DDoS LAB

// DDoS in 30 seconden

DDoSDistributed Denial-of-Service = veel computers (een botnet) tegelijk verkeer sturen naar één doel, zodat echte gebruikers er niet meer bij kunnen.

Het verschil met een DoS is "distributed": niet één bron, maar duizenden. Daardoor lastig te blokkeren, want je kunt niet zomaar één IP bannen.

Recordgrootte (2024): meer dan 5,6 Tbps via Mirai-achtige botnets van gehackte IoT-camera's.

// Drie lagen, drie aanpakken

• Volumetric (L3/4): UDP/ICMP flood vol bandbreedte. Doel: de leiding vol.
• Protocol (L4): SYN floodSYN flood / Ping of Death put resource-tabellen uit. Doel: servertabellen vol.
• Application (L7): Slowloris, HTTP flood. Lijken op normale users, kosten veel CPU per request. Doel: app stuk.
• Reflection / Amplification: kleine query, grote antwoord via DNS/NTP/Memcached, met gespoofde source naar slachtoffer. 50 tot 50.000x versterking.

// Hoe bescherm je je?

• CDN / scrubber (Cloudflare, AWS Shield, Akamai): anycast verspreidt verkeer, filtert L3/L4 floods op grote schaal.
• SYN cookies in de kernel: geen state tot je een geldige ACK terugziet.
• Rate limiting per IP of per endpoint op load balancer of WAF.
• Black-holingRTBH (Remotely Triggered Black Hole) via BGP: laatste redmiddel, drop al het verkeer naar slachtoffer-IP bij de ISP.
• Over-provisioning: zorg dat je meer bandbreedte hebt dan een typische aanval.
• Patchen van publieke DNS/NTP-servers zodat ze niet als amplifier gebruikt worden.