Nu we halverwege de schoolexamens zijn is het voor elke school belangrijk dat deze periode vlekkeloos verloopt. Geen enkele school zit te wachten op strubbelingen of problemen en de leerlingen die de examens moeten maken al helemaal niet.

Alhoewel er altijd leerlingen zijn die er anders over denken:

“Ik kreeg die dag op school een opdracht waar ik geen zin in had. Ik moest een soort brochure maken. Omdat ik niet wilde zitten tot half vier, besloot ik om het netwerk plat te leggen. Via Google vond ik software om dit te doen. Die kostte een paar tientjes”.

Via zijn telefoon lanceerde ‘Bas’ de aanval. “Binnen een paar seconden viel internet uit en konden we naar huis”. Thuis biechtte ‘Bas’ lacherig zijn actie op. Zijn ouders zagen de actie net als hijzelf vooral als een kwajongensstreek.

Dit was te lezen in De Telegraaf van 19 februari jl.

Op de site www.scholieren.com is te lezen dat 1/3 van alle jongeren van 16 of 17 jaar wel eens een cyberdelict gepleegd heeft, bewust of onbewust. Vaak weten ze niet dat dit strafbaar is en ze er een strafblad voor kunnen krijgen.

Voor de meeste mensen staat een DDoS aanval gelijk aan een nieuwsitem in de media en niet meer dan dat. Totdat ze getroffen worden door een DDoS aanval en het blijkt dat deze een ontwrichtend effect heeft op het schoolnetwerk.

Een helder rapport die inzicht geeft in de DDoS methodiek

Iedere ICT-verantwoordelijke zou daarom het jaarrapport 2018 van het NBIP moeten lezen. Hierin staat duidelijk omschreven wat er in 2018 is voorgevallen, hoe men te werk gaat, de cijfers die hierbij horen, trends en conclusies.

Omdat niet iedereen de tijd neemt (15 minuten) om dit rapport te lezen, hebben wij een klein verslag gemaakt van het rapport 2018. Aan het eind van het artikel vindt u de gegevens van het NBIP en het adres waar u het rapport 2018 kunt aanvragen.

Stijging aantal DDoS aanvallen in Nederland

In Nederland is het aantal DDoS aanvallen het afgelopen jaar gestegen met 14% naar een totaal van 938 stuks. In 2018 duurde de langste DDoS aanval 29 uur en waren er 29 die langer dan 4 uur duurden. Gedurende deze tijd ligt een netwerk plat. In Nederland is ICT niet meer weg te denken in welke schoolorganisatie dan ook. ICT is de levensader van veel scholen geworden. Denk eens na wat het voor uw school kan betekenen als uw ICT-netwerk 4 uur of langer plat ligt…..

Oh ja, DDoS aanvallen zijn te voorkomen, mits u de juiste lijnen hebt met een anti-DDoS voorziening. Iets waar Brite’s oplossing ‘EduFiber’ speciaal voor is ontwikkeld.

DDoS aanvallen zijn hiermee te voorkomen en vaak met minder kosten dan scholen nu kwijt zijn voor hun lijnen!

Samenvatting van het NIBP jaarrapport:

Voorwoord

U leest het jaarrapport 2018 van stichting Nationale Beheersorganisatie Internet Providers (NBIP) met cijfers en trends rondom de DDoS aanvallen die door de NaWas (Nationale Wasstraat) zijn gezien, geanalyseerd en gemitigeerd. Dit ‘scrubbing center’ van ‘vuil’ internetverkeer is sinds 2014 operationeel en is in zeer korte tijd een bekende naam in de Nederlandse internetsector geworden.

Vorig jaar is de NBIP begonnen met het (half) jaarlijks publiceren van rapporten met data over DDoS-aanvallen. Dit rapport geeft inzage in het aantal DDoS-aanvallen, de grootte van aanvallen, de duur van aanvallen, de soorten DDoS aanvallen en trends zoals opgevangen door de experts van de NaWas in 2018.

Inleiding

Begin 2018 werd Nederland wakker geschud door grote DDoS-aanvallen op verschillende instellingen in Nederland. DDoS was in één klap een hot topic. Enerzijds door het ontwrichtende effect, anderzijds door het gemak waarmee deze aanval uiteindelijk tot stand kwam.

Hoe werkt een DDoS-aanval?

DDoS staat voor Distributed Denial of Service. Om een DDoS- aanval uit te voeren, infecteert de aanvaller een flink aantal computers of andere aan internet gekoppelde apparaten. Dit wordt gedaan met bijvoorbeeld malware of via e-mail attachments.

Zo ontstaat een ‘botnet’, een netwerk van geïnfecteerde devices. Vervolgens wordt dit netwerk de opdracht gegeven data naar de server van het doelwit te sturen, met als doel een overbelasting van die server. Als de server het verkeer niet meer aankan, en gebruikers dus niet meer bij de servers kunnen, is de aanval geslaagd.

Dat klinkt heel eenvoudig, en dat is het helaas ook. Een DDoS-aanval is met zowel geringe als veel technische kennis uit te voeren.

Op speciale websites (het zijn er duizenden) kunnen DDoS-aanvallen worden gekocht, en niet alleen op het darkweb.

Ook kan met relatief weinig voorkennis zelf een aanval worden opgetuigd: handleidingen om een eigen botnet op te zetten zijn eenvoudig online te vinden.

Gevolgen van een DDoS-aanval

De gevolgen van een DDoS-aanval zijn divers. Van kleine irritatie tot grote ontregelingen, het is allemaal mogelijk. Van een aanval kan één persoon heel erg last hebben (zijn of haar persoonlijke blog ligt er bijvoorbeeld uit), of een groot deel van de samenleving (internetbankieren doet het niet).

‘Economische impact DDoS aanvallen enorm’

Dat een gerichte DDoS-aanval voor financiële schade kan zorgen, heeft de NBIP vorig jaar samen met Stichting Internet Domeinregistratie Nederland (SIDN) onderzocht. Uit het rapport ‘Impact van DDoS-aanvallen in Nederland’ blijkt dat de economische impact enorm is: de door NBIP en SIDN onderzochte bedrijven en organisaties hebben in 2018 ongeveer 425 miljoen euro misgelopen.

Betrek je heel het bedrijfsleven, dan is de schade minimaal een miljard euro.

Methoden van DDoS-mitigatie

Om DDoS-aanvallen af te wenden zijn er verschillende soorten maatregelen te nemen. Deze variëren van extreem en rigoureus tot verfijnd en subtiel.

Het concept van een “wasstraat” is op dit moment één van de meest verfijnde en intelligente bestrijdingsmiddelen. Hierbij wordt malafide verkeer langs anti-DDoS apparatuur geleid, waarna het verkeer ‘schoon’ teruggestuurd wordt (“scrubbing”).

Resultaten DDoS cijfers 2018

Wat meteen opvalt is dat de grote aanvallen van meer dan 40 Gbps weer terug zijn, nadat ze in 2017 ontbraken. Nog steeds is het gros van de aanvallen niet groter dan 10 Gbps. De maximale grootte van een enkele DDoS aanval lag in 2018 op 68 Gbps.

Het gros van de aanvallen duurde niet langer dan een uur, net als in 2017.  Er waren 29 DDoS-aanvallen in 2018 die langer duurden dan 4 uur, tegen 28 in 2017. Ook qua duur waren er geen grote verschillen in de verdeling te zien, vergeleken met het jaar daarvoor.

Wel neemt het aantal zeer korte aanvallen (minder dan 15 minuten) af, en nemen aanvallen iets langer dan een kwartier tot een uur juist toe.

De maximale duur van een DDoS-aanval in 2018 was ruim een dag, deze duurde namelijk 29 uur.

Nieuwe types DDoS-aanvallen In 2018 zijn er bijna 40 DDoS-aanval types bij gekomen. Dit betreft echter in de meeste gevallen een bestaande aanval die een andere specifieke poort aanvalt. Filteren we deze aanvallen, dan was er sprake van een toename van 10 nieuwe typen DDoS aanvallen.

De meest opvallende nieuwkomers ten opzichte van 2017:

MS SQL monitor amplification; misbruik van een Microsoft SQL server omgeving – een oude vorm, vooral populair rond 2015. Veel SQL-servers waren ‘internet-facing’ waardoor deze kwetsbaar waren voor o.a. botnets. Dat deze aanval weer opduikt, geeft aan dat bedrijven basic security nog steeds niet op orde hebben. MS SQL is alweer een oudere techniek. Het is een gebruikelijke gang van zaken bij DDoS-aanvallen: legacy die niet meer geüpdatet of gepatcht is, is kwetsbaar, en er wordt dus afgetast of er iets te halen valt. Het bekende ‘kloppen op de deur’.

ESP flood is een aanval waarbij het UDP Encapsulating Security Payload protocol misbruikt wordt. Een Encapsulating Security Payload (ESP) is een protocol voor het verstrekken van authenticatie, integriteit en vertrouwelijkheid van data- en payload netwerkpakketten in IPv4 en IPv6 netwerken.

 

Trends

Ondanks dat er enkele grote DDoS-aanvallen (> 40 Gbps) voorbij kwamen, was de tendens voornamelijk kleinere aanvallen (ook in pps, packets per second). We zagen dus kleinere hoeveelheden packets die er nét voor zorgden dat een webserver onderuit ging.

DDoS-aanvallen wereldwijd Onderzoek van Kaspersky Lab naar DDoS-aanvallen in 2018 laat zien dat het aantal aanvallen wereldwijd is gedaald met 13% – terwijl wij in Nederland juist  een stijging van 13% hebben waargenomen. Kaspersky Lab stelt dat dat vooral aan langere DDoS-aanvallen ligt.

Wij hebben dat in Nederland niet significant kunnen constateren. Een voorzichtige verklaring voor deze wereldwijde trend in 2018 is volgens ons dat er een flink aantal botnets uit de lucht zijn gehaald.

Ondanks dat DDoS-aanvallen door bedrijven serieuzer werden behandeld en cybercriminelen of verveelde jongeren door overheden strenger werden bestraft, is het aantal in Nederland dus niet gedaald. Wel was de groei minder, en vooral in de tweede helft van 2018 zette die groei niet door. Dat past in het plaatje dat er begin 2018 veel aandacht voor kwam, andere jongeren werden aangespoord om het ook eens te proberen, maar dat ze al gauw van een koude kermis thuis kwamen door goed ingrijpen.

In ons eerste halfjaar rapport stelden we niet voor niets dat we over de duizend DDoS-aanvallen in 2018 zouden zien. Dat aantal is dus gelukkig niet gehaald.

 

Conclusie

Op basis van de onderzoeksresultaten trekt de NBIP vier conclusies, die we laten samenkomen in één overkoepelende conclusie over de staat van DDoS-aanvallen in Nederland.

  • Grote aanvallen (> 40Gbps) zijn terug, maar het grootste aantal van de aanvallen betreft nog steeds kleinere aanvallen. Dat grote aanvallen terug zijn is niet vreemd: het aantal aanvallen steeg, qua elke grootte en duur.
  • De tendens is nog steeds dat aanvallen nét groot genoeg ‘gemaakt’ zijn om disruptief te zijn. Het percentage aantal aanvallen onder de 1 Gbps steeg namelijk het hardst.
  • De duur van de langste aanval is iets gestegen. In 2017 was er geen enkele aanval over 24 uur, in 2018 waren er vier DDoS-aanvallen die langer dan een etmaal duurden. Hier is niet direct een verklaring voor te geven, anders dan dat deze langere aanvallen aan het begin van het jaar effectief bleken. Een aantal partijen had hun systemen niet op orde waardoor ze voor langere tijd “uitgeschakeld” konden worden.
  • Ook is er een nieuw soort DDoS-aanval het populairst onder cybercriminelen: LDAP amplification. In 2017 was DNS amplification het meest populair – en dat heeft mogelijk geleid tot actie bij bedrijven. “Open” DNS servers, die misbruikt worden voor een aanval, worden beter beveiligd. Al een aantal jaren wordt er door diverse partijen zoals NBIP en SIDN veel aandacht gegeven aan het beveiligen van de DNS-infrastructuur. Zo is hoogstwaarschijnlijk de “open” LDAP server boven komen drijven als een makkelijk doelwit.
  • Vorig jaar stelden we nog dat DNS nog wel even aan kop zal blijven, omdat het de meest makkelijk uit te voeren DDoS-aanval is. Nu oude LDAP servers het grootste doelwit lijken te zijn, hopen we dat er ook voor het beveiligen van LDAP servers dezelfde aandacht komt als voor DNS servers.
  • Daarnaast stijgt het aantal en ook het percentage van multivector-aanvallen weer. De trend van complexe aanvallen zet door en dat maakt het verdedigen, ondanks alle aandacht voor DDoS aanvallen, lastiger.

DDoS: een volwassen dreiging

De techniek van de DDoS-aanvallen verandert continu. Ze worden steeds kleiner, zijn net groot genoeg om te werken, en steken daarmee vaak professioneel in elkaar. Multivector-aanvallen zetten de trend van complexe aanvallen door. Dat samen maakt het verdedigen nog steeds erg moeilijk. Het blijvend veranderen van DDoS aanvallen laat zien dat de dreiging volwassen is.

Een volwassen dreiging dus die ironisch genoeg vaak niet van volwassen mensen komt. Gelukkig wordt er steeds meer strenger opgetreden. Een teken dat een DDoS-aanval eindelijk serieus genomen wordt.

Over de NBIP

De stichting Nationale Beheersorganisatie Internet Providers, kortweg NBIP, levert ondersteunende diensten aan internetproviders. Waarin we zoveel mogelijk samen doen. Want dat is gewoon slimmer én rendabeler.

Uitgangspunten

  •        Samen bijdragen aan een veilig internet
  •        Geen winstoogmerk
  •        Gebruik maken van elkaars expertise
  •        Kennis delen

 

Profiel

De NBIP is in 2002 opgericht door een groep van 6 internet service providers, in eerste instantie als uitvoeringsinstituut voor tapbevelen zoals vastgelegd in de Telecommunicatiewet.

Sindsdien is de organisatie uitgegroeid tot een betrouwbare naam met een groeiend aantal deelnemers voor haar diensten. Naast tapdiensten biedt de NBIP het gerenommeerde NaWas, een van de grootste DDoS-bestrijdingssystemen in Europa.

De NBIP hecht veel waarde aan het delen van kennis. Zij voeren onderzoeken uit, spreken op evenementen, informeren deelnemers regelmatig over nieuwe ontwikkelingen en organiseren bijeenkomsten waar deelnemers ervaringen kunnen uitwisselen. Daarnaast is de NBIP gesprekspartner voor de overheid over de onderwerpen waar zij zich mee bezighoudt.

De website van de NBIP: https://www.nbip.nl/over-de-nbip/

Download het rapport via: https://www.nbip.nl/2019/03/25/download-ddos-data-rapport-2018/

Preventief maatregelen nemen tegen DDoS aanvallen in het onderwijs?

Wilt u preventief DDoS aanvallen weren voor uw school dan is een anti-DDoS glasvezelverbinding dé oplossing.

Bij Brite hebben we pro-actief nagedacht over een integrale oplossing speciaal voor het onderwijs. Na 2 jaar intensief onderzoek, testen en ervaringen bij ruim 300 VO scholen presenteert Brite ‘EduFiber’. Een slimme en educatieve fiberverbinding met DDoS beveiliging, geschikt voor alle scholen in Nederland.

Meer weten over deze innovatieve oplossing voor veilig, stabiel en betrouwbaar internet in de moderne school?

Maak een afspraak met onze onderwijsspecialisten (Tel.) 053 – 20 30 404 of mail naar aanvraag@brite.nl.