Et DDoS-angrep er noe du kan høre eller lese om i alt fra sladdermagasiner til spesialitetsprodusentfora. Det er en vanlig plage som har eksistert siden slutten av 90-tallet, som mange hackere eller til og med misfornøyde ansatte kan bruke til å kreme et system fra en ekstern plassering.
Her er det du trenger å vite om hvordan et DDoS-angrep blir lansert, hva det gjør, og hvor stor er potensielle implikasjoner på et intetanende eller uforberedt mål.
DoS vs DDoS
Begrepet 'DoS' står for denial-of-service-angrep. Denne cyberattack innebærer å begrense eller forstyrre tjenestene til en vert.
Den vanligste måten som dette oppnås på er å oversvømme verten med overbevisende forespørsler. Dette medfører overbelastning på målmaskinen og kan også gjøre det ikke responsivt mot de fleste om ikke alle legitime forespørsler fra andre brukere.
En DDoS er i utgangspunktet et DoS-angrep på en mye større skala. Det er også referert til som et distribuert avslag på tjenesten. Den samme flomteknikken brukes på målmaskinen, men den kommer med en vri.
DDoS-angrep har flere opprinnelseskilder. Derfor er det stadig vanskeligere å hindre dem. Et DoS-angrep kan stoppes ved å blokkere kilden, men i tilfelle av DDoS-angrep er det ikke så enkelt som en grunnleggende inngangsfiltrering ikke vil være effektiv.
DDoS Implikasjoner
- Manglende evne til å skille mellom legitime brukere
- Nettstedets utilgjengelighet
- Langsom nettverksytelse
- Økt antall spam-e-poster
- Internett-tjenester benektelse av tilgang
- Frakobling fra kablede eller trådløse internettforbindelser
- Krasj maskinvare
Felles angrepstaktikk
IP-spoofing er en av de vanligste DDoS-metodene. Å lage falske IP-adresser gjør det enda vanskeligere å finne og blokkere de opprinnelige kildene til angrepene.
Botnets er også et varemerke for DDoS-angrep. Hvis du ikke vet hva en botnet er, tenk på det som et nettverk av datamaskiner som fungerer som sovende agenter. Datamaskinene mottar kommandoer for å angripe et bestemt verts- eller målsystem.
Ofte mottar og utfører disse maskinene bestillingene uten at eierne noensinne har visst om det. Dette gjør DDoSing ekstremt kraftig, da potensialet for å utvide nettverket er ganske høyt. Det forhindrer også verter fra å bare legge til mer båndbredde for å håndtere problemet.
Tiltenkt bruk
Mange DDoS-angrep brukes i utpressingsordninger mot finansinstitusjoner eller bedriftseiere. Angrepene starter vanligvis små med et enkelt DDoS-angrep som et proof of concept. Målene blir deretter gjort oppmerksom på sårbarheten i systemet og blir bedt om å betale et gebyr.
De fleste betalingsanmodninger er i Bitcoin eller andre alternative virtuelle valutaer som er notorisk vanskelig å spore tilbake til angriperne.
Noen DDoS-angrep er ment å skade maskinvarekomponentene i målsystemet. Dette kalles PDoS, permanent denial-of-service eller phlashing.
PDoS innebærer å ta fjernkontroll over styringen av målsystemets maskinvareenheter som inkluderer, men er ikke begrenset til skrivere, rutere og de fleste nettverksmaskinvare. Angrepene bruker modifiserte eller korrupte fastvarebilder for å erstatte den opprinnelige fastvaren til et målhardware.
Etter et av disse angrepene kan systemet bli skadet utover reparasjon. Dette betyr at målet må måtte erstatte alt utstyr. Dette koster tid og penger.
PDoS-angrep er vanskelig å legge merke til. De kan også utføres uten å stole på botnet- eller rotserverservere.
Utilsiktet DDoS
Noen ganger kan årsaken til en overbelastning av nettsiden bare være en økning i popularitet. Hvis tusenvis eller hundretusenvis av mennesker alle klikker på samme tilgangslink til et nettsted samtidig, kan administratoren se det som et DDoS-forsøk.
Gitt, dette skjer vanligvis bare på mindre forberedte nettsteder eller nye nettsteder med begrenset båndbredde. Det er noen sirkler, en variant av dette er VIPDoS. VIP står for kjendiser som kan legge inn linker som tiltrekker seg tusenvis av klikk innen sekunder.
Planlagte hendelser kan også føre til midlertidig avvisning av tjenesten. Dette skjer fordi det er nok tid på forhånd, kanskje millioner av mennesker vet at de har en begrenset tidsramme der de kan dra nytte av en tjeneste.
For eksempel skjedde denne typen utilsiktede DDoS under den australske folketellingen i 2016.
DDoS-beskyttelse
Selv om det finnes flere forsvarsteknikker som beskytter eller reduserer skadene som er gjort ved DDoS-angrep, involverer det beste forsvarssystemet flere lag av forsvar.
For å være så godt forberedt som mulig, må du begynne med å erkjenne at et innkommende DDoS-angrep er en mulighet. Kombinere angrepssensor, trafikklassifisering, realtidsresponsverktøy og maskinvarebeskyttelse for å ha større sjanse til å avskrekke et angrep.
En høy båndbredde er også viktig som selv med avanserte sikkerhetsforanstaltninger kan det være umulig å stoppe et 100 GB DDoS-angrep på en 10 GB båndbredde.
Vanligvis brukte DDoS-forebyggingsmetoder innebærer:
- Brannmurer
- Intrusjonsforebyggende systemer (IPS)
- Bruk frontend-maskinvare på applikasjonen
- Blackhole ruting
- rutere
- brytere
- Oppstrøms filtrering
En endelig tanke
Selv om flere og flere forsvarsmekanismer og verktøy kontinuerlig blir raffinert, øker antallet DDoS-angrep fortsatt over hele verden. Noen land forsøker å avskrekke potensielle angripere ved å foreslå fengsel en straff.
Men svært få land utstedte faktisk veldefinerte lover angående dette. Storbritannia er et av de få som har klare retningslinjer når det gjelder å håndtere DDoSing. Det er maksimalt 10 års fengselstrafikk som kan gis til alle som har tatt DDoSing. Det er også det eneste landet som klart definerte DDoSing som en ulovlig aktivitet.
Den populære hackergruppen Annonymous har vært lobbyvirksomhet for å klassifisere et DDoS-angrep som en akseptert protestform i stedet for et ulovlig angrep. Tror du at de har rett eller er DDoSing for farlig i hendene på de med dårlige intensjoner for å bli ansett lovlig?
