DDoS-clearinghouse in gebruik bij Nationale Anti-DDoS-coalitie

Gezamenlijk DDoS-aanvallen bestrijden

In 2018 kampte de Nederlandse bankensector met veel DDoS-aanvallen, wat leidde tot storingen in het betalingsverkeer van bijvoorbeeld ABN AMRO Bank en ING. Ook andere sectoren en overheidsinstanties kregen er in toenemende mate mee te maken, bijvoorbeeld omdat DDoS-aanvallen eenvoudiger uit te voeren werden met zogenaamde booters. Ook vandaag vormen DDoS-aanvallen nog een dreiging, bijvoorbeeld voor ziekenhuizen en ondernemers.

Het probleem in 2018 was dat potentiële slachtoffers wel ieder hun eigen anti-DDoS-faciliteiten hadden ingericht (bijvoorbeeld via de DDoS-beschermingsservice van NBIP of via commerciële partijen zoals Akamai), maar nauwelijks samenwerkten op dit gebied. Zo wisten ze vaak wel van de eigenschappen van de DDoS-aanvallen die tegen henzelf waren gericht (bijvoorbeeld gebruikte aanvalssystemen en netwerkprotocollen), maar zagen ze niet die van aanvallen die bij anderen plaatsvonden. Het gevolg: IT-teams konden zich minder goed voorbereiden op die laatste en moesten zelf reactief de karateristeken van een aanval leren en hoe ze die moeten opvangen en dat alles tijdens de aanval.

Start van de Nationale Anti-DDoS-coalitie

SIDN, SURF, en de Universiteit Twente publiceerden in april 2018 daarom een open brief aan de aanbieders van Nederlandse kritieke infrastructuur om een systeem te ontwikkelen dat we toen de ‘DDoS-radar’ noemden. Het had als doel data over DDoS-bronnen en -aanvallen uit te wisselen tussen potentiële slachtoffers, waarbij het systeem een aanvulling zou zijn op bestaande anti-DDoS-faciliteiten.

Mede op basis van de brief volgde er een eerste anti-DDoS-werksessie bij het NCSC op 22 mei 2018 met spelers uit de Nederlandse vitale infrastructuur, zoals het Ministerie van Economische Zaken, SIDN, de Betaalvereniging, AMS-IX, NL-ix NBIP, VNO-NCW, NoMoreDDoS, en de Universiteit Twente. De partijen stelden toen vast dat ze het samenkomen van verschillende initiatieven en het delen van kennis misten. Ze vonden ook dat DDoS een gemeenschappelijk probleem was van nationaal belang en dat ervaringsdeskundigen uit meerdere sectoren zouden moeten samenwerken en elkaar in dit opzicht niet als concurrent zouden moeten zien.

Op de werksessie richtten de partijen onder meer de werkgroep ‘Clearinghouse’ op die later een belangrijke rol zou spelen bij het ontwikkelen van het DDoS-clearinghouse (de nieuwe naam voor de DDoS-radar). De werksessie vormde ook het startpunt voor de Nationale Anti-DDoS-coalitie (NL-ADC), die zo’n 2 jaar later bestond uit 17 organisaties uit verschillende sectoren. We publiceerden toen een driedelige blogserie waarin we onze visie op en planning voor gezamenlijke DDoS-bestrijding en het DDoS-clearinghouse verder uiteenzetten.

CONCORDIA: onderzoek naar het delen van DDoS-data

In 2018 waren we vanuit SIDN, SURF en de Universiteit Twente ook betrokken bij de ontwikkeling van het project CONCORDIA, waarin we de research en development voor het DDoS-clearinghouse onderbrachten. We vonden daarbij de samenwerking met onderzoekers van Telecom Italia, Universität Zürich en FORTH.

De Europese Commissie besloot CONCORDIA te financieren en het project ging van start op 1 januari 2019. Het werk aan het clearinghouse trapten we af in maart 2020.

Onze aanpak: onderzoek en praktijk tegelijkertijd

Met de start van CONCORDIA kwamen we in de unieke positie dat we een continue dialoog op konden zetten tussen onderzoek (in CONCORDIA) en de praktijk via een beoogde gebruikersgroep van het DDoS-clearinghouse (de NL-ADC). Zo hadden we voor de NL-ADC een dienst die toegevoegde waarde kon leveren voor haar leden, en konden we vanuit CONCORDIA het clearinghouse ontwikkelen en piloten op basis van eisen vanuit de industrie.

We ontwikkelden het clearinghouse stapsgewijs in nauw overleg met de werkgroepen Clearinghouse en Legal van de NL-ADC. Het werd een modulaire applicatie die grofweg bestaat uit 3 componenten. De dissector vat de belangrijkste kenmerken van een DDoS aanval samen in een ‘DDoS fingerprint’, zoals de bron IP-adressen, protocollen en internetpoorten. DDoS-DB is de database waarin fingerprints worden opgeslagen en al dan niet gedeeld met andere coalitieleden. De extensions zijn extra add-ons voor het clearinghouse die bijvoorbeeld geografische informatie toevoegen of het aanvalsverkeer visualiseren. Ook ontwikkelden we een testbed waarmee we de werking van het clearinghouse kunnen testen met kleine hoeveelheden DDoS-verkeer.

We testten het clearinghouse daarna uitvoerig in een pilot met de NL-ADC in 2022. Het NBIP speelde daarbij een sleutelrol. Zij maakten tijdens de pilot DDoS-fingerprints van meer dan 250 DDoS-aanvallen. Zo konden we het clearinghouse in een semi-operationele omgeving op de proef stellen. We scherpten in de pilotfase ook de dissector verder aan om accuratere fingerprints te genereren. Na de pilot begonnen we aan de nodige technische en verdere juridische stappen voor het uitrollen van het systeem in productie.

We zijn live!

Sinds maart 2024 is het DDoS-clearinghouse in productie bij de NL-ADC en gratis beschikbaar voor haar leden. We zijn bijzonder trots dat we onze visie hebben weten om te zetten in een productiesysteem. Het DDoS-clearinghouse stond dus niet voor niets als een high-potential-innovatie op de Innovation Radar van de Europese Commissie!

Wat hebben we geleerd?

In dit traject van 6 jaar van visievorming, softwareontwikkeling, onderzoek en praktijksamenwerking hebben we 3 belangrijke lessen geleerd:

• Meer dan een technisch probleem Gezamenlijke DDoS-mitigatie vereist meer dan een technisch werkend DDoS-clearinghouse. Het is belangrijk om vooraf en tijdens de ontwikkeling van zo’n technisch systeem tegelijkertijd een bestuursstructuur en eenvoudige datasharingovereenkomsten te ontwerpen. Vergelijkbaar met een collectie muziekinstrumenten moeten verschillende (technische, organisatorische en juridische) aspecten samenwerken om het geheel te laten werken. De instrumenten zelf vormen niet het orkest.

• Multidisciplinaire teams Gezamenlijke DDoS-bestrijding is een probleem dat gegrond is in meerdere verschillende disciplines (denk bijvoorbeeld aan netwerkbeheer, privacy en security operations) en vereist dito teams. Een voorbeeld is dat we de juristen in de Anti-DDoS-coalitie uitgebreid meenamen in de technische concepten van DDoS-aanvallen en het delen van fingerprints en het belang ervan. Andersom konden zij de technische teams meenemen in juridische of privacyoverwegingen. Met dit wederzijdse begrip waren we samen in staat de benodigde data-sharingovereenkomsten eenvoudiger en minder strikt te ontwerpen dan daarvoor.

• Begin klein en groei Doordat we begonnen met een pilot van het DDoS-clearinghouse met een klein aantal deelnemers, konden we snel itereren over softwareversies en nieuwe eisen van de NL-ADC snel verwerken. Hierdoor bouwden we verder vertrouwen op binnen de coalitie en konden we relatief snel de overeenkomsten ontwikkelen voor het delen van DDoS-fingerprints. Vervolgens was het een veel kleinere stap om het concept uit te bouwen tot een productiewaardige dienst.

Open source all the way

We ontwikkelden het clearinghouse volledig open source. Dit betekent dat zowel de software voor het DDoS-clearinghouse zelf als het testbed beschikbaar zijn op onze GitHub-pagina.

Daarnaast publiceerden we bijvoorbeeld ook de templates van de overeenkomsten die we gebruikten voor de NL-ADC, zodat we anderen (bijv. andere EU-lidstaten) een ‘cookbook’ bieden om hun eigen DDoS-clearinghouse op te zetten. Hierin zetten we niet alleen de technische werking van het DDoS-clearinghouse uiteen, maar behandelen we ook de organisatorische en juridische vereisten van zo’n systeem. Een samenvatting van het cookbook vind je in een artikel dat we publiceerden in het wetenschappelijke peer-reviewed blad IEEE Communications Magazine.

Wat ligt er in het verschiet?

Hoewel het clearinghouse in productie draait en CONCORDIA in mei 2023 afliep gaat het werk aan het DDoS-clearinghouse in de NL-ADC door.

Zo richtte de NL-ADC recent een nieuwe werkgroep op: ‘intel & attributie’. Hierin gaan we met behulp van het DDoS-clearinghouse bronnen van DDoS-aanvallen identificeren, fingerprints onderling vergelijken ter behoeven van trendanalyses, en het uitwisselen van dreigingsinformatie vergemakkelijken.

In de werkgroep clearinghouse gaan we met de feedback van de deelnemers het systeem verder technisch verbeteren. Ook gaan we de fingerprints in het DDoS-clearinghouse gebruiken om aanvalsscenario’s voor de grootschalige DDoS-oefeningen te ontwikkelen die de NL-ADC jaarlijks organiseert. Zo kunnen coalitieleden zich nog beter voorbereiden op wat ze in het echt kunnen verwachten.

Sluit je aan!

Ben je geïnteresseerd in de Nationale Anti-DDoS-coalitie en de verschillende activiteiten die we erin ondernemen? Of heb je vragen? Stuur een mail naar info@nomoreddos.org. Samen staan we sterker tegen DDoS!

Met dank aan

We bedanken alle organisaties die zijn aangesloten bij de Nationale Anti-DDoS-Coalitie. Zij zijn het fundament voor alle activiteiten en samenwerkingen binnen de coalitie. We bedanken ook onze samenwerkingspartners van CONCORDIA voor hun bijdrage aan het technische systeem: Telecom Italia, FORTH en University of Zurich.