DDoS! Wat is dat nu eigenlijk?

FirewallDe laatste tijd berichtten we met enige regelmaat dat we last hadden van een “DDoS aanval”. Maar wat betekent dat nu eigenlijk? Kan het voorkomen worden? Kun je er überhaupt iets aan doen?

Een uitleg geven met technische details gaat te ver voor dit artikel. Ik zal het proberen duidelijk te maken met een analogie die ons – als school – wel aanspreekt in deze periode: de inschrijvingen.

stapels-opruimenStel je voor dat inschrijvingen van leerlingen per post binnenkomen. Gezamenlijk met de andere post, zeg 25 per dag tussen totaal 50 poststukken; je sorteert de inschrijvingen eruit en laat iemand die verwerken.  Op een dat krijg je geen 50 poststukken maar 10.000. En als je naar die stapel kijkt dan weet je al dat meer dan 99% rommel is. Probleem is alleen dat er wel degelijk echte inschrijvingen (en andere poststukken) tussen zitten, de stapel zomaar weggooien is dus geen optie. Je zult het  moeten uitzoeken… en als je halverwege bent komt de volgende stapel met 10.000 poststukken binnen. Tenslotte ben je alleen nog maar aan het uitzoeken en kom je aan het verwerken van de inschrijvingen niet meer toe.

Credit-Union-DDOS-Explanation-BIets dergelijks gebeurt er tijdens een DDoS aanval met de Internet verbinding: het foute verkeer kan wel weggefilterd worden, maar er zijn zoveel verbindingen dat je geen tijd/capaciteit meer hebt voor de goede verbindingen. En het gevolg is dat er – nagenoeg – geen verkeer meer afgeleverd wordt. In het gunstigste geval ervaar je een trage Internet verbinding, meestal wordt het ervaren als dat er geen verbinding met het Internet meer is.

Ik heb het steeds heel bewust over het Internet. Ons eigen interne netwerk blijft namelijk gewoon werken. Websites en diensten die wij zelf in huis hebben, zoals de Moodle ELO en Exchange, blijven dus gewoon werken. De dagelijkse praktijk is echter dusdanig dat we steeds meer afhankelijk worden van het Internet. Diensten als Magister, onze gewone websites, Youforce en sites van uitgeverijen staan allemaal op het Internet.

Maar kunnen we er wat aan doen? Tja, dat is nog niet zo eenvoudig. Theoretisch is het mogelijk om op ons gericht Internetverkeer ten tijde van een aanval om te leiden voordat het ons bereikt.  Dit kunnen we niet zelf maar zal gedaan moeten worden door onze Internet Service Provider (ISP).  En onze huidige ISP bied deze dienst niet. Zover mij bekend wordt deze dienst ook uitsluitend in grote datacentra geleverd omdat daar de hiervoor benodigde netwerk capaciteit wel aanwezig is.

google-5-623x415Wat we momenteel onderzoeken is het spreiden van het risico. Tot op heden heeft het Atlas College één centrale toegang tot het Internet. In het verleden was dit de meest efficiënte – lees goedkope – manier om Internet toegang te krijgen. Het maakt ons echter wel kwetsbaar: door 1 toegang aan te vallen heeft het gehele Atlas College geen Internet meer. Momenteel wordt onderzocht of we terug kunnen naar internettoegang per locatie zonder de verbinding te verliezen naar centrale diensten zoals E-Mail, VDI en WiFi. We onderzoeken ook de mogelijkheid om diensten aan te bieden vanuit een datacentrum, waarbij we wel de mogelijkheid hebben om aanvullende diensten op onze Internet verbinding af te nemen, als we het kunnen betalen tenminste.

Tot het zover is kunnen we hooguit de firewall zo goed mogelijk afstellen om het effect van de aanval te minimaliseren en blijft het afzien en de bui uitzitten…

Als gebruiker van het netwerk kan je ook wel iets doen. Niet veel, en het zal lang niet altijd mogelijk zijn, maar je kunt er bij de voorbereiding van je lessen rekening mee houden dat je wel eens geen Internet kunt hebben tijdens je les. Moet je wel YouTube gebruiken? Kan dat filmpje niet in het eigen netwerk staan?