Introduktion
DDoS-attacker (Distributed Denial of Service) blir allt vanligare. Med ökande geopolitiska spänningar, såsom aktiviteter från nationalstater och hacktivism som svar på pågående krig, inklusive krigen mellan Ryssland och Ukraina och mellan Israel och Hamas, samt kommande högprofilerade evenemang och val i Europa och USA, kommer risken för DDoS-attacker att öka ytterligare.
På Excedo Networks har vi noga följt och övervakat den ökande risken för DDoS-attacker för att förbättra prestandan i våra system baserat på de senaste attackvektorerna och mönstren för att säkerställa att företag och organisationer i Europa kan skydda sig på rätt sätt i detta föränderliga landskap. Det första steget innan man investerar i skyddsteknik är dock att förstå DDoS-attacker och hur de fungerar.
Låt oss titta närmare på vad en DDoS-attack är, hur den kan se ut och vad du behöver göra för att förhindra att bli attackerad..
Vad är en DDoS attack?
En DDoS-attack är ett försök som görs direkt av en person eller genom mänskligt skapade botnät - nätverk av internetanslutna enheter som smartphones, datorer, routrar och servrar som är infekterade med skadlig kod - att neka användare åtkomst till onlinetjänster genom att överbelasta webbplatser, servrar, API:er eller nätverksresurser med skadlig trafik.
Målet med en DDoS-attack är att översvämma målsystemet med så mycket trafik och så många förfrågningar att det kraschar eller inte kan fungera, vilket gör att legitima användare inte får tillgång till tjänsten och att legitim trafik inte når den avsedda destinationen.
Nedan följer några exempel på hur DDoS-attacker kan se ut.
Typer av DDoS attacker
Det finns fyra huvudtyper av DDoS-attacker. De flesta hackare håller sig inte till en enda typ, utan försöker överväldiga och attackera så många system som möjligt genom att kombinera de olika typerna i så kallade multi-vektor DDoS-attacker.
Nedan kan du läsa om varje typ av DDoS-attack mer i detalj:
Volymetriska DDoS-attacker
Volymetriska DDoS-attacker är den absolut vanligaste typen av DDoS-attack och fungerar genom att överväldiga ett mål med en flod av trafik från flera källor. Detta förbrukar så småningom målets tillgängliga bandbredd, vilket gör att det saktar ner eller kraschar.
I den här typen av attack kan hackare till exempel distribuera skadlig kod till så många maskiner som möjligt som körs på intet ont anande användares datorer och använda koden för att ta kontroll över dessa maskiner och länka dem tillbaka till den centrala värd som samordnar attacken. Hackare kan sedan använda den kontroll som erhållits för att styra de ”kapade maskinerna” att skicka ut massor av förfrågningar (som oönskade pingar eller spam) för att överväldiga målservern och få den att stängas av.
Volumetriska attacker kan också använda sig av botnät som består av IoT-enheter. Dessa enheter saknar vanligtvis grundläggande säkerhet, men kan ”kapas” genom sin anslutning till Internet för att skicka förfrågningar till målservrar.
DDoS-attacker på applikationsnivå
DDoS-attacker i applikationslager riktar in sig på sårbarheter i webbapplikationer, särskilt de kommunikationsprotokoll som används för att utbyta data mellan två applikationer över internet. Ofta består applikationslagerattacker av till synes oskyldiga förfrågningar som en legitim användare skulle kunna göra (t.ex. http-förfrågningar för att ladda en webbplats) som med tillräcklig volym kan överbelasta en applikations CPU och minne, vilket gör systemet långsammare eller får det att krascha.
Protokollbaserade DDoS-attacker
Protokollbaserade DDoS-attacker riktar in sig på svagheter och sårbarheter i kommunikationsprotokoll på internet. Dessa attacker försöker förbruka och uttömma beräkningskapaciteten hos olika nätverksinfrastrukturresurser som servrar eller brandväggar genom att skicka skadliga anslutningsförfrågningar som utnyttjar TCP-protokoll (Transmission Control Protocol) eller ICMP-protokoll (Internet Control Message Protocol).
I den här typen av attack kan hackare t.ex. använda flera datorer för att skicka många ICMP-”ping”-paket till ett mål så snabbt som möjligt för att överbelasta internetanslutningen, servrar, lastbalanserare eller brandväggar. Om någon av dessa komponenter slås ut ”kvävs” nätverket och behöriga användare nekas åtkomst till det.
DDoS-attacker med DNS-förstärkning/reflektion
DNS-förstärkningsattacker är en specifik typ av volymetrisk attack som riktar sig mot Domain Name System (DNS) genom att förfalska ett måls IP-adress för att skicka förfrågningar till öppna DNS-servrar. DNS-servrarna svarar tillbaka till den förfalskade IP-adressen och skapar därmed en attack mot det avsedda målet genom en flod av DNS-svar. Det är därför den här typen av attack också kallas för en reflektionsattack. Den stora volymen DNS-svar överbelastar måltjänsterna, gör dem otillgängliga och hindrar legitim trafik från att nå de avsedda tjänsterna. Det är därför viktigt att DNS-leverantörer har grundläggande säkerhets- och trafikövervakningsfunktioner för att undvika detta.
Förhindrande av DDoS-attacker
DDoS-attacker utnyttjar sårbarheter i de olika lager som datornätverk består av, från struktur- till kommunikationsnivå. Detta innebär att skyddet mot DDoS måste vara holistiskt och ta hänsyn till alla potentiella attackvektorer och attackkombinationer. Det viktigaste är att anti-DDoS-lösningen kan övervaka, upptäcka och blockera skadlig trafik, samtidigt som den legitima trafiken kan passera och säkerställa kontinuitet i tjänsterna. Detta kräver enorm kapacitet.
För att uppnå den kapacitetsnivå som krävs är det viktigt att bygga ett så stort nätverk som möjligt, med effektiva komponenter i routrarna mot Internet för begränsning av Layer 3 och 4, och ett lager av djup paketinspektion/caching/scrubbing i nätverkets kärna för mer avancerad begränsning av Layer 4 till 7.
Slutligen är det också viktigt att ha tillräcklig serverkapacitet och att de är inställda för bästa prestanda vid höga belastningar.
Slutsats
Antalet DDoS-attacker kommer att fortsätta öka och attackkombinationerna blir allt mer avancerade och svåra att upptäcka. I det här landskapet är det viktigt att investera i ett så robust försvar som möjligt, särskilt om din organisation tillhandahåller viktiga tjänster. Utan ett ordentligt försvar är det inte en fråga om du kommer att bli attackerad, utan när.
Vet du om din organisation är ordentligt skyddad från DDoS-attacker?
Kontakta oss för att boka en kostnadsfri rådgivning och genomgång av era system.
