorbeeld aan een perslancering van een bedrijf waar veel (media) aandacht voor is. Door de drukte kan een website ook (tijdelijk) onbereikbaar zijn. Dit heeft dan niks te maken met een DDoS-aanval, maar met vele ongevaarlijke verzoeken. Vergelijkbaar wanneer je in de spits staat met je auto.

Voorbeeld van een DDoS-aanval

Om een DDoS-aanval begrijpelijk uit te leggen wil ik dat doen in vergelijking met een supermarkt. Normaal moet je ongeveer vijf minuten wachten bij de kassa voordat je aan de beurt bent. Dit is een normale tijdsindicatie wat vergelijkbaar is (niet qua snelheid) van een aanvraag bij een website, webshop of digitaal platform.

Als het enorm druk is in de supermarkt, dan zal de wachttijd bij de kassa ook langer worden. Ondanks dat misschien meerdere of alle kassa’s open zijn. Hierdoor sta je bijvoorbeeld 5 á 10 minuten te wachten bij de kassa. Dit is vergelijkbaar wanneer een website trager reageert en het langer dan normaal duurt dat de pagina geladen is.

Wanneer het rustig is in een supermarkt en er komen opeens grote groepen mensen de winkel binnen, dan spreken we van piekmomenten. Hierdoor kunnen de kassa’s het niet meer aan en duurt het opeens 20 minuten of langer voordat je aan de beurt bent. Dit kan leiden tot een uitval van kassa’s. Dit is vergelijkbaar met een website. Op het moment dat er grote hoeveelheid bezoekers naar de website gaan, zal de ‘wachtrij’ toenemen. Hierdoor zal de website, webshop of digitaal platform lang laden of zelfs weigeren. Daardoor kunnen we spreken van een DDoS-aanval (met een uitzonderlijke situatie zoals eerder beschreven van het NCSC).

Is een DDoS-aanval strafbaar?

Ondanks dat een DDoS-aanval voor een paar Dollars of Euro’s gekocht kan worden, is het uitvoeren of het betrokken zijn bij een DDoS-aanval een strafbaar feit in Nederland en in de Europese Unie. Grote boetes en gevangenisstraffen van vijf jaar kunnen opgelegde sancties zijn.

Helaas is het wel zo dat het moeilijker is om de aanvaller te achterhalen. Dit komt omdat er vaak gebruik gemaakt word van verschillende IP-adressen en VPN’s (Virtual Private Networks). Ondanks dat het moeilijk is om een aanvaller of koper te achterhalen, lukt het de (cyber) Politie het steeds vaker om hen te traceren en voor te leiden aan het Openbaar Ministerie (OM) in Nederland. Deze daders komen niet alleen voor in Nederland, maar ook wereldwijd worden steeds vaker criminelen van deze daden opgepakt.

Zo werden verschillende mensen opgepakt die in Nederland een DDoS-aanval hadden opgezet. Op 11 november 2021 werden de Rechtbankwebsites aangevallen, op 22 juli 2022 waren de GGD-websites slecht bereikbaar, op 7 oktober 2015 werden er jongeren opgepakt voor een DDoS-aanval bij Ziggo en KPN, en werd er een man van 19 jaar opgepakt voor een DDoS-aanval op overheidswebsites op 19 maart 2020.

Waarom worden er DDoS-aanvallen uitgevoerd?

De beweegredenen van een DDoS-aanval op een website, webshop of digitaal systeem kan erg uiteenlopend zijn. Het kan gaan om een boze klant, voor de fun of als chantage middel. Hieronder zal ik de meest gebruikelijke redenen toelichten.

Chantage of afpersing

Een DDoS-aanval kan gebruikt worden voor chantage en afpersing. Zo worden websites of webshops langdurig aangevallen, waarbij de hacker (crimineel) geld vraagt in ruil voor het stoppen van een DDoS-aanval. Op deze manier kan de website of webshop geen inkomsten genereren.

Beveiligingsexperts maken zich dan ook terecht zorgen, omdat het veelal gaat om (grote) webshops. Het advies van deze beveiligingsexperts en de Politie is om geen geld te geven en aangifte te doen bij de Politie. Digitale specialisten kunnen dan actie ondernemen en onderzoek doen waar een dergelijke aanval vandaan komt.

Idealistisch doel

Het uitvoeren van een DDoS-aanval kan ook voortkomen uit een idealistisch doel. Dit is vaak het geval wanneer aanvallen worden gedaan op politieke-, overheids- of geloofswebsites. Maar het kan ook gebeuren in tijden van oorlog. Zo heeft de internationale hackersgroep Anonymous diverse Russische websites platgelegd als gevolg voor de censuur van Rusland in de Russische media. Daarop hebben Russische hackers weer de DDoS-aanvallen ingezet op Oekraïense (overheids)websites.

Datalekken

Een derde mogelijkheid is het bemachtigen van data. In de afgelopen jaren zijn er veel datalekken ontstaan, die helaas tijdens de Coronapandemie ook zijn toegenomen. Het doel daarvan is om data te bemachtigen van klanten. Zo kunnen e-mailadressen, adressen en bankgegevens buitgemaakt worden. Deze informatie kan dan weer gebruikt worden voor spam, phishing en andere illegale praktijken. In een ideale situatie zijn de criminelen uit op (crypto)geld voor eigen gewin.

Hoe voorkom je een DDoS-aanval als website eigenaar?

Hier zijn verschillende antwoorden op te geven, die niet altijd de directe oplossing zijn. Ondanks dat er gelukkig diverse diensten zijn om je te bewapenen tegen een DDoS-aanval, blijft het altijd nog mogelijk dat een website, webshop of digitaal systeem slachtoffer kan worden.

Vele webhostingbedrijven bieden betaald of gratis diensten aan om DDoS-aanvallen tegen te gaan. Hierdoor kunnen dergelijke aanvragen al vaak voorkomen worden voordat de eigenaar of de bezoeker daarvan iets merkt. Een toegevoegde waarde daarvan is ook de Google ReCaptcha (versie 3), die gedrag op een website kan monitoren. Zo voorkom je vroegtijdig dat je slachtoffer zal worden van een DDoS-aanval.

Daarnaast raad ik je van harte aan om je website (en de daarop draaiende systemen) up-to-date te houden. Denk bijvoorbeeld maar aan het updaten van je WordPress core-systeem, aan je WordPress plug-ins, aan je PHP-versie van je webserver, SQL-database, of aan je systemen zoals JQuery, draaiende scripts (Installatron / Softaculous) en Bootstrap. Hiermee voorkom je kwetsbaarheden en heb je vaak modernere functies die je kunt implementeren in je website.

Als je een nieuwsorganisatie, onafhankelijke journalist, mensenrechtenorganisatie, organisatie die informatie geven over verkiezingen en deze controleert of een politieke organisatie bent, dan kan je in aanmerking komen voor de DDoS-aanval bescherming van Google. Dit gebeurt via het Google Project Shield project.

Mocht je toch onverhoopt slachtoffer zijn van een DDoS-aanval? Zorg dan ervoor dat je bewijsmateriaal verzameld. Dit kunnen webserverlogs zijn, logs van je systemen of printscreens van je webserver waarop de activiteiten te zien zijn. Deze bewijslasten kan je meenemen wanneer je aangifte doet bij de Politie. Indien je financiële schade hebt en dat is al in een vroegtijdig stadium bekend, dan kan je die ook meenemen en overhandigen aan de Politie.

Zorg uiteindelijk ervoor, op advies van het Nationaal Cyber Security Centrum (NCSC), dat je een technische en organisatorische maatregelen neemt wanneer je te maken hebt met een DDoS-aanval(len). Hierdoor kan je vroegtijdig maatregelen treffen en een duidelijke response- en communicatiestrategie uitvoeren. Daarbij kan je gebruik maken van een ICT-infrastructuur om inzichtelijk te krijgen welke maatregelen jezelf en welke maatregelen externe leveranciers kunnen nemen om de DDoS-aanval af te slaan. Daarvoor kan je de Factsheet Technische maatregelen voor continuïteit voor online diensten en Factsheet Continuïteit van online diensten gebruiken van het NCSC.

Hoe voorkom je dat jezelf onderdeel bent van een DDoS-aanval bij anderen?

Dit is lastig om te zeggen, omdat het helaas zo is dat je niet of vaak te laat weet dat je geïnfecteerd bent met een malware of een ander virus. Zo kan je langere tijd gebruikt worden voor DDoS-aanvallen. Vaak word dit herkent op het moment dat je computer opeens heel traag is of wanneer je veel internetactiviteiten hebt terwijl dat je geen programma hebt openstaan waar een internetverbinding meegemaakt zal worden.

Mijn eerste advies is dan ook om updates gelijk te installeren. Controleer daarom minimaal één keer per week (het liefst vaker) je programma’s op je computer, laptop, smartphone en tablet of er een update beschikbaar is. Is die er? Installeer deze dan. Naast beveiligings- en bugfixes bevatten deze updates ook vaak verbeteringen die voor jou ten goede komen. Zorg daarnaast dat je ook andere programma’s update. Bijvoorbeeld Windows, Apple en Android besturingssystemen. Maar ook apps, Microsoft Office, Discord, applicaties voor games of andere (professionele) betaalde of gratis software.

Zorg daarnaast dat je een goede beveiligingsdienst heb. Mijn advies is om alleen connectie te maken met internetverbindingen die je vertrouwd, omdat je data via onveilige internetconnecties (open Wi-Fi netwerken) mogelijk onderschept kunnen worden. Mocht je dit wel willen doen, zorg er dan voor dat je goede antivirus programma geïnstalleerd hebt op je computer, laptop, tablet en smartphone. Eén van de bekendste en toonaangevende antivirus programma’s is ESET.

Bronnen: Dit artikel is geschreven op basis van mijn eigen kennis en ervaring, maar ook met de aanvullende informatie van de Nederlandse Politie, Nationale Cyber Security Centrum (NCSC) en Kaspersky.