Der er adskillige cybertrusler, som internetbrugere og netværksadministratorer skal være på vagt over for, men for organisationer, hvis tjenester i vid udstrækning fungerer online, er et af de vigtigste angreb at være opmærksom på på grund af deres stigende udbredelse - Distributed Denial of Service (DDoS) angreb. Men hvad er et denial-of-service-angreb, hvordan fungerer de, og er der måder at forhindre dem på?
Distribueret Denial of Service: En definition
Hvad er et DDoS-angreb? Denne type angreb udnytter de specifikke kapacitetsgrænser, der gælder for alle netværksressourcer – såsom infrastrukturen, der muliggør en virksomheds websted. DDoS-angrebet sender adskillige anmodninger til den angrebne webressource – med det formål at overskride webstedets kapacitet til at håndtere flere anmodninger… og forhindre webstedet i at fungere korrekt. Typiske mål for DDoS-angreb omfatter e-handelswebsteder og enhver organisation, der tilbyder onlinetjenester.
Hvordan virker det?
En væsentlig del af forståelsen af DDoS-angreb er at lære, hvordan disse angreb fungerer. Netværksressourcer – såsom webservere – har en endelig grænse for det antal anmodninger, de kan håndtere samtidig. Ud over serverens kapacitetsgrænse har den kanal, der forbinder serveren til internettet, også en begrænset båndbredde/kapacitet. Når antallet af anmodninger overstiger kapacitetsgrænsen for alle komponenter i infrastrukturen, påvirkes serviceniveauet på en af følgende måder:
Normalt er angriberens mål i ethvert DDoS-angrebseksempel at overvælde webressourcens server, forhindre normal funktion og resultere i en total lammelsesangreb. Hackeren kan også anmode om betaling for at standse angrebet. I nogle tilfælde kan et DDoS-angreb tilmed være et forsøg på at miskreditere eller skade en konkurrents virksomhed.
For at udføre angrebet griber angriberen kontrollen over et netværk eller en enhed ved at inficere den med malware og skabe et botnet . De starter derefter angrebet ved at sende specifikke instruktioner til bots. Til gengæld begynder botnettet at udstede anmodninger til målserveren gennem dens IP-adresse , overvældende den og forårsager denial-of-service til dens almindelige trafik.
Eksempler på DDoS-angreb: Hvad er de forskellige typer angreb?
At lære DDoS-betydningen og hvordan disse angreb virker er et skridt i at forhindre dem, men det er også afgørende at forstå, at der er forskellige typer af DDoS-angreb. Dette afhænger af først at skitsere, hvordan netværksforbindelser dannes.
Open Systems Interconnection (OSI)-modellen, udviklet af International Organization for Standardization, definerer syv forskellige lag, der udgør internetnetværksforbindelser. Disse omfatter det fysiske lag, datalinklag, netværkslag, transportlag, sessionslag, præsentationslag og applikationslag.
De mange eksempler på DDoS-angreb adskiller sig efter, hvilket forbindelseslag de målretter mod. Nedenfor er nogle af de mest almindelige eksempler.
- Angreb på applikations-lag
Nogle gange kaldet et lag 7-angreb (fordi det retter sig mod det 7. (applikations-) lag i OSI-modellen), udtømmer disse angreb målserverens ressourcer ved hjælp af DDoS-websteder. Det 7. lag er, hvor en server genererer websider som svar på en HTTP-anmodning. Angribere udfører adskillige HTTP-anmodninger og overvælder målserveren, mens den reagerer ved at indlæse de mange filer og køre de databaseforespørgsler, der kræves for at oprette en webside.
HTTP oversvømmelse
Tænk på disse DDoS-angreb som at opdatere en webbrowser adskillige gange på mange computere. Dette skaber en "flod" af HTTP-anmodninger, hvilket tvinger et lammelsesangreb. Implementeringen af disse angreb kan være enkel – ved at bruge én URL med et snævert interval af IP-adresser – eller komplekst ved at bruge en række IP-adresser og tilfældige URL'er.
Protokolangreb
Disse DDoS-angreb, ofte kaldet state-exhaustion-angreb, udnytter sårbarheder i 3. og 4. lag af OSI-modellen (netværks- og transportlagene). Disse angreb skaber en lammelsesangreb ved at overvælde serverressourcer eller netværksudstyrsressourcer, såsom firewalls . Der er flere typer protokolangreb, herunder SYN-oversvømmelser. Disse udnytter TCP-håndtrykket (Transmission Control Protocol), som giver to mulighed for at etablere en netværksforbindelse og sender et uoverskueligt antal TCP "Initial Connection Requests" fra falske IP-adresser.
- Volumetriske angreb
Disse eksempler på DDoS-angreb skaber en denial-of-service ved at bruge al den tilgængelige båndbredde på en målserver ved at sende enorme mængder data for at skabe en stigning i trafikken på serveren.
DNS-forstærkning
Dette er et refleksionsbaseret angreb, hvor en anmodning sendes til en DNS-server fra en forfalsket IP-adresse (målserverens), hvilket beder DNS-serveren om at "kalde" målet tilbage for at bekræfte anmodningen. Denne handling forstærkes ved at bruge et botnet, der hurtigt overvælder målserverens ressourcer.
Identifikation af et DDoS-angreb
DDoS-angreb kan være vanskelige at identificere, fordi de kan efterligne konventionelle serviceproblemer og bliver mere og mere sofistikerede. Der er dog visse tegn, der kan tyde på, at et system eller netværk er blevet offer for et DDoS-angreb. Det omfatter bl.a.:
- En pludselig stigning i trafik, der stammer fra en ukendt IP-adresse
- En strøm af trafik fra adskillige brugere, der deler specifikke ligheder, såsom geolocation eller webbrowserversion
- En uforklarlig stigning i anmodninger om en enkelt side
- Usædvanlige trafikmønstre
- Langsom netværksydelse
- En tjeneste eller et websted, der pludselig går offline uden grund
Forebyggelse og afbødning af DDoS-angreb
Selvom DDoS-angreb kan være udfordrende at opdage, er det muligt at implementere flere foranstaltninger for at forsøge at forhindre disse typer af cyberangreb og afbøde enhver skade i tilfælde af et angreb. For brugere, der spekulerer på, hvordan man forhindrer DDoS-angreb, er nøglen at lave en handlingsplan til sikring af systemer og afbødende skade i tilfælde af et angreb. Generelt er det fordelagtigt at implementere en løsning som Kaspersky DDoS-beskyttelse for virksomheder, som løbende analyserer og omdirigerer ondsindet trafik. Derudover kan følgende generelle råd hjælpe med at forbedre dit forsvar yderligere:
- Vurder den nuværende systemopsætning - inklusive software, enheder, servere og netværk - for at identificere sikkerhedsrisici og potentielle trusler, og implementer derefter foranstaltninger til at reducere disse; foretage regelmæssige risikovurderinger.
- Hold al software og teknologi opdateret for at sikre, at de kører de nyeste sikkerhedsrettelser.
- Udvikle en levedygtig strategi til forebyggelse, påvisning og afbødning af DDoS-angreb.
- Sørg for, at alle involveret i angrebsforebyggelsesplanen forstår DDoS-angrebets betydning og deres tildelte roller.
I tilfælde af et angreb kan disse handlinger give en vis afbødning:
- Anycast-netværk: Brug af et Anycast-netværk til at omfordele trafikken kan hjælpe med at opretholde serverbrugbarheden, mens problemet løses, hvilket sikrer, at serveren ikke behøver at blive lukket helt ned.
- Sort hul-routing: I dette scenarie omdirigerer en netværksadministrator for internetudbyderen al trafik fra målserveren til en sort hul-rute (målrettet IP-adresse), dropper den fra netværket og bevarer dens integritet. Dette kan dog være et ekstremt skridt at tage, da det også blokerer for lovlig trafik.
- Satsbegrænsning: Dette begrænser, hvor mange anmodninger en server kan acceptere til enhver tid. Selvom det ikke vil være særlig effektivt alene, kan det være nyttigt som en del af en større strategi.
- Firewalls: Organisationer kan bruge Web Application Firewalls (WAF) til at fungere som en omvendt proxy for at beskytte deres servere. WAF'er kan indstilles med regler til at filtrere trafik, og administratorer kan ændre dette i realtid, hvis de har mistanke om et DDoS-angreb.
Relaterede artikler og links:
- Hvad er en trojansk hestevirus? typer og hvordan man fjerner det
- Sådan forhindrer du DDoS-angreb i at ødelægge din næste spilsession
Relaterede produkter og tjenester:
