Hva er et DDoS-angrep (DDoS Attack)?
Et distribuert tjenestenektangrep, på engelsk Distributed Denial-of-Service (DDoS) Attack, krever ingen tekniske ferdigheter, kan ta deg offline nesten umiddelbart og kan benytte en skare av uvitende treller. Hva er så et slikt DDoS-angrep? – Vel, det er den enkleste formen for nettkriminalitet.
Led Zeppelin hadde ikke spilt sammen på 19 år. Da de annonserte at de skulle spille konsert i O2 Arena i London 1. desember 2007, var begeistringen enorm. Så stor at 80 000 rockefans forsøkte å registrere seg for billetter på nettet – pr minutt! Billettnettstedet klarte rett og slett ikke å håndtere det og krasjet.
Et DDoS attack – uttales dee-dos – gjør nettopp dette: Et DDoS-angrep oversvømmer nettstedet ditt – eller en annen nettressurs – med så mye trafikk at det rett og slett ikke klarer å håndtere det.
Techopedia forklarer
Så, nettstedet eller tjenesten er nå frakoblet. Virksomheten vil lide skade på omdømmet, driftskapasiteten og, dersom det dreier seg om et nettsted for e-handel, tapte inntekter. Og, dette inntektstapet kan bli langvarig. For, dersom kundene dine må gå til en av konkurrentene dine kan det godt hende at forblir hos din konkurrent.
Så, ta ikke feil, et DDoS attack online er fullstendig ødeleggende for offeret, men samtidig forbløffende enkelt å gjennomføre.
Hvem står bak DDoS-angrep?
DDoS attack kan utføres av trusselaktører i alle størrelser, fra statssponsede APT-grupper ( Advanced Persistent Threat ) til hacker-aspiranter med null kompetanse.
Motiver for DDoS attack
1. Motivene er ikke alltid økonomiske, men penger er den vanligste årsaken.
Et typisk angrep vil gjøre en nettside eller en annen internettvendt server eller tjeneste offline i en periode. Når angrepet er avsluttet, fremsettes det et krav om løsepenger, og det trues med at angrepet vil gjenopptas dersom løsepengene i kryptovaluta ikke betales.
2. Et annet motiv er social warrior-hacktivisme. Hackergrupper som Anonymous angriper en organisasjon fordi de er uenige i et standpunkt som dette har inntatt eller fremmer.
Det kan være politisk, etisk, eller økologisk. Hacktivistene bruker DDoS som en digital ekvivalent til en studentstreik eller en masseprotest ved porten til organisasjonen de angriper.
Men, dette er imidlertid ikke bare en morsom studentspøk. Det er internasjonalt ulovlig å utføre DDoS-angrep. Der den amerikanske lovgivningen er Federal Computer Fraud and Abuse Act, med strafferammer på opptil 10 års fengsel og en bot på 500 000 dollar.
I Storbritannia er den relevante lovgivningen Computer Misuse Act, som ikke inneholder noen offisielle retningslinjer for straffeutmåling, og som overlater til dommeren å utmåle straffen etter eget forgodtbefinnende.
3. Hevn er også et motiv. Den misfornøyde medarbeideren, den misfornøyde eks-medarbeideren ,eller til og med den misfornøyde personen som ikke besto intervjuet og aldri ble ansatt, kan enkelt utføre et DDoS attack mot et selskap de er misfornøyde med.
Hevn var motivet for de alvorlige og langvarige DDoS-angrepene mot flere giganter i USAs finanssektor, som US Bancorp, Bank of America, Wells Fargo og andre. Angrepene startet i september 2012 og varte i to uker, av og på. Noen av disse organisasjonene var offline flere dager av gangen.
Angrepet ble utført av en hittil ukjent hacktivistgruppe kalt Izz ad-Din al-Qassam Cyber Fighters, “rettferdighetens skjærende sverd”. Cyberforskere har tilskrevet angrepene til en iransk statssponset APT. Alt tyder på at motivet var hevn for det berømte Stuxnet-angrepet mot urananrikningsanlegget i Natanz i Iran.
Typer av DDoS-angrep
På samme måte som det finnes mange underkategorier av skadevare, finnes det mange underkategorier av DDoS-angrep. Men de kan deles inn i tre hovedkategorier.
Volumetriske angrep (“Volumetric Attacks”)
Dette er de vanligste DDoS-angrepene. De overvelder måldatamaskinens nettverksbåndbredde ved å bombardere den med falske dataforespørsler.
Noen ganger på én port, andre ganger på alle åpne porter. Datamaskinen eller enheten som utsettes for angrepet, må forsøke å håndtere disse tilsynelatende legitime forespørslene, som opptar 100 prosent av båndbredden og prosesseringskapasiteten. Legitime forespørsler kan ikke betjenes, og måldatamaskinen, -enheten eller -tjenesten er i praksis frakoblet.
Meldingene som sendes til offerets datamaskin, er vanligvis enten UDP-pakker (“User Datagram Protocol”) eller ICMP-pakker (“Internet Control Message Protocol”).
UDP er skreddersydd for rask dataoverføring, noe som gjør det til et førsteklasses verktøy for trusselaktører. ICMP-angrep sender falske feilmeldinger eller falske forespørsler om informasjon og binder opp måldatamaskinen når den prøver å betjene alle disse falske forespørslene. Volumetric attack DDoS er en kategori av angrep enhver som drifter større nettsider må kjenne til og ha planer for å motvirke.
Angrep på applikasjonsnivå (“Application-Layer Attacks”)
Applikasjonslaget er det øverste nivået, lag 7, i nettverksmodellen Open Systems Interconnection (OSI). Det handler om programvaren som samhandler med nettverkstrafikken.
Disse angrepene misbruker vanligvis direkte nettrafikk ved hjelp av protokoller som Hypertext Transfer Protocol (HTTP), Secure Hypertext Transfer Protocol (HTTPS), Domain Name System (DNS) eller Simple Mail Transfer Protocol (SMTP).
De bruker samme prinsipp, nemlig å oversvømme offerets datamaskin eller enhet og kvele den med falske nettverk-interaksjoner som hindrer legitim trafikk i å bli betjent.
Protokollangrep (“Protocol Attacks”)
Et protokollangrep kan bruke en flom av bevisst misdannede datapakker for å forvirre og krasje målet for angrepet ved å overkjøre interne buffere eller ødelegge datatabeller.
Andre protokollangrep benytter seg av det såkalte treveis håndtrykket som finner sted når en TCP/IP-tilkobling (“Transmission Control Protocol/Internet Protocol”) blir forespurt, akseptert og tilkoblet.
Tilkoblingsforespørselen starter med en SYN-pakke fra datamaskinen som ber om tilkoblingen. Mottakeren, i dette tilfellet måldatamaskinen, svarer med en SYN+ACK-pakke for å bekrefte SYN-pakken.
Klienten bekrefter SYN+ACK-pakken ved å sende en ACK-pakke til måldatamaskinen. Deretter forhandler de om overføringshastigheter, protokoller, pakkestørrelser osv. og oppretter en forbindelse.
Et SYN-oversvømmelsesangrep (“SYN Flood Attack”)
Et SYN-flomangrep er et protokollangrep som fungerer ved å sende en flom av SYN-pakker til målmaskinen. Den svarer med en SYN+ACK-pakke på hver av disse forespørslene og venter på den endelige ACK-en fra hver av de eksterne enhetene.
Men disse blir aldri sendt. Dette betyr at hver av disse falske tilkoblingene binder opp nettverksressursene på måldatamaskinen helt til hver av de ufullstendige tilkoblingene avsluttes. Med en flom av SYN-forespørsler på måldatamaskinen kan den ikke ta imot ekte tilkoblingsforespørsler.
En variant av denne typen angrep er lave og langsomme angrep. Disse bruker relativt lite trafikk og kan derfor være vanskeligere å identifisere som et direkte angrep.
De sender en jevn strøm av tilkoblingsforespørsler, og hvert trinn i hver interaksjon settes på pause så lenge som mulig uten at måldatamaskinen får timeout.
Måldatamaskinen fungerer altså, men så fryktelig sakte at det er likt med at den ikke gjør det. Det er som å stå i kassakøen i en butikk, og alle foran deg er bevisst så trege som mulig.
ICMP-forespørselspakker
En annen teknikk er å bruke ICMP-forespørselspakker. Disse sendes ikke til offerets datamaskin, men til andre, store nettverk.
ICMP-pakkene ber om at pakken deles med all maskinvaren i nettverket. Forespørselen replikeres og sendes til alle enhetene i nettverket. Forespørselen gjelder en dump med informasjon om hver enkelt enhet, og de er villige til å levere denne informasjonen.
Den første ICMP-forespørselen var imidlertid forfalsket slik at det så ut som om den var sendt fra offerets datamaskin. Alle svarene fra hver av nettverksenhetene blir sendt til offerets nettsted, server eller en annen internettvendt tjeneste.
Ved å sende én pakke kan en flom av informasjon sendes til offeret. Dette kalles forsterkning. Trusselaktøren bruker selvsagt et betydelig antall uskyldige, store nettverk for å bombardere måldatamaskinen.
Det er som å angripe en fjellandsby ved å gå inn i fjellene og pirke i snøen. Snøskredet utrydder landsbyen, og trusselaktøren har ikke hatt noen direkte kommunikasjon med landsbyen.
Sofistikerte DDoS-angrep
Sofistikerte DDoS-angrep kan bruke en blanding av volumetriske angrep, applikasjonslags- og protokollangrep på én gang. Som vi skal se, er de fleste DDoS-angrep ikke sofistikerte, men de er likevel ødeleggende.
Hvorfor hvem som helst kan utføre et DDoS Attack
Det finnes en rekke programvarepakker for DDoS-angrep som enkelt og gratis kan lastes ned fra nettet. Det behøves ikke å gås til “dark web”, du finner dem på det vanlige eller “åpne nettet” (“clear web”) der du lett kan finne ulike DDoS attack tool fritt tilgjengelig.
– Last dem ned, følg noen enkle instruksjoner, og vips, så er du kriminell. Ingen IT- eller cyberkunnskap er nødvendig.
Du kan få tak i kildekoden til et DDoS attack tool rett fra GitHub. Klon depotet, kompiler kildekoden og kjør dem.
Det krever litt mer kunnskap, men hvis du kan følge en enkel liste med instruksjoner, er dette mulig for alle med litt IT-erfaring.
Hvis du finner veien inn på det mørke nettet, det nevnte “dark web”, kan du finne DDoS-as-a-Service-aktører. Du betaler dem for å gjennomføre kampanjer på dine vegne. Vanligvis har de utviklet skadevare og på forhånd infisert så mange datamaskiner (eller andre nettverksenheter) som mulig.
Disse infiserte enhetene – kalt bots – kan brukes sammen for å generere den store trafikkmengden som trengs for å velte et nettsted. Eieren av den infiserte enheten vet ikke engang at den bidrar til et angrep.
Jo flere roboter en DDoS-as-a-Service-tjeneste har, desto mer trafikk kan den generere. Det er betenkelig at det finnes tjenester som er tilgjengelige for så lite som 20 USD i timen.
Hvordan du beskytter deg mot DDoS Attack
De mest effektive metodene for DDoS-beskyttelse er skybaserte. Leverandører av DDoS-beskyttelse har ekstremt raske nettverk som kan levere mange terabit data i sekundet.
Som en monumental proxy leveres all trafikk til nettstedet ditt – eller andre nettverksressurser du ønsker å beskytte – via DDoS-beskyttelsesleverandørens nettverk.
Når du utsettes for et DDoS-angrep, fordeles trafikkmengden mellom de mange “databehandlingssentrene”.
Disse er mange nok og raske nok til å skille klinten fra hveten på en intelligent måte i sanntid. Ekte trafikk slippes gjennom til nettstedet eller serveren, og DDoS-trafikken forkastes.
Noen ganger styrkes disse tjenestene med en webapplikasjonsbrannmur eller andre former for forsvar som varierer fra leverandør til leverandør.
Bunnlinjen om DDoS attack
DDoS-angrep har blitt en av de vanligste formene for digital hevn. Det er to grunner til dette. For det første er det enkelt å gjennomføre et DDoS attack. For det andre tror gjerningsmannen at forbrytelsen ikke kan spores.
Mens de ikke ville begått en fysisk forbrytelse av frykt for å bli tatt, tror de feilaktig at forbrytelsens digitale natur beskytter dem mot oppdagelse og straff. Men en forbrytelse er en forbrytelse, og det er stor forskjell på å kunne begå en forbrytelse og å kunne slippe unna med en forbrytelse.
Denne typen naive nettkriminelle blir ofte tatt – og de blir tatt raskt – men det er en mager trøst for offeret som har blitt satt ut av spill og mistet inntekter, kunder og pålitelighet.