DDOS står for Distribuert Denial-Of-Service. Det er en type nettkriminalitet der en eller flere parter prøver å avbryte trafikken til en server eller nettside. For å være effektive bruker de ikke bare én datamaskin til å angripe, men ofte et helt nettverk av dem.
Dette er imidlertid ikke bare angriperens maskiner - det finnes typer skadelig programvare og virus som kan påvirke en vanlig brukers datamaskin og gjøre den til en del av angrepet. Selv IoT-enheter er ikke trygge – hvis du har en smartenhet i hjemmet, kan den teoretisk sett brukes til et slikt angrep.
Hvordan virker det?
Den enkleste måten å forklare DDOS-angrep på er å sammenligne dem med trafikkork. Normal trafikkflyt blir avbrutt fordi dusinvis (eller hundrevis, tusenvis, osv.) av uventede biler går over i hovedveien uten å slippe andre biler.
Den nye jammen hindrer vanlige sjåfører i å komme til målet sitt – i en DDOS-hendelse vil det være serveren eller nettstedet de leter etter.
Det finnes forskjellige typer angrep som retter seg mot forskjellige elementer i den normale klient-server-kommunikasjonen.
Applikasjonslagsangrep prøv å tømme ressursene til målet ved å tvinge det til gjentatte ganger å laste filer eller databasespørringer – dette bremser nettstedet og kan i ekstreme tilfeller forårsake problemer med serveren ved å overopphete den eller få strøm bruk. Disse angrepene er vanskelige å forsvare seg mot fordi de er vanskelige å få øye på – det er ikke lett å si om en økning i bruken skyldes en økning i ekte trafikk eller et ondsinnet angrep.
HTTP flomangrep gjøres ved å oppdatere en nettleserside om og om igjen - bortsett fra millioner av ganger. Denne flommen av forespørsler til en server vil ofte føre til at den blir overveldet og ikke lenger svarer på (ekte) forespørsler. Forsvar inkluderer å ha backupservere og nok kapasitet til å håndtere forespørselsoverløp. For eksempel vil et slikt angrep nesten definitivt ikke fungere mot Facebook fordi deres infrastruktur er så sterk at den kan håndtere angrep som det.
Protokollangrep prøv å tømme en server ved å konsumere all kapasiteten ting som nettapplikasjoner har – så ved å gjenta forespørsler til et element på et nettsted eller en tjeneste. Hvis du gjør det, slutter webapplikasjonen å svare. Ofte brukes filtre som blokkerer gjentatte forespørsler fra de samme IP-adressene for å holde angrep og holde tjenesten i gang for vanlige brukere.
SYN flomangrep gjøres, i hovedsak, ved gjentatte ganger å be serveren om å hente et element, og deretter ikke bekrefte mottak av det. Dette betyr at serveren holder på elementene og venter på kvitteringen som aldri kommer – til den til slutt ikke kan holde mer og begynner å slippe dem for å hente mer.
Volumetriske angrep prøv å kunstig skape overbelastning ved spesifikt å okkupere all båndbredden som en server har. Dette ligner på HTTP Flood-angrep bortsett fra at i stedet for gjentatte forespørsler sendes data til serveren, og dermed holde den for opptatt til å svare på normal trafikk. Botnett brukes vanligvis til å utføre disse angrepene – de bruker også ofte DNS-forsterkning.
Tips: DNS-forsterkning fungerer som en megafon – en mindre forespørsel eller datapakke presenteres som mye større enn den er. Det kan være angriperen som ber om alt en server har å tilby, og deretter ber den om å gjenta alt angriperen ba om – en relativt liten og enkel forespørsel ender opp med å ta opp mye ressurser.
Hvordan forsvare seg mot DDOS-angrep?
Det første trinnet for å håndtere disse angrepene er å sørge for at de virkelig skjer. Å oppdage dem er ikke alltid lett, siden trafikkøkninger kan være normal oppførsel på grunn av tidssoner, nyhetsmeldinger og mer. For å få angrepene til å fungere prøver DDOS-angripere å skjule oppførselen sin i normal trafikk så mye som mulig.
Andre rutiner for å dempe DDOS-angrep er sorte hull, hastighetsbegrensning og brannmurer. Sorte hull er et ganske ekstremt tiltak – de prøver ikke å skille ekte trafikk fra et angrep, men omdirigerer i stedet hver forespørsel bort fra serveren og så dropper den. Dette kan for eksempel gjøres som forberedelse til et forventet angrep.
Ratebegrensning er litt mindre grov for brukerne – den setter en kunstig grense for hvor mange forespørsler en server vil akseptere. Denne grensen er nok til å la normal trafikk passere gjennom, men for mange forespørsler blir automatisk omdirigert og droppet – på denne måten kan ikke serveren overveldes. Det er også en effektiv måte å stoppe brute force-forsøk på å knekke passord - etter for eksempel fem forsøk, blir IP-adressen som prøver ganske enkelt låst ute.
Brannmurer er ikke bare nyttige for beskyttelse på din egen datamaskin, men også på serversiden utenfor nettrafikk. Nettapplikasjonsbrannmurer er spesielt satt opp mellom Internett og en server – de beskytter mot flere forskjellige typer angrep. Gode brannmurer kan også raskt sette opp tilpassede svar på angrep etter hvert som de skjer.
Tips: Hvis du ønsker å beskytte nettstedet eller serveren din mot en slags DDOS-angrep, vil du ha et arrangement med forskjellige løsninger (mest sannsynlig inkludert en brannmur). Den beste måten å gjøre dette på er å konsultere en cybersikkerhetskonsulent og få dem til å komme opp med en tilpasset plan tilpasset dine behov. Det er ingen løsning som passer for alle!