Het afweren van DDoS-aanvallen is relatief eenvoudig, maar de belangrijkste spelers laten het nog afweten

DDoS

De oplossing voor de massale DDoS-aanvallen van de afgelopen dagen is relatief eenvoudig, schrijft internetondernemer Mark Vletter in een gastbijdrage. Maar waarom maakt niemand daar dan gebruik van?

De afgelopen dagen werden digitale overheidsdiensten, webshops, telecombedrijven en banken bestookt met DDoS-aanvallen. Sommige diensten zijn daardoor niet of slecht bereikbaar.

DDoS staat voor Distributed Denial of Service. Een DDoS-aanval is eigenlijk hetzelfde als belletje lellen. Je bel wordt alleen niet door één persoon ingedrukt, maar door duizenden mensen tegelijkertijd. Daardoor weet je uiteindelijk niet meer wanneer er echt iemand voor de deur staat.

Wanneer je vervolgens de deur open doet, proberen deze duizenden mensen tegelijkertijd binnen te komen. Hierdoor ontstaat file. Zo’n lange file dat je er niet meer adequaat op kunt reageren. Door deze DDoS-aanval is de website, zoals onlangs de website van internetbankieren, niet meer beschikbaar.

De oplossing voor dit digitale belletje lellen is relatief eenvoudig, maar waarom maakt niemand daar dan gebruik van?

Hoe we verkeer verdelen op internet

Om uit te leggen hoe de oplossing werkt, moeten we eerst uitleggen hoe we het verkeer verdelen op het internet. Ieder apparaat op het internet heeft een adres. Dit adres staat in het adressenbestand van je internetprovider. Deze bestanden worden onderling gedeeld.

Wanneer je het adres van een website intypt dan worden deze adressenbestanden doorzocht om de juiste bestemming te vinden. De nerds noemen dit het Border Gateway Protocol (BGP). Grote organisaties hebben hun eigen BGP-systemen en vertellen dus zelf aan de providers waar ze zitten.

Providers die direct met elkaar praten

In Nederland zijn er een aantal grote partijen die een groot deel van het internetverkeer afhandelen. Voorheen waren dit Ziggo, UPC, Vodafone, T-mobile, Tele2 en KPN. Na een aantal fusies zijn dit nu Liberty Global (Ziggo, UPC, Vodafone), KPN en T-mobile/Tele2. Volgens de cijfers handelen KPN en Liberty Global het gros van het reguliere nationale internetverkeer af. 

Internetproviders ruilen onderling (gratis) verkeer uit. Dit betekent dat verkeer direct van de ene provider naar de andere provider gaat. In tech-termen heet dit “direct peering”. Wanneer je als internetbedrijf met een eigen BGP directe peering hebt met KPN en Liberty Global dan blijft je verkeer daardoor als het ware intern.

Terug naar het belletje lellen

Eerder maakten we al de vergelijking tussen DDoS-aanvallen en digitaal belletje lellen. Bij een DDoS-aanval belt heel veel internetapparatuur aan bij het internetadres van een Nederlandse internetdienst, zoals bijvoorbeeld DigID. Het doel hiervan is om een file in de deuropening te veroorzaken zodat de internetdienst onbereikbaar wordt. Maar welke apparaten drukken op deze deurbel?

De internetapparatuur die de DDoS-aanval uitvoert staat bijna altijd in het buitenland. Wanneer je alleen aan “direct peering” doet dan wordt het buitenlandse verkeer in principe automatisch onderschept. Je zegt als het ware dat je alleen thuis geeft wanneer er iemand voor de deur staat die je vertrouwt. Op deze manier blijft je internetdienst voor de Nederlandse internetters beschikbaar.

Maar ik zit in het buitenland

Je internetverbinding is zo heel veilig. Maar wat als iemand vanuit Duitsland aan jouw adres moet zijn? Gelukkig is daarvoor een oplossing.

Een groep Nederlandse internetbedrijven beheren samen een DDoS-beschermingssysteem. Als één van deze bedrijven een DDoS-aanval krijgt dan wordt het verkeer naar dit systeem gestuurd. In dit systeem wordt het verkeer “gewassen” zodat je het “schoon” terug krijgt. Om deze reden noemen we dit “de wasstraat”.

Jij merkt hier niets van. Het verkeer wordt namelijk in milliseconden gewassen. Deze dienst heet de NaWas en wordt beheerd door Stichting Nationale Beheersorganisatie Internet Providers (NBIP). Deze oplossing werkt geweldig bij de huidige DDoS-aanvallen en houdt ten tijde van deze aanvallen de internetdienst voor alle gebruikers beschikbaar.

Waarom maken niet alle Nederlandse internetbedrijven hier gebruik van?

Hier komt de crux van het verhaal: KPN en Liberty Global doen heel moeilijk over direct peering. KPN zit ‘vol’ wat betreft direct peering en moet daarom investeren in nieuwe apparatuur. Liberty Global, de nieuwe eigenaar van Ziggo, UPC en Vodafone, vraagt tegenwoordig de hoofdprijs voor direct peering. Dat terwijl Ziggo in het verleden dé partij was die aan direct peering deed.

KPN en Liberty Global frustreren de goede uitwisseling van internetverkeer. Dit hebben ze verder kracht bijgezet door weg te gaan bij bij publieke verkeersknooppunten zoals de Amsterdam Internet Exchange (AMS-IX). Internetbedrijven praten hier liever niet over. Je wilt namelijk je mogelijke partner niet voor rotte vis uitmaken.

De NaWas wordt al door veel internetbedrijven gebruikt, maar omdat het een initiatief is van de internetsector zelf zijn banken en overheidsinstellingen nog wat huiverig. Om deze reden maken ze er geen gebruik van. Dat is op zijn zachtst gezegd absurd.

Tijd om ons land te beschermen tegen DDoS dus

Het is tijd om ons land digitaal in bescherming te nemen tegen DDoS-aanvallen uit het buitenland. De oplossing is relatief eenvoudig. Het enige wat we nodig hebben is wat wilskracht van de grote marktspelers of wat politieke druk.

Wellicht kunnen de Autoriteit Consument en Markt (ACM) en de mededingingsautoriteit zich hier eens kritisch over buigen. De Nederlandse techbedrijven gaan graag met ze in gesprek. Ook de AIVD, de (digitale) bewaker van onze nationale veiligheid, mag zich eens goed achter de oren krabben.

Zij waren de drijvende kracht achter de sleepwet. Ook al bleek deze volgens internationaal onderzoek niet te werken. De werkelijke digitale dreiging - die te bestrijden is met echte middelen - wordt echter genegeerd.

Mark Vletter is oprichter van de zakelijke telecomprovider Voys

Volg ons ook op Twitter en Facebook

Tips? Mail redactie@sprout.nl