DDoS-attack: Förhindra och skydda

Vad innebär en DDoS-attack - och hur kan man skydda sig?

DDoS-attack är förkortning för Distributed Denial of Service Attack, vilket i sin tur är benämningen på en typ av omfattande it-attacker riktade mot ett specifikt nätverk, en webbplats, ett IT-system eller en webbaserad tjänst.

Olika typer av DDoS-attacker

En DDoS-attack går alltid ut på att överbelasta ett system i syfte att blockera det och få det att krascha. Detta kan dock göras på flera olika sätt.

I dagsläget räknar man med att det finns närmare 30 olika attacktyper inom kategorin DDoS. Skillnaden mellan de olika tillvägagångssätten ligger i hur man överbelastar det system man angriper.

Några av de mest förekommande attacktyperna är bland andra:

• Flödesattack
  Systemangrepp med omfattande IP-trafik från ett stort botnet - exempelvis med hjälp av ICMP och UDP.
• Protokollutnyttjande attack
  Överbelastning genom korsanvändning av flera protokoll samtidigt - systemet kan inte hantera informationen och kollapsar.
• Amplifikationsattack
  System i subnät utnyttjas med hjälp av meddelanden sända av agenter. Mottagna meddelanden kopieras och skickas vidare till systemet som ska angripas.
• Teardrop-attack
  Överbelastningsattack riktad mot relationer mellan paket i webbtrafik och/eller buffertar.
• Synattack
  En webbplats eller ett system angrips genom att ett mycket stort antal kontaktförfrågningar skickas in samtidigt - systemet överbelastas när kapacitet inte finns att besvara alla.
• Multivektorattack
  Omfattande angrepp där flera olika attacktyper används i kombination med varandra.

Av ovanstående tillvägagångssätt är flödesattacker och amplifikationsattacker absolut vanligast. Störst skada orsakas vanligen av multivektorattacker, vilka med kombinationen av olika attacktyper kan bli extra förödande.

Överbelastningsattacker blir allt vanligare

Överbelastningsattacker - vilket är den svenska benämningen på DDoS - är inget nytillkommet hot inom IT-relaterad brottslighet. Fenomenet har vid det här laget funnits i många år.

Trots det faktum att datasäkerheten aldrig har varit bättre än vad den är idag, fortsätter dessvärre attacker och sabotage av DDoS-typ att öka. Den främsta orsaken till det bedöms vara att de blivit betydligt enklare att utföra.

En DDoS-attack behöver idag inte konstrueras och orkestreras av angriparen själv. Sabotagen finns istället att köpa som färdiga tjänster på nätet - i olika prisklasser för olika omfattning.

Från att för några år sedan varit en typ av IT-sabotage som främst riktades mot stora företag och organisationer, har DDoS-attacker gått till att numera vara något som även drabbar mindre företag i allt större utsträckning.

Utöver det faktum att de blivit så mycket lättare att utföra, är en av de största utmaningarna med DDoS-attacker också att de ofta tar sig förbi brandväggar och virusprogram. Detta eftersom skyddssystemen lätt kan missta attackerna för vanlig trafik.

Så kan en misstänkt DDoS-attack hanteras

Det mest effektiva sättet att hantera hotet från DDoS-attacker är att arbeta förebyggande. Att vidta skyddsåtgärder med DDoS-program som gör system, domännamn, webbplatser och dylikt mindre sårbara för sabotage.

Viktigt är också att man har metoder och tekniker som gör det möjligt att upptäcka en eventuellt pågående attack, så att man så snabbt som möjligt kan försöka stoppa den och begränsa skadorna.

Många företag, banker och statliga organisationer använder idag IDMS och AMS för att övervaka, analysera och riskbedöma nätverkstrafik. IDMS står för Intelligent DDoS Mitigation System och AMS står för Attack Mitigation System.

Implementeras dessa system på rätt sätt och fungerar som de ska, blir de effektiva hjälpmedel för att upptäcka sårbarhet och brister i IT-säkerheten.

Vid en misstänkt pågående DDoS-attack kan olika åtgärder tas till beroende på angreppets omfattning. En mindre attack kan ibland stoppas genom att blockera de IP-adresser som förmedlar de stora trafikvolymerna.

Rör det sig om ett omfattande angrepp krävs ofta betydligt mer resurser. I synnerhet om de som ligger bakom sabotaget använder sig av förfalskade IP-adresser, vilka i sådana fall inte fungerar att spärra.

Vid en stor överbelastningsattack behöver man samla in information från olika loggar i syfte att kunna identifiera var angreppet kommer ifrån och vad som behöver rensas bort.

Komponenter som bör analyseras är bland andra:

• Brandväggar
• DNS (Domain Name System)
• Servrar
• Routrar
• Nätverksleverantörer

Så kan du skydda dig mot DDoS-attacker

Eftersom överbelastningsattacker, som beskrivet i den här artikeln, kan utföras på en mängd olika sätt, kan det vara svårt att hitta ett universellt skydd som fungerar mot allt.

Det finns emellertid flera olika typer av lösningar och åtgärder som i kombination med varandra kan ge ett heltäckande skydd.

För att öka motståndskraften mot överbelastningsattacker är det, förutom IDMS och AMS, framförallt viktigt att använda:

• Fungerande brandväggar och klientskydd
• IDS - Intrusion Detection System
• IPS - Intrusion Prevention System
• Lastbalanserare som fördelar inkommande trafik och minskar servertrycket
• Validering av protokoll
• Applikationskontroll som förhindrar att skadlig kod och infiltrationsprogram tar sig in

Vid sidan av olika tekniska lösningar är det även viktigt att ha etablerade rutiner för vad som ska göras om verksamheten trots skydd skulle bli utsatt för en DDoS-attack.

DDoS-skyddad hosting

Trots att det är möjligt att stoppa en pågående DDoS-attack och på så vis begränsa skadorna, är förebyggande åtgärder som nämnts alltid det bästa och mest effektiva skyddet.

På Abion erbjuder vi olika DDoS-skyddade hosting och DNS-lösningar med komplett teknisk infrastruktur för företags, myndigheters och organisationers samtliga digitala tillgångar.

Samtliga hostinglösningar från Abion ger ett heltäckande skydd mot såväl DDoS-attacker, som andra typer av intrång - exempelvis Bruteforce-attacker och SQL-injections.

Vidare samarbetar vi endast med marknadsledande leverantörer som NetActuate, Anexia, Palo Alto Networks och VMWare för att kunna säkerställa högsta möjliga IT-säkerhet för våra egna miljöer och därmed för våra kunder.