DDOS står for Distributed Denial-Of-Service. Det er en form for cyberkriminalitet, hvor en eller flere parter forsøger at afbryde trafikken på en server eller hjemmeside. For at være effektive bruger de ikke kun én computer til at angribe, men ofte et helt netværk af dem.
Dette er dog ikke kun angriberens maskiner - der er former for malware og vira, der kan påvirke en normal brugers computer og gøre den til en del af angrebet. Selv IoT-enheder er ikke sikre - hvis du har en smart-enhed i dit hjem, kan den teoretisk set bruges til et sådant angreb.
Hvordan virker det?
Den enkleste måde at forklare DDOS-angreb på er at sammenligne dem med trafikpropper. Normal trafikstrøm afbrydes, fordi snesevis (eller hundreder, tusinder osv.) af uventede biler smelter sammen med hovedvejen uden at lade andre biler gå.
Den opståede jam forhindrer normale chauffører i at nå deres mål – i en DDOS-begivenhed ville det være den server eller hjemmeside, de leder efter.
Der er forskellige typer angreb, der retter sig mod forskellige elementer i den normale klient-server-kommunikation.
Angreb af applikationslag prøv at udtømme målets ressourcer ved at tvinge det til gentagne gange at indlæse filer eller databaseforespørgsler – dette sænker webstedet og kan i ekstreme tilfælde forårsage problemer med serveren ved at overophede den eller sætte strøm op brug. Disse angreb er svære at forsvare sig imod, fordi de er svære at få øje på - det er ikke nemt at sige, om en stigning i brugen skyldes en stigning i ægte trafik eller et ondsindet angreb.
HTTP oversvømmelsesangreb gøres ved i det væsentlige at opdatere en browserside igen og igen - undtagen millioner af gange. Denne strøm af anmodninger til en server vil ofte resultere i, at den bliver overvældet og ikke længere reagerer på (ægte) anmodninger. Forsvar inkluderer at have backup-servere og nok kapacitet til at håndtere anmodningsoverløb. For eksempel ville et sådant angreb næsten helt sikkert ikke virke mod Facebook, fordi deres infrastruktur er så stærk, at den kan håndtere angreb som det.
Protokolangreb prøv at udtømme en server ved at forbruge al den kapacitet, som ting som webapplikationer har – altså ved at gentage anmodninger til et element på et websted eller en tjeneste. Hvis du gør det, stopper webapplikationen med at svare. Ofte bruges filtre, der blokerer gentagne anmodninger fra de samme IP-adresser for at holde angreb ude og holde tjenesten kørende for normale brugere.
SYN oversvømmelsesangreb gøres i det væsentlige ved gentagne gange at bede serveren om at hente et element og derefter ikke bekræfte modtagelsen af det. Det betyder, at serveren holder på elementerne og venter på den kvittering, der aldrig kommer - indtil den til sidst ikke kan holde mere og begynder at droppe dem for at hente mere.
Volumetriske angreb prøv kunstigt at skabe overbelastning ved specifikt at optage al den båndbredde, som en server har. Dette ligner HTTP Flood-angreb, bortset fra at der i stedet for gentagne anmodninger sendes data til serveren og dermed holde den for travl til at reagere på normal trafik. Botnets bruges normalt til at udføre disse angreb – de bruger også ofte DNS-forstærkning.
Tip: DNS-forstærkning fungerer som en megafon – en mindre anmodning eller datapakke præsenteres som værende meget større, end den er. Det kan være angriberen, der anmoder om alt, hvad en server har at tilbyde, og derefter beder den om at gentage alt hvad angriberen bad om – en relativt lille og enkel anmodning ender med at fylde meget ressourcer.
Hvordan forsvarer man sig mod DDOS-angreb?
Det første skridt til at håndtere disse angreb er at sikre, at de virkelig sker. Det er ikke altid let at opdage dem, da trafikstigninger kan være normal adfærd på grund af tidszoner, nyhedsmeddelelser og mere. For at få deres angreb til at virke, forsøger DDOS-angribere at skjule deres adfærd i normal trafik så meget som muligt.
Andre rutiner til at afbøde DDOS-angreb er sorte huller, hastighedsbegrænsning og firewalls. Sorte huller er en ret ekstrem foranstaltning - de forsøger ikke at adskille ægte trafik fra et angreb, men omdirigerer snarere hver anmodning væk fra serveren og dropper den derefter. Dette kan gøres som forberedelse af et forventet angreb, f.eks.
Takstbegrænsning er lidt mindre hård for brugerne - den sætter en kunstig grænse for, hvor mange anmodninger en server vil acceptere. Denne grænse er nok til at lade normal trafik passere igennem, men for mange anmodninger bliver automatisk omdirigeret og droppet - på denne måde kan serveren ikke overvældes. Det er også en effektiv måde at stoppe forsøg på at knække adgangskoder med brute force - efter f.eks. fem forsøg er IP-adressen, der prøver, simpelthen låst ude.
Firewalls er ikke kun nyttige til beskyttelse på din egen computer, men også på serversiden fra webtrafik. Specielt webapplikationsfirewalls er sat op mellem internettet og en server – de beskytter mod flere forskellige typer angreb. Gode firewalls er også i stand til hurtigt at opsætte tilpassede svar på angreb, efterhånden som de sker.
Tip: Hvis du ønsker at beskytte dit websted eller din server mod en form for DDOS-angreb, vil du have et arrangement af forskellige løsninger (sandsynligvis inklusive en firewall). Den bedste måde at gøre dette på ville være at konsultere en cybersikkerhedskonsulent og få dem til at komme med en tilpasset plan, der passer til dine behov. Der er ingen ensartet løsning!