Technologie ontwikkelt zich in een razendsnel tempo en verbetert daarmee de kwaliteit van ons leven en wat we op het internet kunnen doen. Maar tegelijkertijd, zoals altijd in de geschiedenis, kent technologie twee kanten. Een productieve en een destructieve. Online aanvallen en kwaadaardige hacks zijn een destructief onderdeel van het web dat de afgelopen tien jaar sterk is toegenomen. De methoden worden ook steeds geavanceerder. Een van de meest gebruikte online aanvallen is de distributed denial of service-aanval, kortweg DDoS. DDoS is een verder ontwikkelde en geavanceerdere vorm van de DoS-aanval (denial of service). Waar veel andere aanvalsmethoden, zoals het beruchte trojaans paard, ooit gevreesd waren maar inmiddels verouderd zijn, heeft de DDoS-methode de tand des tijds doorstaan en wordt die tot op de dag van vandaag met succes ingezet. Er zijn uiteraard manieren om ertegen te verdedigen en preventieve maatregelen te nemen. Maar wat doe je als je thuisnetwerk aangevallen wordt? In dit artikel bespreek ik tien oplossingen en preventieve methoden voor DDoS-bescherming van thuisnetwerken. Maar laten we eerst de basisconcepten goed definiëren.
Wat is een DDoS-aanval?
Anders dan vaak gedacht, is een DDoS-aanval geen hackoperatie. De aanvaller is er niet op uit om de controle over je netwerk of server over te nemen. Het doel is juist om die buiten werking te stellen. Hoewel er verschillende DDoS-aanvalsmethoden zijn die in drie algemene categorieën vallen, volgt het aanvalspatroon bij alle varianten min of meer hetzelfde stramien. Bij een DDoS-aanval overspoelt de aanvaller het doelnetwerk of de doelserver met een enorme hoeveelheid nep-netwerkverzoeken.
De snelheid en het volume van deze nep-verzoeken zijn zo groot dat ze de bandbreedte van je netwerk of server volledig in beslag nemen en alle beschikbare resources dwingen die verzoeken te verwerken. Als gevolg reageert de server niet meer op andere taken en verzoeken bij gebrek aan verwerkingscapaciteit, of crasht hij volledig. De aanvaller voert deze aanvallen doorgaans uit via een reeks apparaten die zijn geprogrammeerd om continu verzoeken te sturen. Deze apparaten maken deel uit van een zogeheten "botnet". Omdat thuisnetwerken draaien op toegewezen bandbreedte van een centrale server van je internetprovider, zijn ze relatief eenvoudiger neer te halen met DDoS dan een zelfbeheerde server. Daarom is router-DDoS-bescherming essentieel.
De drie typen DDoS-aanvallen
Het is belangrijk om de drie algemene categorieën te kennen die een DDoS-aanvaller kan inzetten om schade aan je thuisnetwerk te veroorzaken. Dit zijn geen aanvalsmethoden op zich, maar aanvalsschema's die elk meerdere specifieke DDoS-technieken omvatten. Hieronder een kort overzicht.
Volumetrische Aanvallen
Zoals de naam al aangeeft, zijn volumetrische aanvallen puur gebaseerd op hoeveelheid. Daardoor zijn het ook de meest voorkomende vorm van DDoS-aanval . De aanpak is eenvoudig: de aanvaller stuurt zo veel mogelijk nep-verkeer om de server te laten crashen. Het doelwit is je DNS. Als de eerste golf verzoeken niet genoeg is, wordt die gewoon herhaald. Volumetrische aanvallen zijn populair omdat ze relatief weinig technische kennis vereisen. Het goede nieuws: dat maakt DDoS-bescherming van thuisnetwerken tegen deze methode ook een stuk eenvoudiger.
Protocolaanvallen
Protocol-gebaseerde aanvallen vereisen iets meer inspanning, maar de gevolgen voor een thuisnetwerk zijn ook een stuk ernstiger. Bij deze methode heeft de aanvaller een basisniveau van communicatie nodig tussen zijn netwerk en het jouwe. Daarvoor stuurt hij een zogenaamde "TCP"-handshake. Als je die handshake accepteert, worden initiële gegevens uitgewisseld, waaronder IP- en DNS-adressen. Vervolgens voltooit de aanvaller de handshake niet. In plaats daarvan gebruikt hij de verkregen gegevens om steeds opnieuw TCP-handshakeverzoeken te sturen met nep-IP-adressen. Elk van die verzoeken verbruikt bandbreedte, ook als ze worden afgewezen. Uiteindelijk raakt de server overbelast en valt hij uit.
Applicatielaag
Application Layer DDoS-aanvallen zijn de meest ingenieuze aanvalsvorm, omdat ze de eigen applicatie of gehoste resources van een server tegen zichzelf inzetten. Zoals de naam suggereert, richt de aanval zich niet op de basisinfrastructuur van de server, maar op de "applicatielaag" van de gehoste data. Is het doelwit een website, dan vraagt de aanvaller herhaaldelijk een niet-bestaand onderdeel van die site op. De server stuurt dan telkens een foutmelding terug om aan te geven dat die pagina niet bestaat. De aanvaller blijft dit herhalen totdat de server overbelast raakt en helemaal niet meer reageert, op legitieme noch illegitieme verzoeken.
De Zero Day en andere DDoS-aanvalsmethoden
Elk van de drie eerder genoemde categorieën DDoS-aanvallen omvat ook een aantal specifieke aanvalsmethoden. De meest voorkomende methoden binnen de categorie protocolaanvallen zijn TCP-overstroming en SYN-vloed. Bij volumetrische aanvallen kennen we de ICMP-flood, ping of the death, en UDP-overstroming. En op de applicatielaag hebben we de slowloris-methode. Al deze methoden zijn goed gedocumenteerd en er bestaan manieren om ze te neutraliseren, zowel op thuisnetwerken als op onafhankelijke servers. Maar er is ook nog een andere categorie DDoS-aanvallen, bekend als Zero Day-aanvallen. Zoals de naam al aangeeft, zijn dit aanvalsmethoden die nog niet eerder zijn ontdekt. Hun bestaan komt pas aan het licht wanneer ze voor het eerst worden ingezet tegen een nieuw slachtoffer. Omdat het concept van DDoS-aanvallen voortdurend evolueert, bestaan er veel verschillende zero-day-aanvallen met nieuwe en inventieve methoden. Zero-day-aanvallen worden als waardevol beschouwd omdat hun werkwijze nog niet bekend is. Er wordt dan ook aangenomen dat deze methoden worden bewaard voor inzet tegen belangrijke doelwitten. Alle eerder genoemde methoden werden ooit ook als zero-day-aanvallen beschouwd. Over het algemeen zijn deze aanvallen echter het laatste waar je je zorgen over hoeft te maken als het gaat om DDoS-beveiliging voor je thuisnetwerk.
Een HTTP-flood is ook een veelvoorkomende DDoS-aanval. Om jezelf hiertegen te beschermen, is het sterk aan te raden je HTTP te beveiligen wanneer je online browst in browsers zoals Chrome.
Motieven achter een DDoS-aanval
Achter elke DDoS-aanval schuilen andere motieven, maar er is wel een patroon te herkennen in de oorzaken. Grootschalige DDoS-aanvallen hebben doorgaans twee aanleidingen. De eerste is afpersing. Wanneer een groep hackers de online aanwezigheid van een bedrijf weet uit te schakelen, treft dat het bedrijf hard in zijn marketing en bedrijfsvoering. Het slachtoffer kiest er dan vaak voor om de aanvallers simpelweg te betalen om de DDoS-aanval te staken. Een andere reden voor grootschalige DDoS-aanvallen is het sturen van een politieke boodschap of het voeren van sociale activisme.
Wanneer een DDoS-aanval gericht is op een thuisnetwerk, kunnen de motieven iets anders zijn. Als een thuisnetwerk specifiek als doelwit wordt gekozen, is de reden meestal persoonlijk van aard. Is dat niet het geval, dan ben jij of jouw internetprovider hoogstwaarschijnlijk slachtoffer geworden van een afpersingspoging. Het is ook bekend dat sommige gamers DDoS inzetten tegen andere gamers tijdens multiplayer-sessies om lag te veroorzaken bij tegenstanders en zichzelf een voordeel te verschaffen. De kans dat je op je thuisnetwerk persoonlijk het doelwit wordt van een DDoS-aanval is over het algemeen klein, maar wat doe je als het toch gebeurt? Hier zijn tien manieren om je thuisnetwerk te beschermen tegen DDoS.
10 methoden voor DDoS-beveiliging op een thuisnetwerk
Voordat we elke methode toelichten, is het belangrijk te vermelden dat geen van deze oplossingen op zichzelf afdoende bescherming biedt tegen een DDoS-aanval op je thuisnetwerk. Ze moeten in combinatie met elkaar worden toegepast om DDoS op het thuisnetwerk te voorkomen.
1. Preventie Is Koning
Dit is eigenlijk geen technische maatregel tegen DDoS-aanvallen, maar meer een manier van denken. DDoS-aanvallen zijn de meest voorkomende vorm van kwaadaardige online activiteit. Hoe klein de kans ook is dat je thuisnetwerk het doelwit wordt, het is toch sterk aan te raden om je eigen onderzoek te doen en alle preventieve, voorzorgs- en voorbereidende maatregelen te treffen die je kunt nemen. Geen enkel slachtoffer van een succesvolle DDoS-aanval was erop voorbereid. Dit maakt duidelijk dat een deel van de opties die verderop in dit artikel aan bod komen, nu al geïmplementeerd moet worden. Vóórdat de aanval op je thuisnetwerk plaatsvindt.
2. Verander de IP-beveiliging
Je IP-adres is je online identiteit en het belangrijkste middel waarmee jij, je apparaten en je netwerk online worden herkend. Het is dan ook het eerste aangrijpingspunt vanwaaruit aanvallen op je worden uitgevoerd in een hypothetisch aanvalsscenario. Het is verstandig om bij risicovolle online activiteiten je IP-adres te maskeren. Nog beter is het om een wisselende IP-strategie te hanteren door je internetprovider periodiek een nieuw IP-adres aan je toe te laten wijzen. Dit maakt het aanzienlijk moeilijker om jou als doelwit te identificeren.
3. Gebruik een VPN
Veel DDoS-aanvallers richten zich op grote lijsten met IP-adressen die ze van publieke domeinen verzamelen. Er is altijd een kans dat jouw IP-adres ook in een van die domeinen voorkomt. Daarom is het, in lijn met wat eerder werd gezegd over IP-beveiliging, verstandig om een virtual private network te gebruiken. Deze VPN maskeert en vervangt niet alleen je werkelijke IP-adres volledig, maar versleutelt ook je gegevens. Dit maakt het uitvoeren van een succesvolle DDoS-aanval op je thuisnetwerk aanzienlijk moeilijker. Dat is dus nog een reden waarom je een VPN zou gebruiken.
4. MACsec
IEEE 802.1AE, ook bekend als MACsec, is een netwerkprotocol dat bepaalde onderdelen van je verbinding, zoals Ethernet en VLAN, onkwetsbaar maakt voor overweldigende DDoS-aanvallen. Het configureren van een MACsec-protocol voor DDoS-beveiliging op een thuisnetwerk is echter een tamelijk complexe en technische aangelegenheid. Toch blijft het een van de meest effectieve methoden om aanvallen zoals man-in-the-middle en DDoS te voorkomen. Als je thuisnetwerk regelmatig te maken heeft met DDoS, is het implementeren van MACsec een goede stap vooruit in je beveiliging.
5. Gebruik anti-DDoS-software
Dit is verreweg de meest directe aanpak. Anti-DDoS-software is speciaal ontworpen om de patronen te herkennen die worden gebruikt door de verschillende DDoS-aanvalsmethoden. Zodra het inkomende verkeer als kwaadaardig wordt geïdentificeerd, blokkeert de software de communicatie of verbreekt het de verbinding met het kwaadaardige apparaat volledig door het IP-adres te blokkeren. Er zijn meerdere betrouwbare opties op het gebied van anti-DDoS-programma's, zoals SolarWinds' Security Event Manager, dat je ook beschermt tegen aanvallen die gebruikmaken van kwetsbaarheden in externe toegangsprotocollen zoals SSH.
6. Houd je besturingssysteem up-to-date
Ik kan het niet genoeg benadrukken: houd je besturingssysteem up-to-date. En dat geldt voor alle apparaten die verbonden zijn met je thuisnetwerk. Of je nu Linux, macOS of Windows op je desktop gebruikt, of Android of iOS op je telefoon, zorg dat alles bijgewerkt is naar de nieuwste versie. Verouderde besturingssystemen zijn een van de meest misbruikte zwakke plekken in beveiliging. Ze stellen een aanvaller in staat om eerst het verouderde apparaat binnen te dringen en van daaruit het netwerk aan te vallen.
7. Vermijd verdachte poorten
Veel van ons gebruiken dagelijks entertainment- en communicatiesoftware die bepaalde transmissiepoorten nodig heeft om gegevens uit te wisselen tussen ons apparaat en hun servers. Bekende voorbeelden zijn Steam, Netflix, Discord, Skype, Spotify, Xbox Live, enzovoort. Naast de officiële, beveiligde poorten bestaan er ook alternatieve poorten die soms worden gebruikt om bugs te omzeilen of toegang te krijgen tot nieuwe content. Maar het risico voor je netwerkbeveiliging is het simpelweg niet waard. Gebruik deze verdachte poorten nooit en houd je altijd aan de officieel opgegeven poorten per dienst. Anders maakt een aanvaller heel eenvoudig verbinding voor aanvallen zoals een TCP-flood.
8. Houd je router up-to-date
Dit is een ander cruciaal onderdeel van de beveiliging van je thuisnetwerk. Het voorkomt niet alleen DDoS-aanvallen op het thuisnetwerk, maar het helpt ook goed tegen allerlei andere vormen van kwaadaardige online activiteit. Net als de apparaten die op het netwerk zijn aangesloten, brengen modems en routers ook software-updates uit die gericht zijn op het verbeteren van de beveiliging. Oudere versies hebben daardoor een zwakkere beveiliging dan nieuwere. Een gecompromitteerde router is het slechtste scenario, omdat die zowel het centrale doelwit van de aanval wordt als een aanvalsmiddel: de aanvaller gebruikt de router zelf om het netwerk te overbelasten. Houd je router dus up-to-date.
9. Beveiliging van spraakchat
Het is ook bekend dat diensten als Skype en zelfs Discord kwetsbaarheden kunnen hebben op basisniveau. Hierdoor kan een aanvaller een eenvoudig audiogesprek of videogesprekverzoek laden met een UDP-pakket om een handshake tot stand te brengen en vervolgens een volledige DDoS-aanval te starten. Accepteer daarom als algemene regel nooit verzoeken voor audiogesprekken of videogesprekken van mensen die je niet kent op het internet. Dit sluit aan bij de eerste tip in dit artikel: houd altijd een defensieve instelling om DDoS-aanvallen te voorkomen in plaats van ze op te lossen als ze al plaatsvinden. Gebruik bij voorkeur ook communicatiesoftware die je niet blootstelt aan dergelijke risico's.
10. Neem contact op met je internetprovider
Als je niet de technische kennis hebt om de verschillende oplossingen op deze lijst uit te voeren, of als er al een volledige aanval heeft plaatsgevonden waardoor het netwerk volledig onbereikbaar is, dan is je enige optie contact opnemen met je internetprovider. Als beheerder van de server kunnen zij je IP-adres wijzigen om de lopende aanval te stoppen en vervolgens het verantwoordelijke IP-adres blokkeren dat de DDoS-aanval uitvoerde. Veel internetproviders bieden ook standaard DDoS-bescherming aan, dus het kiezen van zo'n provider helpt ook enorm.
Conclusie
DDoS-aanvallen zijn veruit de vervelendste vorm van kwaadaardige online activiteit waarmee iemand te maken kan krijgen. Hoewel de schade niet gericht is op je persoonlijke gegevens, maakt de moeilijkheid om de aanvaller te traceren en de aanval te stoppen het extra frustrerend. DDoS-aanvallen zijn niet beperkt tot een specifiek type server of host. Ze kunnen ook voorkomen wanneer je gebruikmaakt van externe toegangsdiensten zoals een VPS. Het is daarom sterk aan te raden om een VPS-provider te kiezen die niet alleen over een sterke basisbeveiliging beschikt tegen DDoS-aanvallen, maar die een aanval ook direct kan stoppen als die daadwerkelijk plaatsvindt. Cloudzy biedt uitstekende DDoS-beveiligde VPS diensten die je voorgoed bevrijden van zorgen over DDoS. Cloudzy beschikt bovendien over meer dan 12 locaties, op maat gemaakte pakketten, uitstekende connectiviteit, een uptime van 99,95% en zelfs een geld-terug-garantie van zeven dagen.
Krachtige VPS-hosting tegen lage prijzen
Profiteer van onze betaalbare VPS-hosting voor uiteenlopende toepassingen, waaronder het hosten van websites of games, trading, remote desktop servers en app-ontwikkeling en -testen.
Haal een krachtige VPS in huisVeelgestelde vragen
Kan een thuisnetwerk het doelwit zijn van een DDoS-aanval?
Ja. Het is niet alleen mogelijk, maar omdat thuisnetwerken een bepaalde hoeveelheid resources toegewezen krijgen vanuit een centrale server, zijn ze extra kwetsbaar voor uitval onder de druk van een krachtige DDoS-aanval.
Bestaan er routers met DDoS-bescherming?
Ja. En het is sterk aan te raden om die te gebruiken. Omdat de bescherming in softwarevorm wordt geleverd, voegen sommige oudere routers die dit oorspronkelijk niet hadden anti-DDoS-functies toe via updates. Vandaar ook het belang van het up-to-date houden van je router.
Hoe herken je een DDoS-aanval op je thuisnetwerk?
Er zijn verschillende signalen dat er een DDoS-aanval gaande is. Denk aan een flinke daling van de netwerksnelheid en time-outfouten. Verkeerspieken die een herkenbaar patroon volgen, zijn ook een duidelijke indicator.
