DDoS-attack: Forebyg og beskyt

Hvad indebærer et DDoS-angreb - og hvordan kan man beskytte sig?

Et DDoS-angreb (Distributed Denial of Service-angreb) er, kort fortalt, et forsøg på at forstyrre normal trafik til en webserver, et netværk eller et andet IT-system. I denne artikel ser vi på, hvordan angrebene fungerer, og hvordan du kan beskytte dig mod dem.

Hvordan fungerer DDoS-angreb?

Et DDoS-angreb sker, når en række netværksforbundne enheder bruges til at angribe et netværk, en server, en hjemmeside eller et system. Angrebet udføres ikke af en enkelt computer, men af mange enheder, der er inficeret med malware og kontrolleres eksternt. Disse enheder bliver til såkaldte bots og danner et botnet, som angriberen styrer.

Angriberen kan instruere botnettet til at sende enorme mængder trafik til offerets IP-adresse. Denne trafik overbelaster hurtigt serveren eller netværket, hvilket gør det utilgængeligt for andre brugere. Fordi trafikken kommer fra mange forskellige enheder og ikke bare én, kan det være svært at opdage og stoppe angrebet.

DDoS-angreb kan ikke annuleres, og derfor bruges de sjældent til afpresning. Angrebene udføres typisk for at skade en virksomhed, lamme dens drift eller skabe kaos. Nogle hackere udfører også DDoS-angreb for at demonstrere deres evner over for konkurrenter.

Selvom der findes bedre beskyttelsesteknologier i dag, bliver DDoS-angreb stadig mere almindelige. BBC blev angrebet i 2015, GitHub i 2018, og selv Amazon Web Services (AWS) blev ramt i februar 2020. Det er vigtigt at forstå, at DDoS-angreb ikke kun rammer store virksomheder – enhver virksomhed, uanset størrelse, kan blive mål. På daglig basis er der flere 100.000 forsøg på DDoS angreb, men heldigvis er kun et fåtal successfulde.

Forklaring af metoderne bag DDoS-angreb

Nye DDoS-angreb opstår ofte, og der findes omkring tredive populære metoder til at udføre dem på ethvert givet tidspunkt. Alligevel er nogle angrebstyper mere almindelige end andre. De fleste DDoS-angreb i dag kan opdeles i tre hovedkategorier, selvom det ikke er usædvanligt at se flere typer angreb kombineret. De tre vigtigste kategorier, du bør kende, er:

Applikationslagsangreb

Disse angreb retter sig mod selve applikationen, ofte en hjemmeside. Alternativt kan de målrette systemer som Windows, OpenBSD og Apache. De mest almindelige mål for denne type angreb er webservere.

Et af de mest relevante og nyere applikationslagsangreb er slowloris. Det holder delvise HTTP-forespørgsler åbne som forbindelser i lang tid, hvilket sænker målserverens hastighed og kan lamme netværket.

Protokolangreb

Denne type angreb udmatter en servers ressourcer. Ved at udnytte svagheder i kommunikationsprotokoller på internettet tvinger angrebet systemet til at overforbruge sine ressourcer, som eksempelvis firewalls.

Et almindeligt eksempel er et SYN flood-angreb. Her udnytter angriberen TCP-handshaket ved at sende mange TCP SYN-pakker (startforespørgsler) med falske IP-adresser. Målmaskinen svarer på hver forespørgsel og venter på et “handshake”, der aldrig sker. Dette resulterer i, at serverens ressourcer bliver opbrugt, da den håndterer de mange SYN-pakker.

Volumetriske angreb

Volumetriske angreb sender enorme mængder trafik (forespørgselspakker) til et netværk for at overbelaste dets båndbredde. Disse angreb, der skaber trængsel på netværket, er blandt de ældste og mest velkendte DDoS-angreb.

Et HTTP flood-angreb er et typisk eksempel, hvor store mængder trafik (svarende til tusindvis af brugere, der trykker på opdater-knappen samtidig) lammer tjenesten og udelukker brugere fra at få adgang. Andre volumetriske angreb inkluderer ICMP-ping-angreb, UDP floods (hvor angriberen sender mange datapakker for at overvælde systemet) og NTP-amplifikationsangreb, hvor angriberen overbelaster målet ved at misbruge Network Time Protocol (NTP) med overdreven UDP-trafik.

Hvad med zero-day-angreb?

Det er også værd at nævne zero-day-angreb, som ikke falder ind under de tre hovedkategorier. Disse angreb er ofte nye, ukendte eller futuristiske metoder, hvor der endnu ikke findes en løsning eller sikkerhedsopdatering. Zero-day-angreb er frygtede, fordi de er svære at opdage og næsten umulige at forebygge.

Almindelige forsvar mod DDoS-angreb

Tidligere var DDoS-angreb primært rettet mod store virksomheder og organisationer. Men i dag gør færdiglavede DDoS-værktøjer det muligt for selv uerfarne hackere at angribe mindre virksomheder, der ofte har færre sikkerhedsforanstaltninger. DDoS-angreb er desuden lette at udføre, fordi deres natur gør det muligt at omgå firewalls og antivirussoftware.

Den mest effektive måde at stoppe DDoS-angreb på er at tage forebyggende foranstaltninger i god tid, så jeres systemer og servere bliver mindre sårbare over for eksterne angreb. Nøglen er at implementere metoder, der kan opdage et angreb i dets tidlige stadier og neutralisere det, før det gør skade.

Teknologier til forsvar
Banker, regeringer og store institutioner bruger ofte værktøjer som IDMS (Intelligent DDoS Mitigation System) og AMS (Attack Mitigation System) til at overvåge og beskytte deres systemer. Når disse værktøjer kombineres med traditionelle IT-sikkerhedsforanstaltninger, kan de gøre en betydelig forskel i at modstå angreb.

Sådan beskytter i jeres virksomhed mod DDoS-angreb

Håndtering af små og store angreb

Små DDoS-angreb kan i teorien stoppes ved at blokere IP-adresser, der sender store mængder trafik til dit netværk. Dette er dog ikke muligt ved større angreb, hvor trafikmængden er overvældende. Derfor er det nødvendigt at tage forebyggende foranstaltninger.

Udvikling af en DoS-responsplan

Det første skridt er at udvikle en DoS (Denial of Service) responsplan, der passer til jeres virksomheds infrastruktur. Planen bør inkludere:

1. Udarbejdelse af en tjekliste for systemer.
2. Oprettelse af et respons-team til at håndtere angreb.

Beskyttelse af jeres netværksinfrastruktur

Trin to er at implementere sikkerhedssystemer, der beskytter jeres netværk:

• Brug af IDS (Intrusion Detection System) og IPS (Intrusion Protection System).
• Integration af IDMS (Intelligent DDoS Mitigation System) og AMS (Attack Mitigation System).
• Anvendelse af komplekse og regelmæssigt opdaterede adgangskoder, anti-phishing software og sikre firewalls.

Bemærk, at disse foranstaltninger alene ikke altid er nok til at stoppe et DDoS-angreb.

Outsourcing til en cloud-baseret serviceudbyder

Det anbefales også at outsource DDoS-forebyggelse til en cloud-baseret serviceudbyder. Derudover kan i beskytte jeres digitale aktiver ved at bruge private datacentre og sikre hostingløsninger.

Abion tilbyder også DDoS-løsninger

Selvom det kan være muligt at begrænse skaderne fra et DDoS-angreb, når det først er i gang, er det altid bedre at forebygge angrebet.

Hos Abion tilbyder vi DNS-løsninger og en række hostingtjenester, der styrker din virksomheds tekniske struktur. Vores løsninger beskytter ikke kun mod typiske DDoS-angreb, men også mod SQL-injektioner og brute-force-angreb.

Vi samarbejder med førende leverandører som IBM, Palo Alto og VMWare for at levere det højeste sikkerhedsniveau til vores kunder. Sammen kan vi beskytte jeres virksomhed og forhindre DDoS-angreb.