Kva er eit DDoS-åtak?

Det er meir sannsynleg enn ikkje at du har høyrt om ei nettside som har blitt teken ned av hackarar eller at ei populær nettside har krasja. Fleirtalet av slik nedetid på populære og høgtrafikkerte nettsider er forårsaka av Distributed Denial of Service (DDoS)-åtak.

Det er grenser for båndbreidda av trafikk som ein nettverksenhet kan handtere. Den nemnde grensa er avhengig av faktorar som prosesseringskrafta til eininga, datagrensa til tilkoplingsnoden (svitsj eller ruter), og den maksimale tilkoplingsfarten og båndbreidda som Internettleverandøren (ISP) tillèt.

Korleis fører alt dette til nedetid på ei nettside? Korleis skjer desse angrepa? Denne artikkelen vil vere ein avsløring om DDoS-angrep og korleis ein kan unngå eller førebyggje dei.

Ei Nedbryting av eit Typisk DDoS-Åtak

Hackarar initierer DDoS-angrep ved først å rekruttere ein armé av sårbare datamaskiner, populært referert til som eit Botnet. Botnet er ei rekkje samankopla datamaskiner og einingar som har blitt kompromitterte av skadevare. Botnet blir deretter brukt av hackarar til å samtidig sende ressursforespurnader som bruker opp offeret sin tilkoplingsbandbreidde, og hindrar dermed legitime fjernbrukarar av tenester på eininga frå å få tilgang til dei.

Datapakkane som blir brukt i gjennomføringa av DDoS-åtak er dei same eller liknande dei som blir brukt for dagleg kommunikasjon over internett, bortsett frå at dei er koordinerte i ein overveldande stor mengd per tidsenhet. Nettserverar som handterer trafikk for videostreaming kan tillate ein øvre grense på 20 Gigabyte per sekund i bandbreidde. I samanlikning kan DDoS-åtak laste ein enkel server eller nettverksenhet med opp til 1 Terabyte per sekund med data. Eit slikt volum av trafikk vil med suksess gjere ein teneste så stor som Google ureagerande.

Kven er dei potensielle måla for DDoS-åtak?

DDoS-åtak er svært enkle på grunn av sårbarheita til fleire einingar med internett-tilkopling og tilgjengelegheita av botnett på det mørke nettet for bruk av nybyrjarhackarar. Mange internettbrukarar, og overraskande nok nokre organisasjonar, tek i bruk internett-tilkopla teknologiar utan å endre dei standard innloggingsdetaljane som følgde med den aktuelle eininga. Hackarar søkjer gjennom internettet etter slike einingar, får tilgang til dei, og installerer skadevare som gjer at dei kan kontrollere slike einingar på avstand, utan at dei faktiske eigarane veit om at eininga deira er medlem av eit botnett.

Botneta som består av nettverket av sårbare einingar er ikkje dei primære ofra her, men blir brukt til å utføre eit koordinert angrep mot ei enkelt nettside eller nettsteneste – desse har vore dei fremste ofra for DDoS-angrep.

DDoS-åtak mot nettsider og nettbaserte tenesteplattformar kan vere i form av falske pakkar, innkommande meldingar eller førespurnader om å starte ei tilkopling. Dei er stort sett utførte som eit hemnangrep anten for å skade ryktet til konkurrentar og deretter føre til eit fall i marknadsandel, eit åtak mot politiske motstandarar, eller av og til som ein demoraliseringsmanøver mot menneskerettsrørsler og einingar.

Amazon Web Services (AWS) opplevde eit av dei nylege DDoS-angrepa i februar 2020. Ein uoppnemnd stor kunde av AWS var målet for angrepet, noko som påverka deira nettstenester i tre dagar. Ein trafikkbandbreidde som nådde toppen på 2,3 Terabyte per sekund gjorde AWS sin store bandbreiddekvote til barnemat.

Den mest populære botneten så langt – Mirai, var sentrum i ei kjede av DDoS-åtak i 2016. I september 2016, var internett vertskap for Mirai botnet i det mest massive DDoS-åtaket på den tida, med trafikk som nådde ein topp på ein bandbreidde på 620 Gbps som traff bloggen til ein cybersikkerheitsanalytikar. Etter at eit fragment av Mirai-koden blei gjort offentleg på eit DEFCON-samling seinare den månaden, traff eit mykje større skala av åtak ein betydeleg leverandør av Domain Name Service – Dyn.

Dyn var DNS-leverandøren for nettsider som Netflix, GitHub, PayPal, Reddit, Airbnb, og HBO på tida for Mirai-angrepet. Det 1,5 Gigabit per sekund DDoS-angrepet på Dyn sitt nettverk av nettsider gjorde tenestene deira ureagerande medan angrepet varte. Det var fleire andre Mirai-angrep seinare i 2016, nokre inkluderte kapra IoT-enheter som CCTV-kameraer, kaffimaskiner, og til og med babyvaktmonitorar.

Typar av DDoS-åtak

Det finst ulike typar DDoS-åtak. La oss sjå på nokre av dei nedanfor:

Zero-Day DDoS: Zero-Day DDoS er omgrepet som vert brukt av hackarar på deira løyndomsfulle nettsider hosta på det mørke nettet. Omgrepet refererer til ei rekkje kjeldekodar og armeer av rekrutterte botnett som er til sals; likevel utgjer dette eit sårbarheitsnivå for som sikkerheitsoppdateringar enno ikkje er utgjevne.

Ping of Death: Dette inneber at angriparar sender fleire manipulerte ping-pakkar til eit nettverksnode. Einingane som handterer lokale einingar (svitsjar og ruter) har grenser for pakkelengde som er tillate gjennom dei per sekund. Dermed blir lange pakkar ofte fragmenterte, for å bli sett saman igjen av mottakarverten. Den gjennomsnittlege datalengda til ein IP-pakke er om lag 1700 byte; likevel, hackarar ser etter å utføre ein Ping of Death framover pings med datastorleikar på opptil 71,423 byte når dei er sett saman igjen ved mottak. Denne typen DDoS-angrep tappar effektivt serverens minne og gjer det umogleg å svare på legitime førespurnader medan trolldomen varer.

UDP-flaumåtak; Dette er ein type DDoS-åtak som involverer å fløyme offeret med konsekvente straumar av User Datagram Protocol (UDP) klasse av data. I denne typen åtak blir ein fjernvert fløymd om att og om att med tilkoplingsførespurnader til tilfeldige portar. Liknande til UDP-flauming er ICMP (ping)-flaumen, som sender raske og tilfeldige ping-pakkar utan å vente på tilbakemelding for tilkopling. Pakkeflaumen tappar ressursane og bandbreidda til verten og gjer det til tider umogleg å etablere eit handtrykk når legitime tilkoplingsførespurnader blir gjort.

SYN Flood-åtak: Denne typen åtak utnyttar ei sårbarheit i TCP-tilkoplingar – Den tre-ledda handsaminga. Tre-ledda handsamingar inneber at ein ekstern datamaskin sender ein tilkoplingsførespurnad til ein tenar; tenaren svarar med å anerkjenne førespurnaden. Den eksterne datamaskinen må også svare på anerkjenninga ved å sende ein pakke som initierer tilkopling. Det hackarane gjer for å utføre eit DDoS-åtak gjennom denne kanalen, er å sende fleire SYN-tilkoplingsførespurnader til ein einaste vert ved hjelp av eit botnett. Tenarar svarar kvar node med ei ACK-melding, men hackarane hindrar botnetta frå å svare. Ein mangel på respons på ACK-meldinga etterlet den angripne tenaren hengande, og fleire handsamingsførespurnader blir sendt inntil alle offera sine ressursar er uttømde.

HTTP Flood-åtak: Desse involverer utnytting av legitime førespurnader meint for GET- og POST-aktivitetane til pakkar som går til og frå ei nettside eller tenar. Åtaket lurer vanlegvis den fjerne tenaren til å allokere maksimale ressursar til dei falske førespurnadane.

Førebyggjande tiltak mot DDoS-åtak

Som det vart peika på tidlegare, vert DDoS-åtak utførte i to steg, rekruttering av nodane som utgjer botnettet og å overfløyme nettverket til offeret med enorm trafikk. Kvardagsbrukarar av heimenettverk kan verne seg mot å delta i eit botnet-åtak ved å eliminere kvar kjelde til sårbarheit på personlege einingar ved å følgje stega nedanfor:

1. Endra passord på nye einingar:

Nettverksutstyr som ruterar, svitsjar, Wi-Fi-hubbar og IoT-einingar kjem med standardpassord. Å endre standardpassord er fornuftig, sidan det tek eininga di og alle andre kopla til nettverket eit steg vekk frå kompromittering. Eit blikk på brukarhandboka eller produsenten si nettside burde avsløre enkle steg for å endre passordet på eininga.

2. Bruk oppdaterte og pålitelege tryggingsressursar:

Å oppdatere fastvaren til front-end-einingar, brannmurar og operativsystemet vil vere det første skjermen av vern mot infiltrering av skadevare på nettverkseiningar.

For organisasjonar som finn ut at nettverksinfrastrukturen deira er under eit DDoS-angrep, bør følgjande framgangsmåte sikre at nedetida og det resulterande tapet er minimalt.

3. Nytta portteknologi som identifiserer brå auke i trafikk

Ein DDoS-åtak kan lett haldast i sjakk om det blir lagt merke til tidleg nok; dette vil gi nok tid til å kontakte selskapet sin ISP, som då ville setje i verk sin beste teknikk for å spreie DDoS-åtaket. Ein ISP kan stoppe eller minimere effekten av eit DDoS-åtak ved å spreie trafikken til tenarar med tilgjengeleg bandbreidde eller ved å leie trafikken til eit Sink Hole eller Black Hole. Black Holes er likevel meir effektive sidan all trafikken, både legitim og illegitim, som går til ein angripen IP-adresse blir sendt til eit «null interface»-hol. Sinkholes, derimot, prøver å filtrere datapakkane.

4. Bakende rekonfigurasjon av nettverksressursar

Det er mogleg å avgrense båndbreiddevolumet som er tillate av maskinvare som svitsjar og ruterar, noko som òg gjeld for brannmurar. Med trafikkbegrensinga blir den enorme båndbreidden av trafikk som er særeigen for DDoS-åtak, filtrert vekk, medan pakkar med vanlege eigenskapar blir sleppte inn i det lokale nettverket.

5. Hald IoT-einingane sikra

Sårbarheit i ein kaffimaskin vart sagt å ha blitt utnytta for å hacke nettverksinfrastrukturen til eit kasino. Rådet som vart gjeve tidlegare om IoT-einingar er verdt å understreke – endre standardpassord så snart IoT-einingane dine kjem ut av eska, og sørg for å oppdatere fastvaren til eininga regelmessig.

Konklusjon

DDoS-åtak kan verke skremmande og ganske kompliserte, men ikkje lenger. Med din nyfunne eller oppdaterte kunnskap om DDoS-åtak via denne artikkelen, bør evna til ein ISP til å beskytte nettsida di mot eit slikt åtak vere inkludert i lista over ting å sjekke når du bestemmer deg for kva ISP du skal abonnere på.