Wat is een Denial of Service-aanval?

De besmette computers overweldigen en masse het doelwit

26 januari 2001 | Jamie Biesemans Websites worden meer en meer slachtoffer van zogenoemde Denial of Service (DoS)-aanvallen, aanvallen die websites soms dagenlang uit de lucht halen. Opvallend daarbij is dan het weinig uitmaakt hoe goed de beveiliging van servers is tegen hackers; als een site het doelwit wordt van een DoS-aanval is het resultaat meestal totale onbereikbaarheid en in het ergste geval een servercrash. Bovendien is er weinig technisch kennis vereist om een DoS-aanval in te zetten. Overal op het Net zijn programma's terug te vinden om een beginnende hacker een handje te helpen.

Maar wat is een DoS-aanval nu eigenlijk? Technisch gesproken gaat het bij de bekendste gevallen, zoals de aanvallen in februari 2000 op CNN en Yahoo! en recent nog tegen het Microsoft-netwerk, om een Distributed Denial of Service (DDoS)-aanval. Bij DoS en DDoS is het principe hetzelfde. Een doelwit, meestal een webserver of een routermachine, wordt gebombardeerd met ongelooflijk veel datapakketten, vaak User Datagram Protocol (UDP)-pakketten. Dit heeft twee gevolgen: de internetverbinding wordt overbelast waardoor legitieme bezoekers niet op de site geraken en de server wordt in de war gebracht door fouten in de datapakketten, soms met een crash tot gevolg. Een typische 'fout' die wordt aangebracht is dat het versturingsadres van een UDP-pakket hetzelfde is als die van de server, waardoor die 'in de war' raakt. De netwerkbeheerder kan weinig meer doen dan lijdzaam toezien. Bij een 'gewone' DoS-aanval zijn de datapakketten afkomstig van één computer. Dit maakt het opsporen van de dader gemakkelijk - gewoon zoeken naar de bron - en de aanval is minder effectief. Het blokkeren van een DoS-aanval is ook relatief simpel.

Veel venijniger is de gedistribueerde variant. Zo'n aanvallen verlopen in twee fasen: eerst besmet een hacker een hoop computers met een speciaal programma, een daemon, dat vaak in de achtergrond actief is zonder dat de gebruiker het merkt. Onbewaakte toestellen met een permanente internetverbinding en die deel uitmaken van grote netwerken, bijvoorbeeld van universiteiten, hebben de voorkeur. Kwetsbare pc's worden meestal gevonden door een poortenscan te laten uitvoeren. Als er voldoende computers zijn overgenomen, geeft de hacker het startsignaal. Dan beginnen de besmette computers en masse het doelwit te 'bombarderen'. Doordat de hacker enkel een coördinerende rol opneemt, is het vinden van de persoon achter de aanval moeilijker. Daar komt bij dat de datapakketten van veel verschillende plekken op het Internet komen, waardoor het blokkeren van de aanval uitermate moeilijk wordt. In vergelijking met een DoS-aanval worden er ook veel meer datapakketten verstuurd.

Zo'n aanval klinkt misschien geavanceerd maar is dat eigenlijk niet. Zo ondervond de Canadese politie dat de hacker 'Mafiaboy', beschuldigd van de aanvallen op CNN.com en anderen, eigenlijk relatief weinig wist van computers. Beginnende hackers maken dikwijls gebruik van speciale programma's die op probleemloos op het Internet te vinden zijn en die het opzetten van een aanval vrij gemakkelijk maken. Namen als Tribal Flood Network en TF00 verhullen applicaties die vlot een website kunnen neerhalen.

De economische gevolgen zijn moeilijk in te schatten, maar lopen snel op. Volgens sommige analisten kostten de aanvallen in februari 2000 1,2 miljard dollar. Vooral de getroffen e-commerce-sites zagen inkomsten aan hun neus voorbij gaan. Lees meer artikels over : dos, hacker

bron: ZDNet