(D)DoS – överbelastningsattack

Denial of Service (DOS)

DoS står för Denial of Service och syftar till överbelastningsattacker av datorsystem. Attacken genomförs oftast genom att ett stort antal meddelanden skickas till ett datorsystem med syftet att få det att gå ned på grund av att servern inte klarar av att hantera alla meddelanden.

Distributed Denial of Service (DDoS)

Det vanligaste och effektivaste sättet att utföra en överbelastningsattack är att låta ett stort antal datorer göra en samtidig attack mot systemet. En sådan samlad attack kallas DDoS (Distributed Denial of Service).  

Botnet

För att få tillgång till dessa stora antal av datorer för en attack använder sig attackerare ofta av ett så kallat botnet. Man kapar ett mängd datorer genom att infektera dem med trojaner (ett slags datorvirus) som installeras i dessa datorer utan att ägarna märker något. Med hjälp av ett sådant virusprogram kan attackerarna fjärrstyra de kapade datorerna. Varje enskild dator i ett sådant nät kallas bot eller zombie

Krasch på grund av överbelastning

När det fjärrstyrda botnätet tillsammans skickar en stor mängd meddelanden till målet för attacken, kommer mottagaren till slut inte att kunna hantera alla anrop. Det blir en trafikstockning i informationen och inga fler meddelanden kommer fram. Legitima användare hindras från att nå den webbserver som attackerats. Systemet kraschar och det kan ta tid att återställa det.

Olika typer av DDoS-attacker

Det finns olika typer av överbelastningsattacker som attackerar olika mål i nätverksanslutningarna. För att förstå hur dessa olika typer av attacker fungerar måste man ha ganska ingående kunskaper om hur nätverksanslutningar fungerar.

Några exempel på vanliga typer av attacker är:

Flödesattack

Man angriper systemet genom att använda ett stort antal datorer för att överbelasta systemet med IP-trafik och här kan ICMP (Internet Control Message Protocol) och UDP (Datagram Protocol) användas

Amplifikationsattack

En amplifikationsattack använder agenter för att skicka meddelanden som skickas till alla system i ett subnät. När routerna får emot paketen så kopierar de meddelanden och skickar de vidare till offrets system.

Syn-attack

Då en attack sker utförs de första två stegen (synkronisering, synkronisering och bekräftelse), men användaren hoppar över det sista steget genom att kasta ACK-paketet eller att inte besvara det. Detta medför att användaren tar upp en utav de få platser som finns i TCP-tjänstens kö. Skickar användaren då tillräckligt antal många handskakningar blockerar denna till slut andra användare från att använda tjänsten, då kön för förfrågningar till slut blir full.

Teardrop-attack

Angriparen skickar paket som är felaktiga och för stora till den angripna datorn. Ansträngningen som sker när mottagarens dator försöker pussla ihop bitarna gör att den kraschar.

Multivektor-attacker

Sådana attacker utnyttjar flera olika vägar in i systemet. En multivektor-attack kan vara mycket komplex och svår att hantera för den attackerade.

Tecken på DDoS-attack

Eftersom varje enskild zombie i ett botnet egentligen är en legitim internetanslutning, kan det ibland vara svårt att skilja attacktrafiken från normal internettrafik, men några tecken brukar man kunna skönja.

  •  Misstänkt mycket trafik från enskilda eller områden av IP-adresser.

  • Trafikflod från användare med likartade profiler.

  • Oförklarligt hög ökning av förfrågningar till en enskild sida.

  • Udda trafikmönster vid udda tider på dygnet.

  • Det finns trafikanalytiska hjälpmedel som kan spåra vissa misstänksamheter.

Hur kan man skydda sig?

Det är svårt att skydda sig mot DDoS-attacker, men man kan göra vissa förebyggande åtgärder:

  • Organisationens internetleverantör är den första länken till internet och de kanske kan erbjuda ett visst skydd, till exempel begränsa åtkomsten till kritiska system från IP-adresser i regioner som man inte är intresserade av att ha kontakt med.

  • Se till att kritiska system har en bandbredd i internetuppkopplingen som med god marginal överskrider normal belastning.

  • Göra en plan för hur man ska agera i händelse av en DDoS-attack, med tydlig ansvarsfördelning och färdiga kontaktvägar.

  • Effektiva brandväggsloggar kan ge information som kan begränsa effekten av attacker.

  • Kontakta professionella säkerhetsexperter. Det finns företag som erbjuder tjänster som kan ge ett visst skydd mot DDoS-attacker.

Blackhole routing eller null routing

Om man råkar ut för en DDoS-attack kan man styra om trafiken till en så kallad null route som leder till ingenstans, det vill säga ett svart hål i cyberrymden. Problemet är att det är svårt att skilja skadlig trafik från legitim trafik, så om man gör detta utan att implementera restriktionskriterier stoppar man all trafik till sitt system och förlorar även sådant man skulle vilja ha kvar. Men detta kan vara en nödlösning för att avbryta riktigt stora angrepp.

Har du behov av hjälp med IT- eller informationssäkerhet? Läs mer om våra tjänster!