Du kan ibland höra om cyberattacker i nyheterna. De som rapporteras i mainstream media faller ofta in i två kategorier: dataintrång och DDOS-attacker. Dataintrång är cyberattacker där data kopieras från datorer, ofta handlar det om användardata som e-postadresser och lösenord. En DDOS-attack är en helt annan typ av cyberattack med få likheter med traditionella hacks.
De flesta cyberattacker är avsedda att få tillgång till ett system och sedan göra något som kan tjäna pengar, som att sälja stulen data eller lösa ut åtkomst. En DDOS-attack är aktivt utformad för att neka någon åtkomst till målet. DDOS står för Distributed Denial Of Service och använder ett nätverk av bots aka "ett botnät" för att överväldiga en webbplats eller annan internetansluten tjänst med trafik, till den punkt där antingen inga legitima användare kan komma åt den eller servrarna krascha.
Hur fungerar ett botnät?
Att skapa så mycket nätverkstrafik skulle vara i princip omöjligt för en dator så hackare skapar ett nätverk av robotar som de kan programmera för att göra sina bud. Generellt distribueras bot-mjukvaran genom vanliga skadliga metoder och infekterar så många enheter som möjligt. De infekterade enheterna ansluter sedan tillbaka till en av ett fåtal kommando- och kontrollservrar, aka C&C eller C2-servrar. Hackaren som ansvarar för botnätet utfärdar sedan kommandon till C2-servrarna som sprider kommandona över hela nätverket. Nätverket av bots utför sedan en enda uppgift på en gång, som tidigare nämnts är detta i allmänhet bara att skapa så mycket nätverkstrafik som möjligt och skicka allt till ett olyckligt mål.
Avsikten med det skiktade systemet för C2-servrarna och botarna är att göra det svårt att knyta aktiviteten till den ursprungliga hackaren. Liksom andra former av hacking är DDOS-attacker olagliga, problemet är att botarna som kör attacken faktiskt ägs av oskyldiga tredje parter som hade blivit infekterade med skadlig programvara.
Botnät har två tekniker de använder för att attackera, direkta attacker och amplifieringsattacker. Direkta attacker skickar så mycket trafik som möjligt direkt från varje bot i botnätet. Amplifieringsattacker förlitar sig på missbruk av vissa protokoll som har två specifika egenskaper, en källadress som kan förfalskas och ett större svar än begäran. Genom att skicka trafik från varje bot med källadressen förfalskad att vara målets, svarar legitima servrar på den servern med stora svar. Amplifieringsattacker kan resultera i mycket mer trafik än direkta attacker.