08-07-2014 12:04:26

BIT heeft al sinds de jaren ’90 ervaring met het zich wapenen tegen (D)DoS aanvallen. In die tijd hostte we een aantal IRC servers die ware (D)DoS magneten bleken te zijn. Met de D tussen haakjes omdat de aanvallen in die tijd nog heel vaak niet gedistribueerd waren maar gewoon vanaf één IP adres kwamen. De IRC servers werden gratis gehost om wat terug te doen voor de community, dus onze primaire focus was het ervoor zorgen dat onze zakelijke, betalende klanten geen last van de aanvallen zouden hebben. Dat werd opgelost door de servers in een apart blokje IP adressen onder te brengen (PI space), waarvan we de routering vanaf de buitenwereld naar ons toe aan konden passen. In geval van een aanval waren de IRC servers misschien verminderd bereikbaar (bijvoorbeeld alleen vanuit Nederland), maar hadden onze klanten er in ieder geval geen last van.

In de loop der jaren zijn DDoS aanvallen geavanceerder geworden. Honderdduizenden geïnfecteerde PC’s van onwetende mensen thuis worden ingezet om maar zo veel mogelijk rommel naar het slachtoffer in kwestie te sturen. Soms is dat gewoon een kwestie van veel bandbreedte, soms zijn het geavanceerdere aanvallen die met minder bandbreedte toch een dienst onderuit weten te halen. Ook zijn de aanvallen tegenwoordig bijna altijd gericht tegen ‘normale’, betaalde diensten. Daarbij is ‘even onbereikbaar maken voor alles buiten Nederland’ geen optie, bovendien weet je van tevoren niet tegen wie of wat de volgende aanval gericht gaat zijn, dus potentiële targets afzonderen in aparte IP reeksen is ook geen optie.

Leveranciers van netwerkapparatuur hebben dit natuurlijk ook opgemerkt en een groot aantal van hen zijn op de markt gekomen met speciale appliances die voor niks anders bedoeld zijn dan het afslaan van DDoS aanvallen. Op zich goed bedacht, maar er kleven nogal wat nadelen aan die het voor veel ISP’s onhaalbaar maken om deze apparatuur aan te schaffen. Om te beginnen zijn de appliances duur. Niet uit de categorie ‘daar koop je ook een auto voor’, maar in een aantal gevallen zelfs een huis. En dan bedoel ik geen appartementje. Logisch: Het gaat om apparatuur die veel bandbreedte aan moeten kunnen en de afzetmarkt is klein. De kosten voor de ontwikkeling moeten dus over een relatief klein aantal appliances worden verdeeld. Het tweede probleem is dat er verschillende soorten DDoS aanvallen zijn en dat elke leverancier zijn eigen sterke en zwakke punten heeft. Eigenlijk zou je dan dus al twee kisten nodig hebben: Eentje om de grote klappen op te vangen en eentje erachter om de meer geavanceerde aanvallen eruit te filteren. Dat maakt het nog duurder. En last but not least heb je natuurlijk een enorme hoeveelheid bandbreedte nodig. Als een DDoS aanval je uplink naar het internet dicht drukt heb je aan je dure filterdoos tenslotte ook niks. En daar zijn behalve eenmalige kosten ook maandelijks terugkerende kosten mee gemoeid.

Om deze problemen op te lossen hebben een aantal ISP’s de koppen bij elkaar gestoken en is vanuit de stichting NBIP (de stichting die 11 jaar geleden is opgericht om op een vergelijkbare manier de aftapbaarheid van de netwerken van ISP’s te verzorgen) de Nationale Wasstraat (kortweg NaWas) opgezet.

De NaWas bestaat uit een verzameling centraal opgestelde apparatuur met een hele dikke verbinding naar de buitenwereld. De kosten hiervan worden door de deelnemende ISP’s gemeenschappelijk opgebracht, wat het voor iedereen betaalbaar houdt. Ligt een van de deelnemende netwerken onder vuur, dan wordt het verkeer van het blokje IP adressen waar het target in valt omgeleid via de NaWas. Vervolgens wordt het bij de NaWas zoveel mogelijk ontdaan van het DDoS verkeer en wordt het “schone verkeer” weer doorgestuurd naar het netwerk waar het thuis hoort. Door via BGP een more specific te announcen, kan het verkeer als het ware van buitenaf naar de NaWas toegetrokken worden, dus al voordat het het netwerk van de ISP heeft bereikt. Op die manier heeft de ISP zelf ook geen extra grote verbindingen meer nodig, die liggen allemaal op een centrale plek. En via AMS-IX of NL-ix (waar praktisch alle Nederlandse ISP’s op aangesloten zijn) komt het opgeschoonde verkeer alsnog bij de deelnemer. Dus zonder aparte verbindingen aan te moeten leggen. En hoe meer netwerken meedoen, hoe groter de capaciteit en hoe goedkoper het voor iedereen wordt. NBIP is tenslotte een stichting en heeft daarom geen winstoogmerk. Geld wat na exploitatie overblijft, vloeit gewoon weer terug naar de deelnemers.

BIT ondersteunt dit soort initiatieven natuurlijk van harte. We zijn al sinds het prille begin deelnemer van NBIP en waren nauw betrokken bij het opzetten van de NaWas. Het is een goed voorbeeld van hoe je een gemeenschappelijk probleem, gemeenschappelijk aan kunt (en moet) pakken, ook al ben je in het dagelijks leven elkaars concurrent.