De opkomst van het gebruik van anti-DDoS-diensten onder .nl-domeinnamen

DDoS-aanvallen in het kort

Het doel van Denial-of-Service-aanvallen (DoS) is om legitieme gebruikers van een service de toegang tot deze service te ontnemen. Met een service bedoelen we bijvoorbeeld een website en de daarbij behorende webserver. DoS-aanvallen bereiken hun doel doorgaans door de lijn waarmee een server met het internet is verbonden te overladen met netwerkverkeer. Of door het geheugen van een server uit te putten met verzoeken voor, bijvoorbeeld, een webpagina. Op het moment dat een DoS-aanval, om het effect te vergroten, door meerdere machines tegelijk wordt uitgevoerd, dan spreken we van een gedistribueerde aanval, ofwel een Distributed Denial-of-Service-attack (DDoS).Er zijn 2 klassen van DoS-aanvallen: volumetrische en semantische aanvallen. Bij volumetrische aanvallen zijn grote hoeveelheden netwerkverkeer betrokken. Bij semantische aanvallen probeert men om specifieke kwetsbaarheden in een server te exploiteren om een service te verstoren. In tegenstelling tot volumetrische aanvallen is bij semantische aanvallen niet per se veel netwerkverkeer betrokken.

Wat zijn anti-DDoS-diensten?

Anti-DDoS-diensten bieden bescherming tegen DoS-aanvallen. Beheerders van onder andere websites kunnen, doorgaans tegen betaling, gebruikmaken van hun expertise in het afslaan van (complexe) aanvallen. Meestal bieden de diensten bescherming tegen volumetrische, semantische of beide aanvalsklassen. Één van de manieren waarop bescherming kan worden gerealiseerd is met speciale apparatuur die bij een klant wordt geplaatst, bijvoorbeeld tussen een webserver en het internet. Een andere manier hangt af van het omleiden van netwerkverkeer naar apparatuur die in data centrum van de anti-DDoS-dienst staat. Alleen het goedaardige verkeer dat bestemd is voor de klant, wordt dan via de anti-DDoS-dienst doorgelaten. Grote volumetrische aanvallen kunnen in de regel niet alleen met apparatuur bij een klant worden afgeslagen, omdat deze apparatuur weerloos is tegen een overbelaste internetlijn. In dit geval hangt effectieve bescherming af van de omleiding van netwerkverkeer naar de anti-DDoS-dienst. Deze heeft meestal een lijn met (veel) grotere capaciteit.Er zijn 2 manieren om verkeer om te leiden. De eerste maakt gebruik van het zogenaamde “Border Gateway Protocol” (BGP). BGP is de technologie die zorgt voor interconnectie tussen verschillende entiteiten (b.v. providers) op het internet. BGP kan worden gebruikt om het verkeer van gehele netwerken (dat wil zeggen de IP-adressen van meerdere machines) in één keer om te leiden. De 2e manier gebruikt het Domain Name System (DNS) en is in de regel toepasbaar om diensten, gebaseerd op een domeinnaam, die gebruikers benaderen, te beschermen tegen aanvallen. Websites zijn hier een goed voorbeeld van. Een DNS-resolutie voor bijvoorbeeld www.voorbeeld.nl, levert dan niet het adres van de webserver op, maar van een zogeheten “reverse proxy”, die in het datacenter van de anti-DDoS-dienst staat. Alle bezoekers van de websites – zowel goedaardig als kwaadaardig – maken dan verbinding met de proxy om www.voorbeeld.nl te bereiken. De anti-DDoS-dienst is op deze manier in staat om alleen goedaardige verzoeken door te laten. 

Fig. 1: Schematische weergave van netwerkverkeeromleiding met behulp van het DNS

Figuur 1 geeft de omleiding van netwerkverkeer met behulp van het DNS weer. De nameserver die verantwoordelijk is om IP-adressen voor het domein www.voorbeeld.nl te verstrekken beantwoordt hier met het IP-adres van de proxy in plaats van de webserver. Alleen goedaardige verzoeken worden vervolgens via de anti-DDoS-dienst doorgelaten naar de beschermde server.

Wie kunnen anti-DDoS-diensten gebruiken?

In principe zijn anti-DDoS-diensten voor iedereen toegankelijk die één of meerdere machines willen beschermen. Gebruik met behulp van het DNS vergt slechts enkele administratieve wijzigingen voor de configuratie van een domeinnaam. Het is echter wel zo dat gebruik van het DNS voor het omleiden van verkeer alleen werkt voor protocollen die met een reverse proxy interoperabel zijn. Dit is van toepassing voor webprotocollen, ofwel HTTP en HTTPS. Verder zijn er enkele randvoorwaarden voor het effectief opzetten van bescherming, die doorgaans goed door anti-DDoS-diensten worden gedocumenteerd. Er bestaan enkele anti-DDoS-diensten die hun basisbescherming gratis leveren.

Hoe zit het met gebruik in .nl?

In een vorig jaar gepubliceerde studie hebben we naar de opkomst van grote commerciële anti-DDoS-diensten gekeken [1]. Dit hebben we onder andere. gedaan voor alle .nl-domeinnamen. In deze studie hebben we over een langere periode dagelijks het DNS gemeten. Tijdens het meten vragen we de publiekelijk toegankelijke DNS-configuratie van alle .nl-domeinen dagelijks op. Onder de opgeslagen informatie vallen onder andere IP-adressen. Omdat IP-adressen aan entiteiten op het internet gekoppeld zijn, kunnen we zien welke domeinnamen door anti-DDoS-diensten worden beschermd.We hebben 9 commerciële aanbieders van anti-DDoS-diensten bestudeerd, namelijk: Akamai, CenturyLink, CloudFlare, DOSarrest, F5 Silverline, Incapsula, Level 3, Neustar en Verisign. Voor dit artikel hebben we de bestudeerde periode uitgebreid ten opzichte van de eerdere publicatie, van 1 maart, 2016 tot 1 juli, 2017 (16 maanden). Figuur 2 geeft de groei in gebruik weer. De groene lijn komt overeen met de relatieve groei in het gebruik van de 9 aanbieders. Dit is over de 16 bestudeerde maanden gegroeid met ruim 31%. De zwarte lijn laat de relatieve groei in het totaal aantal (actieve) .nl-domeinnamen zien. Dit is gegroeid met bijna 3.5%, van circa 5.2 miljoen naar 5.7 miljoen domeinnamen. Het gebruik van anti- DDoS-diensten groeit dus sneller dan het totaal aantal domeinnamen.

Fig. 2: De groei van het gebruik van anti-DDoS-diensten onder .nl-domeinen.

Het DNS-meetsysteem dat we voor deze studie hebben gebruikt, heeft voor de genoemde 16 maanden, meer dan 55 miljard datapunten gemeten. Al deze datapunten zijn opgeslagen in een gedistribueerd bestandsysteem, verspreid over een cluster van tientallen krachtige computers. Deze manier van dataopslag maakt parallelle, big data-analyse mogelijk. Het cluster in kwestie is onderdeel van het OpenINTEL-project, een samenwerking tussen de Universiteit Twente, SIDN en SURFnet [2]. Het doel van OpenINTEL is om wetenschappelijk onderzoek aan het DNS te ondersteunen, waarmee onder andere de veiligheid en stabiliteit van .nl kan worden onderzocht.

Conclusies en toekomstig werk

Omdat een steeds groter deel van alle .nl-domeinnamen beschermd wordt door anti-DDoS-diensten concluderen we dat de veiligheid van .nl verder toeneemt.We noemden eerder al dat er aan enkele voorwaarden voldaan moet worden om het DNS van een domeinnaam effectief te configureren voor gebruik van een anti-DDoS-dienst. Als dit niet gedaan wordt, kunnen gevorderde aanvallers de bescherming soms geheel omzeilen. Als toekomstig werk gaan we onderzoeken welke fouten DNS-beheerders van domeinnamen binnen deze context maken en hoe we deze fouten (mogelijk automatisch) kunnen doorspelen.

Erkenningen

Dit onderzoek is financieel ondersteund door de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) onder het D3-project (628.001.018). Dit onderzoek is ook mogelijk gemaakt door OpenINTEL, een project van de Universiteit Twente, SIDN en SURFnet [2].

Bibliografie

[1] M. Jonker, A. Sperotto, R. van Rijswijk-Deij, R. Sadre, and A. Pras, “Measuring the Adoption of DDoS Protection Services,” in Proceedings of the 2016 ACM Internet Measurement Conference (IMC’16), 2016, pp. 279–285.[2] “OpenINTEL Active DNS Measurement Project,” 2015, https://www.openintel.nl/.

Over de auteur

Mattijs Jonker is een promovendus aan de Universiteit van Twente.De focus van zijn onderzoek is het mitigeren van DDoS-aanvallen. Aandachtsgebieden voor zijn onderzoek zijn netwerkbeveiliging, internetstatistieken en big data-analyse.