ICANN (Internet Corporation for Assigned Names and Numbers) heeft gisteren een rapport vrijgegeven met adviezen over wat organisaties moeten doen als ze te maken krijgen met een DDos-aanval.
De afgelopen weken hebben heel wat DDoS-aanvallen het nieuws gehaald. De aanvallen op Nederlandse banken kregen veel publiciteit, maar dat is lang niet altijd het geval. DDoS-aanvallen worden ingezet om politieke doelen te bereiken, voor chantage, om fraude te verhullen of om concurrerende bedrijven een hak te zetten. Maar wat moet je eigenlijk doen als je als organisatie te maken krijgt met zo’n aanval?
ICANN publiceerde donderdag een rapport How to report a DDoS Attack waarin een aantal adviezen worden opgesomd. Allereerst moet het getroffen bedrijf contact opnemen met zijn hosting provider, die stappen kan nemen om een groot deel van het aanvalsverkeer te blokkeren. “De hoster kan contact leggen met ‘upstream’ ISP’s die het aanvalsverkeer doorgeven, en hen op de hoogte brengen van het karakter van het verkeer en waar het vandaan komt. Deze operators kunnen zoveel mogelijk verdacht verkeer weigeren en ook alles wat uit de directe nabijheid van de bron komt blokkeren,” schreef Dave Piscitello van ICANN in een blog.
Lever zoveel mogelijk gedetailleerde informatie aan
De ISP’s zouden voorzien moeten worden van gedetailleerde informatie over de duur en de aard van de aanval, verkeersgegevens en een inschatting van de impact van de aanval. Ook informatie over herhaling van de aanval, of herkenbare patronen of cycli in de aanval zijn van belang. Probeer informatie over de aard van de aanval te achterhalen, zoals mogelijke verbanden met geo-politieke evenementen. Is er dreigende correspondentie aan de aanval vooraf gegaan?
Lever zoveel mogelijk gedetailleerde informatie over het dataverkeer aan over type verkeer (ICMP, DNS, TCP, UDP) de bron en de aangevallen IP-adressen, de poorten, de packet rate en omvang en de hoeveel bandbreedte die door de aanval in beslag wordt genomen.
Als hosting providers en ISP’s onvoldoende reageren en niet bereikbaar zijn, is het zaak Computer Emergency Response Teams (CERT’s) of zogeheten Trusted Introducers (TI’s) op de hoogte te brengen. Deze zullen dan de aanval onderzoeken en informatie delen met de hosting providers en ISP’s van wie de infrastructuur voor de aanval wordt ingezet. De CERT’s zullen met alle betrokken partijen samenwerken om de bestrijding van de aanval te coördineren en de impact te beperken, zegt Piscitello.
Doe ook aangifte van aanval
Hoewel politiediensten en officiële instituten van landen zoals ons Nationale Cyber Security Centrum volgens Piscitello zelf niet veel tegen een aanval kunnen inbrengen, is het toch goed om ook hen op de hoogte brengen. In veel landen worden DDoS-aanvallen als misdaad aangemerkt, en het doen van aangifte kan de autoriteiten helpen informatie over de aanvallers te verzamelen. Tenslotte adviseert ICANN een ‘DDoS-aanval respons plan’ op te stellen, voordat er daadwerkelijk eentje plaatsvindt.