Nieuwe versie van de basiscomponenten van het DDoS-clearinghouse

Anti-DDoS-coalitie en CONCORDIA

SIDN en SURF zijn er trots op deel uit te maken van de Nederlandse nationale anti-DDoS-coalitie en het CONCORDIA-project, waarin we werken aan technieken en tools waarmee serviceproviders DDoS-aanvallen proactiever kunnen aanpakken. Bij beide projecten zijn tal van organisaties betrokken, waaronder overheden, internetproviders, internet exchanges, academische instellingen, non-profitorganisaties en banken. Een belangrijke bouwsteen in beide projecten is het DDoS-clearinghouse, een gemeenschappelijk systeem dat deelnemende serviceproviders in staat stelt om door middel van zogeheten ‘DDoS fingerprints’ automatisch de kenmerken te delen van DDoS-aanvallen die ze te verwerken krijgen. De gedachte hierbij is dat een gewaarschuwd mens voor twee telt. Het delen van DDoS fingerprints waarschuwt andere deelnemers namelijk dat er mogelijk nieuwe aanvallen op hen afkomen. Dit vormt een uitbreiding op de DDoS-bestrijdingsdiensten die ze al gebruiken, zoals DDoS-wasstraten als die van de NaWas. Het vergelijken van een actuele aanval met aanvallen waarvan de details al in het clearinghouse zijn opgenomen, kan bovendien aanwijzingen opleveren over de beste manier om de actuele aanval te bestrijden. Recente ontwikkelingen laten zien dat DDoS-aanvallen nog steeds een aanzienlijk probleem vormen en - wat helemaal zorgelijk is - in omvang toenemen. Dit maakt ons werk met het DDoS-clearinghouse des te relevanter en urgenter.

Figuur 1: Overzicht van het clearinghouse. We werken sinds begin 2019 aan het DDoS-clearinghouse en hebben inmiddels verschillende mijlpalen bereikt, waaronder:

• Juridische afspraken inzake de uitwisseling van DDoS-fingerprints tussen partners (ontwikkeld door de nationale anti-DDoS-coalitie).

• DDoS-oefeningen binnen een bewaakte infrastructuur (uitgevoerd door de nationale anti-DDoS-coalitie).

• Softwarespecificatie en prototypeontwikkeling (uitgevoerd in beide projecten tegelijk).

Een veel uitgebreidere beschrijving van de anti-DDoS-coalitie en het DDoS-clearinghouse en onze doelstellingen en ervaringen is te vinden in een reeks van drie blogposts die we eerder dit jaar op de CONCORDIA-website publiceerden:

• Samen de Nederlandse DDoS-weerbaarheid vergroten

• Ontwikkeling van een nationaal DDoS-clearinghouse

• Nationale anti-DDoS-coalitie: geleerde lessen en de weg voorwaarts

Basiscomponenten van het clearinghouse

De softwarecomponenten van het clearinghouse worden gebruikt door groepen serviceproviders die samenwerken om DDoS-aanvallen af te weren, zoals de deelnemers aan de Nederlandse nationale anti-DDoS-coalitie. Figuur 2 laat zien dat al deze serviceproviders (collaborators genoemd) elk een eigen lokale database met fingerprints hebben met de naam DDoSDB. Het operationsteam van de serviceprovider bepaalt welke fingerprints ze delen met de centrale repository, die wordt beheerd op een neutrale locatie en waar de DDoS-fingerprints van alle collaborators worden bewaard.

Figuur 2: Basissoftwarecomponenten van het clearinghouse.

Verbetering #1: accuratere DDoS fingerprints

Dissector: is de software die verantwoordelijk is voor het analyseren van het netwerkverkeer (pcap) en het extraheren van aanvalskenmerken. De nieuwe release bevat nieuwe statistische methoden die het genereren van fingerprints soepeler en sneller laten verlopen.

Verbetering #2: betere visualisatie van DDoS-aanvallen

DDoSDB: is de repository waar DDoS fingerprints worden verzameld en van waaruit deze worden gedeeld met de partners. We ontwikkelden nieuwe visualisatiepagina's en verbeterden de stabiliteit van de software. Verder voegden we de mogelijkheid toe om fingerprints te voorzien van annotaties met aanvullende (menselijk leesbare) informatie over de fingerprints zelf of over de aanvallen waarop ze betrekking hebben. Annotaties kunnen worden gemaakt of bewerkt door de inzender van de fingerprint of door de beheerder van de DDoSDB.

Verbetering #3: automatische updates

DDoSDB-in-a-Box: is een virtuele machine waar we alle componenten samenbrengen en configureren. De opzet ervan is om het gemakkelijk te maken om de software te testen en de hele cyclus van DDoS-verwerking te doorlopen. Daarnaast wordt het dankzij het concept van DDoSDB-in-a-Box eenvoudiger om het clearinghouse te laten werken in een gedistribueerde modus en uiteindelijk misschien zelfs zonder de centrale DDoSDB-instantie. De nieuwe versie van de software is al beschikbaar en heeft nu ook een automatische software-upgrade, wat wil zeggen dat instanties van DDoSDB-in-a-Box automatisch worden bijgewerkt als er nieuwe releases van de software-componenten beschikbaar komen. Op die manier kunnen gebruikers van de virtuele machine op hun beurt hun systemen (en databases) operationeel houden met behulp van de meest recente versie van de software.

Verbetering #4: betere beschrijving van de componenten

Last but not least schoonden we de repository's op en verbeterden de bijbehorende documentatie. Dit is vooral van belang voor mensen die het DDoS-clearinghouse en de bijbehorende componenten net in gebruik genomen hebben of nog uitproberen. Voor ontwikkelaars die willen bijdragen aan de componenten, bevatten de verbeterde ontwikkelingsrichtlijnen duidelijke instructies voor het opzetten van een DDoS-clearinghouse op hun eigen ontwikkelingssysteem. Ook hebben we verschillende screencasts die laten zien hoe de softwarecomponenten moeten worden uitgevoerd.

Bijdragen

We zijn blij met de tot nu toe geboekte resultaten en hebben zo steeds meer inzicht gekregen in wat we allemaal nog moeten (en willen) verbeteren. Daarom delen we informatie met de community en moedigen we gebruikers aan om het zelf uit te proberen en ontwikkelaars om een bijdrage te leveren. Onze software vind je op https://github.com/ddos-clearing-house.

Met dank aan

SIDN en SURF werden gedeeltelijk gefinancierd door het onderzoeks- en innovatieprogramma Horizon 2020 van de Europese Unie in het kader van Subsidieovereenkomst 830927. Projectwebsite: https://www.concordia-h2020.eu/ .