BLOG – Ddos-aanvallen zijn geen kinderspel meer, maar vormen een structurele bedreiging voor democratische, journalistieke en economische processen. Toch blijven we in Nederland (en daarbuiten) dweilen met de kraan open. Waarom wordt de meest fundamentele maatregel tegen ip-spoofing, te weten L3-ingress-filtering, structureel genegeerd?
Op 30 april 2025 werd NRC het doelwit van een grote ddos-aanval. Honderdduizenden requests per minuut, afkomstig uit residentiële netwerken, buitenlandse datacentra én Nederlandse infrastructuur, legden de site urenlang plat. Alle bekende paardenmiddelen werden uit de kast getrokken: scrubbing-centers, NaWas-wasstraten, geoblocking – maar het probleem bleek taai. De aanval verschoof realtime van het buitenland naar Nederlandse netwerken en de schade was niet volledig af te wenden.
Deze aanval laat alle bekende kwetsbaarheden zien: asymmetrie tussen aanval en verdediging, gebrek aan ketenverantwoordelijkheid, en vooral een structureel falen om spoofed verkeer bij de bron te stoppen.
Symptoom
Scrubbing-centers en filterwasstraten zijn noodzakelijk, maar pure symptoombestrijding, en wel omdat:
- Ze zijn traag, foutgevoelig, en bieden geen garantie tegen een flexibele, aanpassende aanvalstactiek;
- Geoblocking kan tijdelijk aanvullend helpen, maar treft ook gewone gebruikers;
- Zolang botnets eenvoudig via residentiële netwerken en goedkope vps-partijen requests kunnen afvuren, blijven deze verdedigingen een race tegen de klok.
Veel mensen denken dat je broncontrole ‘ergens in het netwerk’ kunt uitvoeren en dat het dan geregeld is. In werkelijkheid gaan bij elke hop (dus elke router of L3-switch die een pakket doorstuurt) de controleerbare gegevens op laag 2 (Mac-adressen) verloren. Routers herschrijven het ethernet-frame volledig, waardoor downstreamsystemen geen informatie meer hebben over de herkomst in het vorige segment.
Gevolg: de broncontrole moet bij elke overgang (elke hop, elk subnet, elke uplink/edge) opnieuw plaatsvinden. Alleen dan kun je garanderen dat pakketten het netwerk niet binnenkomen met een vals bronadres. Zodra je dit op één plek overslaat, kan spoofed verkeer zich weer verspreiden en is de keten gebroken.
Omdat bij iedere hop-overgang de controleerbare gegevens verloren gaan, moet broncontrole (L3-ingress-filtering) op élk knooppunt tussen netwerken plaatsvinden. Alleen zo houd je spoofing écht buiten de deur. Ofwel, activeer L3-ingress-filtering (BCP38)-instelling verplicht op alle netwerk-edges: geen spoofed source address meer over internet.
Eenvoudig
BCP38/L3-ingress-filtering vraagt nauwelijks extra rekenkracht of beheer: het is technisch eenvoudig, introduceert minimale overhead en kan op moderne apparatuur zonder noemenswaardige prestatie-impact worden ingeschakeld. Er zijn dus geen valide technische excuses om het niet te doen.
De technologie bestaat niet alleen al ruim twintig jaar als open standaard, maar wordt ook al bijna net zolang ondersteund door vrijwel alle gangbare L3-switches, routers en firewalls.
Zonder L3-filtering is elke andere verdediging dweilen met de kraan open. Niet alleen blokkeer je het leeuwendeel van het malicieuze verkeer ermee, het is ook onontbeerlijk om de laatste paar procent succesvol te kunnen rechercheren. Opvallend is dat het aan regeldruk in Nederland en de EU bepaald niet ontbreekt maar op het gebied van iets zo eenvoudigs en cruciaals als broncontrole blijft het akelig stil. Waarom wordt hier geen dwingende norm opgelegd?
Rob Koelmans, directeur MetaMicro Automatisering
