De DDoS-maalstroom in: DNS-gegevens gebruiken om door NBIP NaWas gefilterde aanvallen te trianguleren

SIDN Labs werkt samen met NBIP en haar DDoS-wasstraat (NaWas) om de metadata van gefilterde DDoS-aanvallen te analyseren en deze te correleren met DNS-gegevens. Hierdoor verkrijgen ze meer inzicht over hoe DDoS-aanvallen in het wild worden uitgevoerd. In aanvulling op hun blog publiceert SIDN Labs een nieuw technisch rapport waarin ze de belangrijkste bevindingen uitgebreid delen.

De niet-commerciële Nationale Beheerorganisatie Internet Providers (NBIP) runt al sinds 2014 een DDoS-wasstraat (NaWas) voor haar deelnemers. De deelnemers kunnen daardoor om DDoS-filtering vragen als ze worden aangevallen. De wasstraat maakt gebruik van DDoS-filterapparatuur om aanvallen op de huidige 151 deelnemers te bestrijden.

Om te begrijpen hoe aanvallers te werk gaan, voerden ze samen met NBIP een analyse uit op aanvallen die door de wasstraat zijn gefilterd. Ze analyseerden 22 maanden aan DDoS-metadata en correleerden deze data met DNS-informatie waarover ze bij SIDN beschikken. Hierdoor verkregen we meer inzicht in aanvalsmechanismen wat kan resulteren in betere detectiesystemen.

Conclusie

Goedkoop, gemakkelijk en betrekkelijk populair: zo denken aanvallers over DDoSsen. Er is een hele bedrijfstak ontstaan rondom het afslaan van dergelijke aanvallen en wasstraten behoren tot de oplossingen die het meest in trek zijn. Om licht te werpen op de werking van wasstraten, presenteert SIDN Labs het eerste longitudinale onderzoek van een niet-commerciële wasstraat (NaWas) die al enkele jaren actief is.

Ze laten zien dat de meeste aanvallen niet lang meer duren zodra de wasstraat in actie komt, waarschijnlijk omdat de wasbeurt een aanval minder effectief maakt en daarmee voorkomt dat de aanvaller zijn doel bereikt. De aanvallen die we waarnemen, zijn niet zo groot als de terabit-aanvallen die de afgelopen jaren zo nu en dan voorbijkwamen. Dat neemt niet weg dat ook DDoSsen op gigabit-niveau een goede kans maken om webservers te overspoelen en bepaalde koppelingen tussen domeinen te verstoren.

SIDN Labs trianguleert de DDoS-metadata met twee andere datasets, waardoor ze een schatting kunnen maken van de nevenschade die door de aanvallen wordt veroorzaakt. Voor de geanalyseerde datasets laten ze zien dat het aantal domeinen dat de dupe wordt van een aanval zonder het hoofddoel ervan te zijn in kwadratische verhouding staat tot het aantal aangevallen IP-adressen – wat aangeeft wat de nevenschade van dergelijke aanvallen is.

Aan de hand van de resultaten van dit onderzoek kunnen ze vroegtijdige waarschuwingssystemen ontwerpen voor de detectie van DDoS-aanvallen op basis van DNS-gegevens.

Dit bericht is overgenomen van SIDN Labs, lees de hele blog hier.