In English
ddos attack överbelastningsattack

Artikel

Vad är en överbelastnings-attack (ddos-attack)?

DDoS-attack står för distributed-denial-of-service och är ett stort angrepp riktat mot ett nätverk, en webbplats, ett datorsystem eller en webbtjänst. I Sverige brukar man kalla det för en överbelastningsattack. Den här artikeln har för avsikt att ge en bild av vad det är och vilka typer av attacker som existerar. 

Vad innebär en överbelastnings-attack (ddos-attack)?

För den drabbade kan en överbelastningsattack innebära att all server- eller förbindelsekapacitet kraschar. Den här typen av attacker slår givetvis hårt mot drabbade företag, banker och nätbutiker. Paypal, Amazon, Visa, Arbetsförmedlingen, Telia och CNN är några exempel på företag och myndigheter som drabbats av en överbelastningsattack. Senast i raden är de svenska bankerna som har drabbats hårt av den här typen av attacker.

En DDoS-attack är inget nytt fenomen utan är en attacktyp som har använts under närmare 20 år. Tyvärr ökar dock antalet sabotage och idag riskerar även mindre webbplatser att angripas av den här typen attacker. Ofta delar webbplatsägare webbhotell med andra och när någon attackeras får det ofta till följd av de andra siterna på servern också går ned.

En stor orsak till att attackerna ökar är att det har blivit otroligt mycket enklare att utföra en. Idag behöver man inte ha någon specialistkompetens alls, utan man kan helt enkelt köpa in tjänsten via olika webbplatser på nätet. Är du beredd att betala lite kan du köpa in en enklare attack som pågår under kortare tid, men är du beredd att betala mer kan du köpa in en mer avancerad attack som pågår under en längre period.

Vid många tillfällen är det svårt att skydda sig mot ett angrepp eftersom brandväggar och försvarssystem ofta tolkar DDoS-attacker som normal trafik. Orsaken till det är att en attack består av flera ihopkopplade datorer eller smarta enheter, oftast vanliga användares som har kapats av kriminella.

Kapade datorer utnyttjar sårbarhet i systemet

Det första steget i en DDoS-attack är att angriparen kapar ett större antal uppkopplade enheter och skapar ett botnet. I vissa fall kan flera miljoner enheter kapas. Användaren är i regel helt ovetande om vad som har skett och att dennes enhet används för att sänka en server eller en webbsida. Personerna kan ha program som ligger vilande under en längre tid i deras datorer innan de aktiveras för att initiera attacken.

Efter att ha skapat ett botnet kan angriparen skapa ett stort antal anrop till ett datasystem. Angreppet kan riktas mot en dator, en port, ett program, ett helt nätverk eller riktas mot resurser som bandbredd, diskutrymme eller processortid. Därutöver kan skadlig kod rikas mot processorn och vid attacken kan sårbarheter i operativsystemet också utnyttjas.

Anropen sker exakt samtidigt med följden att objekt som attackeras kollapsar eller låser sig. Den stora mängden trafik kan även göra att systemet kraschar och vilket hindrar legitima besökare från att nå fram till webbplatsen eller tjänsten. Dessutom kan dessa anrop ändra på systemets uppfattning om både nätet och användarna vilket gör att systemet helt enkelt slutar att fungera som det ska. När detta sker kan användarna inte nå webbplatsen utan nås av felmeddelandet ”denial of service”, därav attackens namn.

Det finns flera olika typer av DDoS-attacker

Det finns en rad olika typer av DDoS-attacker, totalt brukar man räkna med att det finns cirka 25 olika attacktyper. Två populära attacktyper är flödesattacker och amplifikationsattacker vilket är är två bandbreddsförbrukande tekniker.

En flödesattack är allra vanligast. Här används ett stort antal datorer för att angripa systemet med IP-trafik. I den här typen av attack kan ICMP (Internet Control Message Protocol) och UDP (Datagram Protocol) användas.

Vid en amplifikationsattack används olika typer av agenter för att sända meddelanden som skickas till alla de system som ingår i ett subnät. När routerna mottar paketen så kopierar de alla meddelanden och skickar dem vidare till det angripna systemet.

Andra typer av attacker är protokollutnyttjande attacker och ”missbildade paket”-attacker som är två resursförbrukande attacker.

Vid protokollutnyttjande attacker används olika sorters protokoll för att skapa situationer som datasystemet inte kan hantera och behandla. Exempelvis kan TCP SYN (Transfer Control Protocol Synchroniser) och URG (urgent pointer)-protokollen angripas med resultatet att systemet inte kan hantera alla TCP-URG meddelanden.

Vid ”missbildade paket”-attacker skickar agenter felformade IP-paket vilket förirrar datasystemet eller webbsidan och får den att krascha.

Några andra former av attacker är syn-attacker och teardrop-attacker.

En syn-attack innebär att ett mycket stort antal förfrågningar skickas till en webbplats. Genom att inte besvara meddelandet som skickas till användaren kan mycket kapacitet stjälas.

En teardrop-attack är en annan teknik som innebär att man attackerar systemet och relationen mellan paketen i webbtrafiken. Det är även vanligt att man försöka attackera webbplatsernas buffertar med data och på så sätt försöka få dem att svämma över.

En kombination av attacker brukar kallas för en multi-vektorattacker vilka i regel orsakar större skada. Andra attacker kan vara direkta attacker mot krypterade SSL-anslutningar, attacker mot specifika konstruktionsfel, liksom angrepp som sker med VoIP-automatiseringsskript.

Hantera en DDoS-attack

För den drabbade finns det olika sätt att försöka stoppa DDoS-attacken. Ofta används IDMS-teknik (Intelligent DDoS Mitigation System) och AMS-metoder (Attack Mitigation System) för att hantera överbelastningsattackerna, vars uppgifter är att undersöka nätverkstrafiken. Analysen sker på lager-nivå. Ett välfungerande IDMS-/ADM-system övervakar nätverkstrafiken på en rad olika punkter och ger en överblick av nätverkets säkerhetstillstånd.

Vid ett mindre angrepp kan det räcka med att spärra de aktuella IP-numren där anropen kommer ifrån. Om det rör sig om ett större angrepp krävs dock mer resurser. Vid större attacker kan IP-numren vara förfalskade och då gäller det istället att försöka identifiera och finna mönster i angreppssättet och filtrera bort de skadliga paketen. Information som är viktig att samla in är till exempel loggar från routrar, internetleverantörer, brandväggar, IDS/IPS, webbservrar, e-post och DNS. För att analysera nätverksloggar kan program som Wireshark, Argus och Nfdump användas. Om det inte fungerar måste man nullrouta vilket betyder att alla anrop routas om och skickas vidare.

Hur kan man skydda sig mot DDoS-attacker

Att skydda sig mot DoS och DDoS-attacker är komplext eftersom det finns flera olika typer av attacker, och då finns det självklart flera olika sätt att skydda sig mot dessa. Men först och främst bör man ta fram en plan för hur man ska hantera den här typen av incidenter. Med ett väl segmenterat nätverk, brandväggar, och med specifika tjänster inom området kan man uppnå ett bra skydd.

Oroar man sig för att drabbas av DDoS-attacker finns det en flera delar man bör titta lite närmare på. Däribland, IDS/IPS, lastbalanserare, applikationskontroll, protokollvalidering, och rate limiting.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.