Het project

Inleiding

De stichting NBIP is eind 2015 een R&D project gestart om te komen tot een eenvoudige DDoS herkenningstool. Deelnemers vroegen hierom, omdat deze tools niet of nauwelijks voorhanden waren. Daarbij kwam dat er ook verschillende aanduidingen in omloop waren om een DDoS een naam te geven. 

Vanaf het begin is gestart op basis van open source en de community. Het idee is om samen tot een zodanige naamgeving en toolomgeving te komen, dat deze samen gedragen kan worden door diverse (markt)partijen. Er is contact gezocht met de TU Twente die een methode in ontwikkeling had voor het herkenning van een DDoS op basis van data-analyse van het netwerkverkeer. Op basis van de hoeveelheid ervaringen binnen de NBIP met DDoS, konden de krachten gebundeld worden data.Het SIDN heeft een fonds opgericht, het SIDNfonds, welke projecten financieel ondersteund die een bijdrage leveren aan "Een sterk internet voor iedereen". De NBIP heeft succesvol een aanvraag ingediend en dit project wordt dan ook mede ondersteund door het SIDNfonds.

Ondertussen had ROS een eigen aanvraag ingediend voor het geven van een signaal (email, SMS, etc) op het moment dat er DDoS optrad. Middels de communicatie rond het SIDNfonds, vonden de NBIP en ROS elkaar en hebben ze de samenwerking opgezocht. In de zomer van 2016 dit verder uitgewerkt, op basis waarvan er is gekomen tot een gemeenschappelijke software architectuur. Hierdoor kan de kennis en de uitwerkingen worden uitgewisseld.

Op deze website vindt u de status van de diverse projectonderdelen terug, inclusief een kennisuitwisselingsplatform en referenties naar de open source tools.

Uitgangspunten

In het patroonherkenningsproject van de NBIP staan de volgende doelstellingen voorop:

  1. Ontwikkeling van een patroonherkenningstool waarmee het type DDoS automatisch herkend en gerapporteerd kan worden;
  2. Komen tot een patroonherkenningsomgeving waarmee de booter of botnets achter de DDoS aanvallen herkend kunnen worden;
  3. Uitwerking van een uniforme DDoS naamgeving op basis waarvan DDoS aanvallen eenduidig gerapporteerd kunnen worden, zowel richting de deelnemers als andere belanghebbende (overheid, universiteiten, stakeholders, etc.);

Afgeleid staan de volgende doelstellingen voorop:

  1. Ontwikkeling van een open source infrastructuur voor de DDoS (patroon)herkenning waarin meerdere (ontwikkel)partijen modules kunnen opvoeren en onderhouden. Dit kunnen partijen met open source, maar ook closed source software zijn, zoals bijvoorbeeld leveranciers van DDoS mitigatie software;
  2. Komen tot een open source kennisomgeving (website) met daarin verzamelingen van (anonieme) DDoS analyse data, kennis over DDoS patronen en een DDoS naamgeving standaard.

Onderdelen

Er is door NBIP geïnvesteerd in hardware en systeemsoftware voor het kunnen volgen en opslaan van DDoS dataverkeer. De implementatie is gereed zodat DDoS data opgevangen kan worden. Werk ligt er nog bij het gestructureerd kunnen opvragen van gegevens uit deze DDoS storage.

In nauwe samenwerking met TU Twente is onderzoek gedaan naar DDoS patronen wat heeft geleid tot een prototype waarin patronen zichtbaar kunnen worden gemaakt. Op basis hiervan de DDoS op deze website gepubliceerd. 

Er is een open software (bus) architectuur ontworpen waarin via modules diverse sensoren, patroonherkenningsdetectie en visualisaties kan worden opgenomen. Deze bus architectuur is geïmplementeerd met een eerste anti DDoS detectietool om het te testen. Deze implementatie heeft plaats gevonden in samenwerking met Radically Open Security. Links zijn op deze website onder patroonherkenning verder te vinden.