Hvad er et DDoS-angreb?

Der er større sandsynlighed for, at du har hørt om en hjemmeside, der er blevet nedlagt af hackere, eller at en populær hjemmeside er gået ned. Størstedelen af sådan nedetid på populære og højtrafikerede hjemmesider skyldes Distributed Denial of Service (DDoS) angreb.

Der er grænser for den båndbredde af trafik, som en netværksenhed kan håndtere. Den nævnte grænse afhænger af faktorer som enhedens behandlingskraft, datakapaciteten ved forbindelsesnoden (switch eller router) og den maksimale forbindelseshastighed og båndbredde tilladt af Internetudbyderen (ISP).

Hvordan fører alt dette til nedetid på en hjemmeside? Hvordan sker disse angreb? Denne artikel vil være en afsløring af DDoS-angreb og hvordan man undgår eller forhindrer dem.

En Opdeling af et Typisk DDoS-angreb

Hackere initierer DDoS-angreb ved først at rekruttere en hær af sårbare computere, populært omtalt som et Botnet. Botnets er en række sammenkoblede computere og enheder, der er blevet kompromitteret af malware. Botnets bruges derefter af hackere til samtidigt at sende ressourceanmodninger, der bruger offerets forbindelsesbåndbredde op, og dermed forhindrer legitime fjernbrugere af tjenester på enheden i at få adgang til dem.

De datapakker, der bruges til at udføre DDoS-angreb, er de samme eller ligner dem, der bruges til daglig kommunikation over internettet, bortset fra at de er koordineret i et overvældende stort stykke per tid. Online servere, der håndterer trafik for videostreaming, kan tillade en øvre grænse på 20 Gigabyte per sekund i båndbredde. Til sammenligning kunne DDoS-angreb belaste en enkelt server eller netværksenhed med op til 1 Terabyte per sekund af data. Et sådant trafikvolumen vil med succes gøre en tjeneste så stor som Google ikke-responsiv.

Hvem er de potentielle mål for DDoS-angreb?

DDoS-angreb er super nemme på grund af sårbarheden ved flere enheder med internetforbindelse og tilgængeligheden af botnets på det mørke web til brug for nybegynderhackere. Mange internetbrugere, og overraskende nok nogle organisationer, implementerer internetteknologier uden at ændre de standardproducent loginoplysninger, der fulgte med den pågældende enhed. Hackere gennemsøger internettet for at finde sådanne enheder, får adgang til dem og installerer malware, der gør det muligt for dem at fjernstyre sådanne enheder, uden at de faktiske ejere ved, at deres enhed er en del af et botnet.

Botnets, der består af netværket af sårbare enheder, er ikke de primære ofre her, men bruges til at udføre et koordineret angreb mod en enkelt hjemmeside eller online tjeneste – disse har været de primære ofre for DDoS-angreb.

DDoS-angreb mod hjemmesider og online tjenesteplatforme kan være i form af falske pakker, indgående beskeder eller anmodninger om at starte en forbindelse. De udføres for det meste som et hævntogt enten for at skade konkurrenters ry og efterfølgende forårsage et fald i markedsandel, et angreb mod politiske modstandere, eller sommetider som en demoraliseringsmanøvre mod menneskerettighedsbevægelser og enheder.

Amazon Web Services (AWS) oplevede et af de seneste DDoS-angreb i februar 2020. En unavngiven stor kunde hos AWS var målet for angrebet, hvilket påvirkede deres online-tjenester i tre dage. En trafikbåndbredde, der toppede med 2,3 Terabyte i sekundet, fik AWS’ enorme båndbreddekapacitet til at virke som barnemad.

Den mest populære botnet indtil videre – Mirai, var centrum for en række DDoS-angreb i 2016. I september 2016 var internettet vært for Mirai botnet i det mest massive DDoS-angreb på det tidspunkt, med trafik der toppede med en båndbredde på 620 Gbps, der ramte bloggen af en cybersikkerhedsanalytiker. Efter at et fragment af Mirai-koden blev offentliggjort på et DEFCON-møde senere den måned, ramte et meget større angreb en betydelig udbyder af Domain Name Service – Dyn.

Dyn var DNS-udbyderen for hjemmesider som Netflix, GitHub, PayPal, Reddit, Airbnb og HBO på tidspunktet for Mirai-angrebet. Det 1,5 Gigabit per sekund DDoS-angreb på Dyns netværk af hjemmesider gjorde deres tjenester utilgængelige, mens angrebet stod på. Der var flere andre Mirai-angreb senere i 2016, nogle inkluderede kaprede IoT-enheder som CCTV-kameraer, kaffemaskiner og endda baby cam monitorer.

Typer af DDoS-angreb

Der findes forskellige typer af DDoS-angreb. Lad os gennemgå nogle af dem nedenfor:

Zero-Day DDoS: Zero-Day DDoS er udtrykket brugt af hackere på deres hemmelige hjemmesider hostet på det mørke web. Udtrykket refererer til en serie af kildekoder og hære af rekrutterede botnets, der er til salg; dog udgør det et sårbarhedsniveau, for hvilket sikkerhedsrettelser endnu ikke er udgivet.

Ping of Death: Dette involverer angribere, der sender flere manipulerede ping-pakker til et netværksnode. Enheder, der håndterer lokale enheder (switche og routere), har grænser for pakkestørrelse, der er tilladt igennem dem per sekund. Derfor bliver lange pakker ofte fragmenteret for at blive genopbygget af modtager-værten. Den gennemsnitlige datalængde af en IP-pakke er omkring 1700 bytes; dog søger hackere at udføre en Ping of Death ved at sende pings med datamængder på op til 71,423 bytes, når de genopbygges i modtagerenden. Denne type DDoS-angreb tømmer effektivt serverens hukommelse og gør det umuligt at reagere på legitime forespørgsler, mens angrebet står på.

UDP Flood-angreb; Dette er en type DDoS-angreb, der involverer at oversvømme offeret med konstante strømme af User Datagram Protocol (UDP) klasse af data. I denne type angreb bliver tilfældige porte på en fjern vært gentagne gange oversvømmet med forbindelsesforspørgsler. Lignende til UDP-flooding er ICMP (ping)-flooding, som sender hurtige og tilfældige ping-pakker uden at vente på feedback for forbindelse. Pakkeoversvømmelsen udtømmer værtens ressourcer og båndbredde og gør det til tider umuligt at etablere et håndtryk, når der foretages legitime forbindelsesforespørgsler.

SYN Flood Angreb: Denne type angreb udnytter en sårbarhed i TCP-forbindelser – Det tredelte håndtryk. Tredelte håndtryk involverer en fjerncomputer, der sender en forbindelsesanmodning til en server; serveren svarer ved at anerkende anmodningen. Fjerncomputeren skal også svare på anerkendelsen ved at sende en pakke, der initierer forbindelsen. Det, som hackere gør for at udføre et DDoS-angreb gennem denne kanal, er at sende flere SYN-forbindelsesanmodninger til en enkelt vært ved hjælp af et botnet. Servere svarer på hver node med en ACK-besked, men hackerne forhindrer botnets i at svare. En mangel på respons på ACK-beskeden efterlader den angrebne server hængende, og flere håndtryksanmodninger sendes, indtil alle offerets ressourcer er udtømte.

HTTP Flood-angreb: Disse involverer udnyttelse af legitime anmodninger beregnet til GET- og POST-aktiviteterne af pakker, der går til og fra en hjemmeside eller server. Angrebet snyder typisk den fjernserver til at allokere maksimale ressourcer til de falske anmodninger.

Forebyggende foranstaltninger mod DDoS-angreb

Som det blev fremhævet tidligere, udføres DDoS-angreb i to faser, rekruttering af de noder, der udgør botnettet, og oversvømmelse af offerets netværk med ekstrem trafik. Almindelige brugere af hjemmeinternetnetværk kan beskytte sig mod at deltage i et botnet-angreb ved at eliminere enhver kilde til sårbarhed på personlige enheder ved at følge nedenstående trin:

1. Skift adgangskoder på nye enheder:

Netværkshardware som routere, switche, Wi-Fi hubs og IoT-enheder leveres med standardadgangskoder. Det er fornuftigt at ændre standardadgangskoder, da dette skridt tager din enhed og alle andre enheder, der er tilsluttet dens netværk, et skridt væk fra kompromittering. Et kig i brugervejledningen eller på producentens hjemmeside burde afsløre nemme trin til at ændre enhedens adgangskode.

2. Brug opdaterede og pålidelige sikkerhedsressourcer:

Opdatering af firmwaren på front-end enheder, firewalls og operativsystemet vil være det første forsvar mod malware’s infiltration på netværksenheder.

For organisationer, der finder ud af, at deres netværksinfrastruktur er under et DDoS-angreb, bør følgende handlingsforløb sikre, at nedetiden og det resulterende tab er minimalt.

3. Brug gateway-teknologi, der identificerer pludselige stigninger i trafik

Et DDoS-angreb kan nemt inddæmmes, hvis det opdages tidligt nok; dette vil give nok tid til at kontakte firmaets internetudbyder (ISP), som derefter ville implementere deres bedste teknik til at afvise DDoS. En ISP kunne stoppe eller minimere virkningen af et DDoS-angreb ved at sprede trafikken til servere med tilgængelig båndbredde eller ved at omdirigere trafikken til et Sink Hole eller Black Hole. Black Holes er dog mere effektive, da al trafik, både legitim og illegitim, der går til en angrebet IP-adresse, sendes til et ‘null interface’ hul. Sinkholes forsøger derimod at filtrere datapakkerne.

4. Backend re-konfiguration af netværksressourcer

Det er muligt at begrænse båndbreddevolumen tilladt af hardware som switche og routere, hvilket også gælder for firewalls. Med begrænsningen af trafikken filtreres den enorme båndbredde af trafik, der er karakteristisk for DDoS-angreb, fra, mens pakker med almindelige egenskaber tillades ind i det lokale netværk.

5. Hold IoT-enheder sikrede

Sårbarhed i en kaffemaskine siges at være blevet udnyttet til at hacke netværksinfrastrukturen i et kasino. Det råd, der tidligere blev givet om IoT-enheder, er værd at understrege – skift standardadgangskoder, så snart dine IoT-enheder kommer ud af æsken, og bestræb dig på at opdatere enhedens firmware regelmæssigt.

Konklusion

DDoS-angreb kan virke skræmmende og ret komplicerede, men ikke længere. Med din nyfundne eller opdaterede viden om DDoS-angreb via denne artikel, bør evnen hos en internetudbyder (ISP) til at beskytte dit websted mod et sådant angreb være inkluderet på listen over ting at tjekke, når du beslutter, hvilken ISP du vil abonnere på.