Vad är en DDoS-attack?
Det är mer troligt än inte att du har hört talas om att en webbplats har tagits ner av hackare eller att en populär webbplats har kraschat. Majoriteten av sådan nedtid på populära och högtrafikerade webbplatser orsakas av Distributed Denial of Service (DDoS)-attacker.
Det finns gränser för den bandbredd av trafik som en nätverksenhet kan hantera. Den nämnda gränsen beror på faktorer som enhetens bearbetningskraft, datagränsen för anslutningsnoden (switch eller router) och den maximala anslutningshastigheten och bandbredden som tillåts av internetleverantören (ISP).
Hur leder allt detta till nedtid på en webbplats? Hur sker dessa attacker? Den här artikeln kommer att vara en avslöjande genomgång av DDoS-attacker och hur man kan undvika eller förhindra dem.
## En genomgång av en typisk DDoS-attack
Hackare initierar DDoS-attacker genom att först rekrytera en armé av sårbara datorer, populärt kallade för ett Botnet. Botnät är en serie av sammankopplade datorer och enheter som har komprometterats av skadlig programvara. Botnät används sedan av hackare för att samtidigt skicka resursförfrågningar som använder upp offrets anslutningsbandbredd, vilket förhindrar legitima fjärranvändare av tjänster på enheten från att få tillgång till dem.
Datapaket som används för att utföra DDoS-attacker är desamma eller liknande de som används för vardaglig kommunikation över internet, förutom att de är koordinerade i en överväldigande stor mängd per tidsenhet. Onlineservrar som hanterar trafik för videostreaming kan tillåta en övre gräns på 20 Gigabyte per sekund i bandbredd. I jämförelse kan DDoS-attacker belasta en enskild server eller nätverksenhet med upp till 1 Terabyte per sekund av data. En sådan mängd trafik kommer framgångsrikt att göra en tjänst så stor som Google oresponsiv.
## Vilka är de potentiella måltavlorna för DDoS-attacker?
DDoS-attacker är superenkla på grund av sårbarheten hos flera enheter med internetanslutning och tillgängligheten av botnät på dark web för användning av nybörjarhackare. Många internetanvändare, och förvånansvärt nog även vissa organisationer, implementerar internetteknologier utan att ändra de standardinloggningsuppgifter som medföljde enheten. Hackare söker igenom internet efter sådana enheter, får tillgång till dem och installerar skadlig programvara som gör det möjligt för dem att fjärrstyra dessa enheter, utan att de faktiska ägarna vet om att deras enhet är medlem i ett botnät.
Botnät som består av nätverk av sårbara enheter är inte de primära offren här, utan används för att genomföra en samordnad attack mot en enskild webbplats eller onlinetjänst – dessa har varit de främsta offren för DDoS-attacker.
DDoS-attacker mot webbplatser och online-tjänsteplattformar kan ta formen av falska paket, inkommande meddelanden eller förfrågningar om att inleda en anslutning. De utförs oftast som en hämndattack antingen för att skada konkurrenters rykte och därmed orsaka ett tapp i marknadsandelar, en attack mot politiska motståndare, eller ibland som en demoraliseringsmanöver mot människorättsrörelser och enheter.
Amazon Web Services (AWS) utsattes för en av de senaste DDoS-attackerna i februari 2020. En namnlös stor kund till AWS var målet för attacken, vilket påverkade deras onlinetjänster i tre dagar. En trafikbandbredd som toppade på 2,3 Terabyte per sekund fick AWS omfattande bandbreddstilldelning att framstå som barnlek.
Den mest populära botnätet hittills – Mirai, var i centrum för en kedja av DDoS-attacker 2016. I september 2016 var internet värd för Mirai botnät i den mest massiva DDoS-attacken vid den tiden, med trafik som toppade på en bandbredd av 620 Gbps som träffade bloggen av en cybersäkerhetsanalytiker. Efter att en del av Mirai-koden offentliggjordes vid ett DEFCON-möte senare samma månad, drabbades en betydande leverantör av domännamnstjänster – Dyn av en mycket större skala av attack.
Dyn var DNS-leverantören för webbplatser som Netflix, GitHub, PayPal, Reddit, Airbnb och HBO vid tidpunkten för Mirai-attacken. Den 1,5 Gigabit per sekund stora DDoS-attacken mot Dyns nätverk av webbplatser gjorde deras tjänster oresponsiva så länge attacken pågick. Det fanns flera andra Mirai-attacker senare under 2016, vissa inkluderade kapade IoT-enheter som övervakningskameror, kaffemaskiner och till och med babykameramonitorer.
## Typer av DDoS-attacker
Det finns olika typer av DDoS-attacker. Låt oss gå igenom några av dem nedan:
Zero-Day DDoS: Zero-Day DDoS är termen som används av hackare på deras hemliga webbplatser som är värd på dark web. Termen refererar till en serie källkoder och arméer av rekryterade botnät som är till salu; dock innebär det nivåer av sårbarhet för vilka säkerhetsuppdateringar ännu inte har släppts.
Ping of Death: Detta innebär att angripare skickar flera manipulerade pingpaket till en nätverksnod. Enheterna som hanterar lokala enheter (switchar och routrar) har gränser för tillåten paketlängd per sekund. Långa paket fragmenteras ofta för att sedan återsammanställas av mottagarvärden. Den genomsnittliga datalängden för ett IP-paket är ungefär 1700 byte; dock strävar hackare efter att genomföra en Ping of Death genom att skicka ping med datamängder upp till 71,423 byte när de återsammanställs i mottagande ände. Denna typ av DDoS-attack tömmer effektivt serverns minne och gör det omöjligt att svara på legitima förfrågningar medan attacken pågår.
UDP Flood Attack; Detta är en typ av DDoS-attack som innebär att offret översvämmas med konsekventa strömmar av User Datagram Protocol (UDP) klass av data. I denna typ av attack har en fjärrvärd slumpmässiga portar som upprepade gånger översvämmas med anslutningsförfrågningar. Liknande UDP-översvämning är ICMP (ping) översvämningen, som skickar snabba och slumpmässiga pingpaket utan att vänta på återkoppling för anslutning. Paketöversvämningen tömmer värdens resurser och bandbredd och gör det ibland omöjligt att etablera en handskakning när legitima anslutningsförfrågningar görs.
SYN Flood Attack: Denna typ av attack utnyttjar en sårbarhet i TCP-anslutningar – Den tredelade handskakningen. Tredelade handskakningar innebär att en fjärrdator skickar en anslutningsförfrågan till en server; servern svarar genom att erkänna förfrågan. Fjärrdatorn måste också svara på erkännandet genom att skicka ett paket som initierar anslutningen. Vad hackare gör för att utföra en DDoS-attack genom denna kanal är att skicka flera SYN-anslutningsförfrågningar till en enda värd med hjälp av ett botnät. Servrar svarar på varje nod med ett ACK-meddelande, men hackarna förhindrar att botnäten svarar. En brist på svar på ACK-meddelandet lämnar den attackerade servern hängande, och fler handskakningsförfrågningar skickas tills alla offrets resurser är uttömda.
HTTP Flood-attacker: Dessa innebär att man utnyttjar legitima förfrågningar avsedda för GET- och POST-aktiviteter för paket som skickas till och från en webbplats eller server. Attacken lurar vanligtvis den fjärranslutna servern att tilldela maximala resurser till de falska förfrågningarna.
## Förebyggande åtgärder mot DDoS-attacker
Som tidigare belystes utförs DDoS-attacker i två steg, rekrytering av noderna som utgör botnätet och översvämmning av offrets nätverk med enorm trafik. Vardagsanvändare av heminternetnätverk kan skydda sig mot att delta i en botnätattack genom att eliminera varje källa till sårbarhet på personliga enheter genom att följa stegen nedan:
1. Byt lösenord på nya enheter:
Nätverkshårdvara som routrar, switchar, Wi-Fi-hubbar och IoT-enheter levereras med standardlösenord. Att ändra standardlösenord är vettigt, eftersom det steget tar din enhet och alla andra enheter som är anslutna till dess nätverk ett steg bort från kompromettering. En titt i användarmanualen eller på tillverkarens webbplats bör avslöja enkla steg för att ändra enhetens lösenord.
2. Använd uppdaterade och pålitliga säkerhetsresurser:
Att uppdatera firmware för front-end-enheter, brandväggar och operativsystemet kommer att vara det första skyddet mot skadeprogrammens infiltration på nätverksenheterna.
För organisationer som upptäcker att deras nätverksinfrastruktur är under en DDoS-attack, bör följande åtgärdsplan säkerställa att nedtid och följande förlust är minimal.
3. Använd gateway-teknik som identifierar plötsliga trafiktoppar
En DDoS-attack kan enkelt hanteras om den upptäcks tillräckligt tidigt; detta ger tillräckligt med tid för att kontakta företagets ISP, som sedan skulle implementera sin bästa teknik för att avvärja DDoS. En ISP kan stoppa eller minimera effekten av en DDoS-attack genom att sprida trafiken till servrar med tillgänglig bandbredd eller dirigera trafiken till ett Sink Hole eller Black Hole. Black Holes är dock mer effektiva eftersom all trafik, både legitim och illegitim, som går till en attackerad IP-adress skickas till ett ”null interface”-hål. Sinkholes försöker å andra sidan filtrera datapaketen.
4. Omkonfigurering av nätverksresurser på serversidan
Det är möjligt att begränsa bandbreddsvolymen som tillåts av hårdvara som switchar och routrar, vilket även gäller för brandväggar. Med trafikbegränsningen filtreras den enorma bandbredden av trafik som är typisk för DDoS-attacker bort, medan paket med vanliga egenskaper tillåts in i det lokala nätverket.
5. Håll IoT-enheter säkrade
En sårbarhet i en kaffemaskin sades ha utnyttjats för att hacka ett casinos nätverksinfrastruktur. Rådet som gavs tidigare om IoT-enheter är värt att betona igen – byt standardlösenord så snart dina IoT-enheter packas upp, och sträva efter att regelbundet uppdatera enhetens firmware.
## Slutsats
DDoS-attacker kan verka skrämmande och ganska komplicerade, men inte längre. Med din nyfunna eller uppdaterade kunskap om DDoS-attacker via denna artikel, bör förmågan hos en internetleverantör att skydda din webbplats mot en sådan attack inkluderas i listan över saker att kontrollera när du bestämmer vilken internetleverantör du ska abonnera på.