Kort om DDoS.
DDoS-angreb står for Distributed Denial of Service og er et udtryk for et angreb, der angriber dine webservere med det bevidste formål at lægge din hjemmeside eller webservice ned.
Botnet bruges ofte i DDoS-angreb, hvor ordet stammer fra en sammensætning af “robot” og “netværk”. Et botnet består således af et netværk af computere, der mere eller mindre frivilligt bliver hevet med i et DDoS-angreb med henblik på at bombe en virksomheds webservere med så mange forespørgsler, at webserveren går ned, og hjemmesiden ikke er tilgængelig.
Zombie er betegnelsen for en computer, der er blevet overtaget af en hacker med det formål at stille sine computerkræfter til rådighed i eksempelvis et botnet eller til at sende massive mængder af spammails ud til folks postkasser. Betegnelsen Zombie bruges, fordi computerejeren i mange tilfælde slet ikke er klar over, at vedkommendes egen computer bliver brugt til slemme ting ude på nettet.
En mere detaljeret oversigt over angrebstyperne, der rammer TDS’s netværk. Kilde: TDC
Internetudbyderen TDC har samlet en rapport om DDoS-trusselsbilledet baseret på informationer om de angreb, som er set i TDC’s net i 2014.
Angrebene er rettet mod de nordiske kunder, der overvåges af firmaets DDoS-tjeneste.
Indholdet er baseret på mere end 100 DDoS-angreb i løbet af 2014, som firmaet har kæmpet imod.
Analysen bygger dermed på data fra den virkelige verden og ikke testlaboratorier.
Lille stigning
Samlet set er der kun sket en lille stigning i antallet af DDoS-angreb, og varigheden af oversvømmelsesangrebene er ligeledes nogenlunde stabil i forhold til 2013.
Men i 2014 er der omvendt sket en markant stigning i størrelsen på de DDoS-angreb, som har været rettet mod TDC’s kunder.
Den gennemsnitlige angrebsstørrelse steg fra 600 Mbit/s i 2013 til 3,3 Gbit/s i 2014, kan man læse ud af tallene.
De angreb der rettes mod danske og nordiske virksomheder kan som udgangspunkt placeres i en af følgende to hovedkategorier:
1) Et oversvømmelsesangreb, hvor det er kundens båndbreddekapacitet, der angribes.
2) Et connection-angreb, hvor det er connection-tabellen i eksempelvis en firewall eller en webserver, som angribes.
I grafikken til højre kan du se en mere detaljeret opdeling af angrebstyperne.
Mere end botnet
Der er sket ændringer i måden, som angrebene udføres på.
Tidligere har angrebene været udsendt via botnet baseret på personlige computere, der er inficeret med malware, og derved kan fjernbetjenes af ondsindede personer.
I løbet af 2014 er det dog blevet mere almindeligt, at også servere inkluderes i disse botnet.
Fordelen for angriberne er, at da serverne typisk altid er online og i mange tilfælde er placeret på højhastighedsforbindelser, hvilket er effektive redskaber i et DDoS-angreb.
Ligeledes begynder kunderoutere og andet kundeplaceret netværksudstyr at optræde i botnets.
Denne form for udstyr er forholdsvis nemt at inficere, da det ofte anvender usikre konfigurationer, forældet og sårbar firmware, og da det generelt sjældent bliver administreret og vedligeholdt af ejeren.
Ligeledes er smartphones begyndt at optræde som bots.
Læs også: Sådan går det, når hackerne selv bliver hacket
Varigheden af DDoS-angreb ser således ud i 2014 og 2013. Kilde: TDC.
Så mange megabyte blev danske virksmheder oversvømmet med. Kilde: TDC.
De fire mest almindelige DDoS-typer i 2014
Her er de fire mest anvendte angrebsmetoder i forbindelse med DDoS-angreb i TDC’s netværk:
TCP SYN flood
Den mest almindelige måde at udføre et overbelastningsangreb er ved at udnytte “three-way handshake” (SYN, SYN-ACK, ACK pakkesekvensen) processen, når en net-forbindelse skal oprettes.
Angriberen sender en SYN-pakke, som offeret svarer på med en SYN-ACK pakke. Herefter forventer offeret en ACK-pakke, som dog aldrig kommer.
Efter en tid timer henvendelsen ud, men indtil da, er ressourcer hos offeret optaget og kan ikke modtage andre (reelle) opkald. Hvis der modtages mange samtidige henvendelser af denne type vil der ikke være adgang for legitime henvendelser.
Denne form for DDoS-angreb er den mest almindelige på grund af sin enkelthed.
ICMP flood
Et ICMP flood-angreb er et oversvømmelsesangreb, hvor typisk et botnet sender så mange ICMP Echo Request (ping) pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem.
Et ICMP flood-angreb kan også overbelaste serveren, der modtager ICMP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne.
UDP flood
Et UDP flood-angreb er et oversvømmelsesangreb, hvor typisk et botnet sender så mange UDP-pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem.
Et UDP flood-angreb kan også overbelaste serveren, der modtager UDP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne.
Amplification-angreb
Ved et reflection amplification-angreb, der ofte henvises til som amplification-angreb eller forstærkede angreb, sender et botnet angrebstrafik via åbne porte på nettet for at få forstærket sit angreb.
Typisk anvendes åbne servere, der understøtter følgende UDP-baserede protokoller som DNS, NTP eller SNMP.
Et DNS amplification-angreb fungerer eksempelvis på den måde, at et større antal bot-maskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender ip-adresse op mod åbne DNS-servere. DNS-serverne vil, som DNS-servere altid gør, sende svaret på forespørgslerne tilbage til afsenderadressen.
Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNS-svar til denne server.
Kilde: TDC.
En anden tendens er, at mange angreb er de såkaldte amplification-angreb (eller forstærkede angreb), der er væsentligt kraftigere ende traditionelle angreb også kaldet for connection-angreb.
I 2014 var 70 procent af alle hændelser amplification-angreb – mod 40 procent i 2013, hvilket gør det til den hyppigst anvendte angrebstype i dag.
Ved et amplification-angreb sender den ondsindede person angrebstrafikken via åbne servere på nettet for at få forstærket sit angreb.
Typisk anvendes åbne servere, der understøtter UDP-baserede protokoller som DNS eller NTP.
Denne type angreb fungerer eksempelvis på den måde, at et større antal botmaskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender IP-adresse op mod åbne DNS-servere, der vil sende svaret på forespørgslerne tilbage til afsenderadressen.
Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNS-svar til denne server.
Ved brug af amplification-angreb opnår angriberen en anden fordel, nemlig at vedkommende kan skjule sin identitet gennem to lag; botnet-computere og servere.
På den måde er de svære at spore.
Internetudbydernes egen skyld
Problemet skyldes langt hen ad vejene internetudbyderne selv.
Hvis de som standard afviste udgående trafik med forfalsket afsenderadresse, så ville det lægge en betydelig dæmper på denne angrebsform.
Ligeledes er der en voldsom stor mængde servere på nettet, der er dårligt konfigurerede og dårligt opdaterede, og derved potentielt kan misbruges.
Ifølge Shadowserver Foundation, der skanner nettet får åbne enheder – der altså kan misbruges til denne type DDoS-angreb – var der i februar 2015 mere end 11 millioner dårligt konfigurerede DNS-servere.
Store datamængder er billige
I 2014 voksede den datamængde, der angribes med, også markant.
Angiveligt skyldes væksten, at det bliver billigere og billigere at købe DDoS-trafik fra lyssky sider på nettet.
Den gennemsnitlige angrebstid for et DDoS-angreb er på 41 minutter i 2014, hvilket er en lille stigning i forhold til året før, hvor de var på 45 minutter.
Det længste angreb, som TDC har registreret, var på fem en halv time.
Sådan undgår du DDoS mod din virksomhed
Der er dog en hel stribe muligheder for at beskytte sin virksomhed mod de irriterende angreb.
For det første ødelægger et DDoS-angeb ikke din webside, men lægger den ned. Det er selvfølgelig kritisk i nogle tilfælde, men mange kan nok godt klare en lille ‘nedtur’.
Der er dog stadig en masse tiltag, du med fordel kan overveje og udføre, inden det kommer så vidt, og som kan redde dig igennem mange frustrationer ved at undgå at få lagt hjemmesiden ned.
Det har sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group tidligere fortalt til Computerworld.
“Først og fremmest skal man have lavet en behovsafklaring: hvor vigtig er hjemmesiden for forretningen? Er man villig til at investere penge for at beskytte den?” lyder det fra Peter Kruse.
Dernæst skal din virksomhed have stresstestet webservere og andre servere for at se, hvor meget dine webservices egentlig kan klare.
Efter behovsafklaring og stresstest kan du derefter begynde på det egentlige arbejde med at modstå eventuelle DDoS-angreb.
Hvordan du griber opgaven an helt praktisk kan du læse meget mere om her: Danmark under angreb: Sådan kvæler du et DDoS-angreb
Læs også:
Dansk teenager fanget efter DDoS-angreb mod KL
Sådan håndterer TDC et DDoS-angreb
Annonce:
Leave a Reply