Distribuerad överbelastningsattack (DDos)

Binary code

Vad är en DDoS-attack?  

En distribuerad överbelastningsattack, eller DDoS-attack, är en form av överbelastningsattack som gör en tjänst (t.ex. en webbplats) otillgänglig för sina användare. Angriparen använder ett botnät – ett nätverk bestående av ett stort antal enheter som alla används för att genomföra en riktad och koordinerad attack mot målet. DDoS-attacker utförs genom samtidiga anrop i hög volym, utan tillräckligt skydd blir tjänsten otillgänglig för legitima användare. 

En DDoS-attack kan ta olika former beroende på vilket lager i internetkommunikationen angriparen försöker överbelasta. En enkel form av DDoS-attack, en så kallad volymetrisk attack, innebär att ett botnät bombarderar webbplatsen med anslutningsförsök. Det finns flera andra, mer sofistikerade former av DDoS-attacker, och bara för att en lösning kan neutralisera en typ av DDoS-attack betyder det inte att den stoppar alla. 

Vem utför DDoS-attacker?  

Cyberkriminella genomför stora kampanjer för att sprida skadlig kod som gör olika internetanslutna enheter till stora botnät som kontrolleras av kriminella, vilka kan användas för att starta DDoS-attacker. Dessa kriminella hyr sedan oftast ut användningen av sitt botnät till andra kriminella och hacktivister som väljer attackmål. 

Vissa hacktivister är hackare som kontrollerar sina egna mindre botnät, men de har överskuggats av utpressningskriminella och statsstödda aktörer som har resurser att betala dessa cyberkriminella botnätsägare för deras tjänster. 

Vilka är motiven bakom DDoS-attacker?  

De flesta aktörer som ligger bakom DDoS-attacker drivs antingen av politiska eller kriminella motiv. Majoriteten av DDoS-attacker genomförs av kriminella som använder dem för utpressning. En typisk attack består av en timslång överbelastning av en webbplats, följt av ett utpressningsmejl där de kriminella hotar att kontinuerligt göra tjänsten otillgänglig om inte offret betalar en stor summa pengar. 

Dessa cyberkriminella riktar ofta in sig på företag som är starkt beroende av sina webbplatser för affärer med kunder, som till exempel finansiella onlinetjänster eller e-handelssajter. Om offren vägrar att betala försöker de vanligtvis fortsätta blockera webbplatsen med timslånga attacker i upp till ett par veckor tills de ger upp och går vidare om de inte tror att chansen att få utpressningspengar motiverar investeringen i att hyra DDoS-kraft. 

Ett växande antal så kallade ”hacktivister” genomför DDoS-attacker motiverade av en blandning av skäl – politik, pengar och uppmärksamhetssökande. Idag är många inte aktivister alls; de är betalda av statliga aktörer och använder hacktivismens täckmantel för att genomföra proxyattacker mot motståndare som en form av hybridkrigföring. ”Hacktivism” är en form av cybervandalism, och aktörerna gör vanligtvis allt för att maximera publiciteten kring sina attacker. I stället för att säga att de tillfälligt gjort en webbplats otillgänglig, låtsas deger de sken av att ha hackat och tagit ner hela nätverk. 

Var alltid skeptisk till sådana överdrivna påståenden. DDoS-attacker kan vara störande, särskilt om angriparen är betald av en stat och har råd med stor kapacitet, men angriparen fortsätter sällan i flera dagar som utpressningskriminella gör. De vill bara att tjänsten ska vara nere tillräckligt länge för att stödja deras berättelse innan de går vidare till nästa offer. 

Hur skyddar du din organisation mot DDoS-attacker?  

Truesec rekommenderar att du offentligt delar information om en DDoS-attack har påverkat din verksamhet, särskilt om det är av politiska skäl. Att undvika detta innebär att du lämnar informationsutrymmet till hotaktörerna, som kommer att göra sitt yttersta för att skapa rubriker med sin egen version av attacken. 

Vi uppmanar alla företag att ta fram en plan för hur man ska agera vid en eventuell DDoS-attack, vilket bör inkludera en kommunikationsplan för media. 

Utöver en reaktiv plan för att hantera en pågående attack finns det både förberedande och förebyggande åtgärder att vidta för att avsevärt minska affärspåverkan av att bli utsatt för en DDoS-attack. 

11 åtgärder för att minimera risken för DDoS-attacker 

  1. Kartlägg regelbundet din IT-miljö och inventera dina affärskritiska applikationer och system, särskilt de som är exponerade mot internet. 
  1. Skydda affärskritiska webbplatser, applikationer och system med DDoS-skydd. 
  1. Håll dina kontaktlistor hos din internetleverantör (ISP) uppdaterade och begär regelbunden rapportering om vad de ser. 
  1. Be din internetleverantör (ISP) att filtrera bort trafik från regioner du inte gör affärer med. 
  1. Be din internetleverantör (ISP) att implementera Quality of Service (QoS) för att prioritera affärskritiska tjänster. 
  1. Om du äger ditt eget IP-adressutrymme (oberoende av ISP), se till att du använder anslutningar från olika leverantörer och att redundansen fungerar, åtminstone för affärskritiska applikationer. 
  1. Skydda länkar och nätverk mellan lokala enheter och utgående länkar (t.ex. inaktivera ping, traceroute, etc.). Be din uppströms-ISP att göra detsamma för routrar på deras sida mot dig (ofta kallade CPE eller PE). 
  1. Övervaka CPU och trafikvolym på front-end-brandväggar, lastbalanserare, WAF:er och exponerade servrar. Konfigurera larm med tröskelvärden för en fördefinierad period, t.ex. användning över 80 % under de senaste 10 minuterna. 
  1. Applicera alla säkerhetsuppdateringar för system som är exponerade mot internet. 
  1. Säkerställ att exponerade system loggar och att dessa loggar är lättillgängliga. 
  1. Säkerställ att alla publika IPv6-länkar är konfigurerade med /126- eller /127-prefix. 

Truesec uppmanar alla företag att analysera tillgänglig data och loggar om organisationen ser händelser som stämmer överens med en DDoS-attack för att förstå attackmönster, tidsfönster, påverkade mål, etc. Tolka data från ISP:er, DDoS-skydd eller annan utrustning, men förlita dig inte på det som enda källa – om en DDoS-attack bekräftas, kontakta ditt nationella CERT.