Internationaal samenwerken tegen DDoS aanvallen

24 oktober 2019

Meer dan veertig onderzoekers uit Nederland en de Verenigde Staten ontmoetten elkaar op donderdag 24 oktober in Utrecht om kennis en ervaringen uit te wisselen op het terrein van onderzoek naar de detectie van, en verdediging tegen Distributed Denial of Service (DDoS) aanvallen. ‘Alle grote namen op het terrein van DDoS uit Nederland en de VS zijn hier vandaag,’ constateerde deelnemer Jair Santanna, Assistant Professor aan de Universiteit Twente, tevreden.

anti-ddos workshop.

De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) voert sinds 2013 samen met het Nederlandse Nationaal  Cyber Security Centrum en het Amerikaanse Department of Homeland Security een onderzoekprogramma uit naar cyber security. Binnen dit programma zijn inmiddels in drie rondes in totaal dertien projecten gehonoreerd, waarbinnen Amerikaanse en Nederlandse onderzoekers samen onderzoek doen binnen hetzelfde project.

Tijdens de bijeenkomst op 24 oktober stonden drie van de projecten centraal die in de specifiek op DDoS gerichte ronde van 2018 gehonoreerd zijn. Naast de drie presentaties over deze gezamenlijke projecten waren er ook acht presentaties van DDoS onderzoeken die ofwel Nederland ofwel in de Verenigde Staten worden uitgevoerd.

Domeinnamen
Promovendus Raffaele Sommese presenteerde het project MADDVIPR, waarbinnen zijn Universiteit Twente samenwerkt met het Amerikaanse Center for Applied Internet Data Analysis. ‘Het ultieme doel van dit project is om de beheerders van Domain Name Systems, zeg maar het telefoonboek van internet, te laten zien waar kwetsbaarheden zitten die het mikpunt kunnen worden van DDoS aanvallen.’ In zijn presentatie noemde hij onder andere weesdomeinen: ‘Als je niet meer betaalt voor een bepaald internetdomein, zou dat verwijderd moeten worden uit het DNS. Maar dat gebeurt vaak niet, en dan kan zo’n domein makkelijk misbruikt worden voor kwaadaardige content.’ Projectleider Anna Sperotto: ‘Dit gezamenlijke project is in feite een formalisering van een bestaande, jarenlange samenwerking. Wij hebben veel kennis en data over DNS systemen, en onze Amerikaanse collega’s weten alles van DDoS aanvallen. We vullen elkaar in dit project dus naadloos aan.’

Internet-of-Things
Carlos Hernandez Ganan van de Technische Universiteit Delft gaf samen met zijn Amerikaanse projectpartner Damon McCoy van New York University een presentatie over hun MINIONS-project. Dit is gericht op DDoS aanvallen die worden uitgevoerd via slecht beveiligde Internet-of-Things apparaten, zoals bewakingscamera’s. Het Nederlandse deel van het onderzoek richt zich op het automatisch detecteren van geïnfecteerde apparaten, en op effectieve strategieën om gebruikers ertoe aan te zetten deze infecties te verhelpen. Ondertussen richten de Amerikaanse onderzoekers zich op de verdienmodellen die achter de aanvallen zitten. Beide onderzoekers kenden elkaars werk, maar hadden nog niet eerder samengewerkt. ‘Zodra we de oproep voor dit programma zagen, hebben we contact met elkaar gezocht. Het samen schrijven van een voorstel was daarna een inkoppertje.’ Inmiddels is er een levendige uitwisseling van studenten ontstaan, en heeft het onderzoek in zijn eerste jaar al meteen een aantal mooie resultaten opgeleverd.

Verkeer omleiden
Het derde NWO/DHS project dat tijdens de workshop werd gepresenteerd, betrof het PAADDoS project van Aiko Pras van de Universiteit Twente en John Heidemann van de University of Southern California. Hun onderzoek richt zich op zogenaamde anycast-systemen als verdedigingsmechanisme. In een anycast-netwerk vertegenwoordigen meerdere servers op meerdere locaties hetzelfde IP-adres. Als een bepaald IP-adres het doelwit is van een DDoS-aanval, zullen in een anycast-netwerk alleen de servers die zich het dichtst bij de aanvaller bevinden daar last van hebben, en zal de dienst toegankelijk blijven omdat het verkeer wordt omgeleid via andere servers. ‘We gebruiken een tool die Verfploeter heet om in kaart te brengen op welke manier informatie op dit moment over het internet wordt geleid,’ vertelde Heidemann. ‘Opvallend genoeg gaat verkeer vooralsnog heel vaak langs plaatsen waar het niks te zoeken heeft. Het is bijvoorbeeld een hele uitdaging om Europees internetverkeer ook binnen Europa te houden.’ De maatschappelijke relevantie van deze gezamenlijke onderzoeksprojecten was de reden voor een bedrijf als SIDN Labs om deel te nemen aan PAADDOS en MINIONS.

Binnen dit het DDoS onderzoek is toegang hebben tot de juiste data en in de juiste hoeveelheden een grote uitdaging, zegt Jair Santanna. ‘Er zijn hier vandaag heel veel mensen die samen heel veel data hebben. Dit soort bijeenkomsten is bijzonder nuttig om te leren van anderen, om anderen te leren wat je zelf doet, en om te verkennen op welke manier je met elkaar zou kunnen samenwerken.’
 

Presentaties

​​​​​​​

Deze workshop werd georganiseerd in nauwe samenwerking met NWO en de Universiteit van Twente en gesponsord door SIDN.

Tekst: Sonja Knols, Ingenieuse
F
oto: Sjoerd van der Hucht