Artikel
29 mars, 2021
Vad är en överbelastningsattack (DDoS-attack)?
DDoS-attack, även kallat överbelastningsattack, står för distributed-denial-of-service och är ett stort angrepp riktat mot ett nätverk, en webbplats, ett datorsystem eller en webbtjänst. I den här artikeln tittar vi närmare på vad det innebär.
En DDoS-attack har i regel som mål att slå ut en webbplats eller en servrer, och på så sätt göra den otillgänglig för legitima användare. En framgångsrik attack kan orsaka störningar i upp till flera månader, vilket kan leda till förluster av intäkter, skadat rykte och stora återhämtningskostnader för det drabbade företaget. Detta gör attacken till ett populärt val för hacktivister och cyberkriminella, och innebär därmed en utmaning för många företag.
Så går en DDoS-attack till
Det första steget i en DDoS-attack är att angriparen kapar ett större antal uppkopplade enheter och skapar ett så kallat botnet. Användaren är i regel helt ovetande om vad som har skett och att dennes enhet används för att sänka en server eller en webbsida.
Med hjälp av sitt botnet, bestående av upp till miljontals enheter, kan angriparen sedan skapa ett stort antal anrop till ett datasystem. Angreppet kan riktas mot en dator, en port, ett program, ett helt nätverk eller riktas mot resurser som bandbredd, diskutrymme eller processortid. I samband med attacken kan även skadlig kod kan även rikas mot processorn och sårbarheter i operativsystemet utnyttjas.
Anropen sker simultant, vilket medför att tjänsten eller systemet som angrips överbelastas och kollapsar eller låser sig. Resulterar den stora mängden trafik att systemet kraschar hindrar det legitima besökare från att nå fram till webbplatsen, vilket i många fall är m ålet med attacken. Dessa anrop kan även manipulera systemets uppfattning om både nätet och användarna, vilket gör att systemet helt enkelt slutar att fungera som det ska. När detta sker kan användarna inte nå webbplatsen, utan möts istället av felmeddelandet ”denial of service” - därav attackens namn.
DDoS-attacker har förekommit i över 20 år och är därmed inget nytt fenomen. På senare år har attackerna dock ökat, delvis på grund av att det har blivit betydligt enklare att utföra dem. Faktum är att det inte krävs någon specialistkompetens alls, då det idag går att köpa överbelastningsattacker som tjänst via olika webbplatser på nätet.
Vilka som drabbas av DDoS-attacker
Offren för dessa attacker har historiskt sett ofta varit stora organisationer, där Paypal, Amazon, Visa, Arbetsförmedlingen, Telia och CNN är exempel på drabbade företag och myndigheter. Idag riskerar dock även mindre webbplatser att angripas av den här typen attacker, då många webbplatsägare delar webbhotell med andra företag. När en webbplats väl drabbas kan det medföra att alla siter på samma server också påverkas.
Olika typer av DDoS-attacker
Det finns totalt ungefär 25 olika typer av DDoS-attacker. Två populära attacktyper är flödesattacker och amplifikationsattacker, som är två bandbreddsförbrukande tekniker.
Flödesattack är den allvarligaste av de två. Här används ett stort antal datorer för att angripa systemet med hjälp av IP-trafik. I den här typen av attack kan ICMP (Internet Control Message Protocol) och UDP (Datagram Protocol) användas.
Vid en amplifikationsattack används olika typer av agenter för att sända meddelanden som skickas till alla de system som ingår i ett subnät. När routerna mottar paketen kopierar de alla meddelanden och skickar sedan dem vidare till det angripna systemet.
En annan typ av angrepp är protokollutnyttjande attacker. Vid dessa används olika sorters protokoll för att skapa situationer som datasystemet inte kan hantera och behandla. Exempelvis kan TCP SYN (Transfer Control Protocol Synchroniser) och URG (urgent pointer)-protokollen angripas med resultatet att systemet inte kan hantera alla TCP-URG meddelanden.
Två andra attacktyper är syn-attacker och teardrop-attacker. En syn-attack innebär att ett mycket stort antal förfrågningar skickas till en webbplats. Genom att inte besvara meddelandet som skickas till användaren kan mycket kapacitet stjälas.
Teardrop i sin tur är en teknik som innebär att systemet och relationen mellan paketen i webbtrafiken attackeras. Det är även vanligt att attacker mot webbplatsernas buffertar med data sker, med syfte att försöka få dem att svämma över.
En kombination av olika attacker brukar kallas för en multi-vektorattacker, vilka i regel orsakar större skada. Andra attacker kan vara direkta attacker mot krypterade SSL-anslutningar, attacker mot specifika konstruktionsfel, såväl som angrepp som sker med VoIP-automatiseringsskript.
Hur en DDoS-attack kan hanteras
För den drabbade finns det olika sätt att försöka stoppa en DDoS-attack. I många fall används IDMS-teknik (Intelligent DDoS Mitigation System) och AMS-metoder (Attack Mitigation System) för att hantera överbelastningsattackerna, vars uppgifter är att undersöka nätverkstrafiken. Analysen sker på lager-nivå. Ett välfungerande IDMS-/ADM-system övervakar nätverkstrafiken på en rad olika punkter och ger en överblick av nätverkets säkerhetstillstånd.
Vid ett mindre angrepp kan det räcka med att spärra de aktuella IP-numren där anropen kommer ifrån. Om det rör sig om ett större angrepp krävs dock mer resurser. Vid större attacker kan IP-numren vara förfalskade, och då gäller det istället att försöka identifiera och finna mönster i angreppssättet och sedan filtrera bort de skadliga paketen. Information som är viktig att samla in är bland annat loggar från routrar, internetleverantörer, brandväggar, IDS/IPS, webbservrar, e-post och DNS.
För att analysera nätverksloggar kan program som Wireshark, Argus och Nfdump användas. Om det inte fungerar måste man nullrouta, vilket betyder att alla anrop routas om och skickas vidare.
Hur du kan skydda dig mot DDoS-attacker
Att skydda sig mot DoS och DDoS-attacker är komplext eftersom det finns flera olika typer av attacker, vilket också betyder att det finns flera olika säkerhetsåtgärder att vidta. Men först och främst bör du ta fram en plan för hur du ska hantera den här typen av incidenter när de sker. Utöver det är ett väl segmenterat nätverk, brandväggar, och specifika tjänster inom området bra åtgärder för att uppnå ett bra skydd.
Oroar du dig för att drabbas av DDoS-attacker finns det en flera delar du bör titta lite närmare på, däribland, IDS/IPS, lastbalanserare, applikationskontroll, protokollvalidering, och rate limiting.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel