Hva er et DDoS-angrep og hvordan forhindre disse angrepene i 2019

Hva er et DDoS-angrep og hvordan forhindre disse angrepene i 2019
Evan Porter
Postet 2019 mai 16

Hvis bedriftens hjemmeside eller applikasjonen plutselig går offline på grunn av massiv pågang av mistenkelig trafikk, så kan du være angrepet av et tjenestenektangrep eller DDoS-angrep (Distributed Denial-of-Service).

Det blir stadig flere av denne typen cyberangrep, og de kan være ødeleggende for virksomheten og troverdigheten til varemerket ditt, ettersom de forårsaker betydelig nedetid på eget nettsted.

I denne guiden bryter vi ned detaljene i et DDoS-angrep , vi ser på hvordan de kan forhindres, og hva du gjør hvis du har blitt angrepet .

Hurtiglenker: DDoS FAQs

Hva er et DDoS-angrep?

Hva er et DDoS-angrep?

DDoS står for Distributed Denial-of-Service, oversatt til tjenestenektangrep på norsk.

Et DDoS-angrep skjer når en hacker sender store mengder trafikk til et nettverk eller en server, for å oversvømme systemet og forhindre det i å operere normalt. Disse angrepene brukes gjerne til å ta ned et nettsted eller applikasjon av Internett og de kan vare i dagevis, eller enda lenger.

Den tekniske biten

Vi bruker begrepet tjenestenekt fordi nettstedet eller serveren ikke vil kunne betjene legitim trafikk under angrepet.

Og de kalles et distribuert tjenestenekt, fordi den falske trafikken kommer fra hundrevis, tusenvis eller til og med flere millioner av andre maskiner. Når det bare kommer fra en enkel kilde, benyttes betegnelsen DoS-angrep.

Bruk av botnett

DDoS-angrep bruker et botnett, som er flere datamaskiner eller enheter på Internett som blir fjernstyrt ved bruk av skadevare til å iverksette angrepet. Disse maskinene kalles «zombier».

Forskjellige typer angrep

Forskjellige typer angrep

Zombiene angriper sårbarheter i forskjellige layere i OSI-modellen (Open Systems Interconnection), og brytes vanligvis ned i tre kategorier, ifølge Cloudflare:

1. Angrep på applikasjons-layer

Angrep på applikasjons-layer er den simpleste formen for DDoS, de etterligner vanlige serverforespørsler. Med andre ord, datamaskinene eller enhetene i botnettet kommer sammen for å tilgang til serveren eller nettstedet, akkurat som en vanlig bruker ville gjøre.

Men etterhvert som DDoS-angrepet oppskaleres, blir volumet av antatt legitime forespørsler for store for serveren å håndtere, og den vil krasje.

2. Protokollangrep

Et protokollangrep utnytter måten servere prosesserer data, for å kunne overbelaste det tiltenkte målet for angrepet.

I noen variasjoner av protokollangrepene vil botnett sende datapakker som serveren må sette sammen. Serveren venter på å motta informasjon fra IP-adressen til kilden, som den aldri mottar. Men serveren får mer og mer data som må pakkes opp.

I andre varianter, sendes det datapakker som bare er umulige å sette sammen, som igjen overbelaster serverressursene mens den forsøker å jobbe med saken.

3. Volumetriske angrep

Volumetriske angrep ligner på applikasjonsangrep, men med en liten vri. Med denne DDoS-varianten, vil hele den tilgjengelige båndbredden bli spist opp av forespørsler fra botnett der volumet på en måte har blitt skrudd opp.

Botnett kan for eksempel av og til lure serverne til å sende massive mengder data til seg selv. Dette betyr at serveren må motta, behandle, sende den samme informasjonen om og om igjen.

Det første eksemplet på et DDoS-angrep

Det første kjente DDoS-angrepet ble utført i år 2000 av en 15 år gammel gutt som het Michael Calce, ifølge Norton, og angrepene ble brukt til midlertidig å ta ned store nettsted som Yahoo, CNN og eBay, der angrepet forårsaket en melding som er vist på bildet ovenfor.

Denne type angrep har det blitt mer og mer av siden den gang.

Hvem iverksetter DDoS-angrep og hvorfor?

Selv om DDoS-angrep har vokst i styrke og kvalitet, så kan vanlige DDoS-angrep utføres av nesten alle. Mannen i gata kan betale for DDoS-angrep mot et mål på nettet eller på det svarte markedet. De kan til og med leie eller lease et eksisterende botnett for å utføre sine destruktive planer.

Tidlige DDoS-angrep, som den første utført av Michael Calce (alias “Mafiaboy”) var bare utført for å ha noe å skryte av som hacker. Bare fordi han kunne gjøre det.

Men i dag er det vanlig at de som benytter DDoS-angrep, gjør dette av følgende årsaker:

  • Innehavere av virksomheter som ønsker å få konkurransemessige fordeler
  • Konkurransebevisste gamere, for å knuse motstandere
  • Aktivister for å forhindre at folk får tilgang til en viss type innhold
  • Troll som gjerne tar hevn mot et utpekt mål

Hvem er mest utsatt for et DDoS-angrep?

Hvem er mest utsatt for et DDoS-angrep?

Folk flest har ikke så mye å frykte, det er store virksomheter som oftest er hovedmålet. De kan potensielt miste millioner eller milliarder av dollar som et resultat av nedetid forårsaket av DDoS -angrep. Mindre virksomheter kan selvfølgelig også påføres store tap på grunn av dette.

Det er viktig for alle organisasjoner som er tilgjengelig på Internett å være godt forberedt mot et potensielt DDoS-angrep når som helst.

Hvordan forhindre et DDoS-angrep

Du kan ikke forhindre at angriper sender bølger av uautorisert trafikk til serverne dine, men du kan være godt forberedt for å behandle overlasten.

1. Ta det tidlig ved å overvåke trafikken

Det er viktig å ha en god forståelse av hva som utgjør normal, lav og høy trafikk i egen organisasjon, ifølge Amazon Web Services.

Hvis du vet hva du kan forvente når trafikken treffer den øvre grensen, så kan du iverksette ratebegrensninger. Det betyr at serveren bare vil akseptere så mange forespørsler som den kan håndtere.

Det å ha oppdatert kunnskap om trafikktrendene vil også bidra til raskt å kunne identifisere et problem.

Du bør i tillegg være forberedt på sesongmessige svingninger i trafikken, reklamekampanjer og tilsvarende. Mye av den legitime trafikken (en viral lenke fra sosiale medier for eksempel) kan av og til få lignende server-krasjende effekt. Og selv om opphavet er en legitim kilde, kan nedetiden likevel være kostbar for virksomheten.

2. Få mer båndbredde

Når du har en god idé om den serverkapasiteten du trenger basert på gjennomsnittlig og høy trafikkbelastning, bør du du ha båndbredde som klarer å behandle toppene og vel så det. Det å sitte med mer serverbåndbredde enn du egentlig trenger kalles «overprovisjonering».

Mer båndbredde kjøper deg mer tid i tilfelle av et DDoS-angrep før nettstedet, serveren eller applikasjonen blir fullstendig overbelastet.

3. Bruk et CDN (Content Distribution Network)

Hensikten med et DDoS-angrep, er å overbelaste hostingserveren. En løsning er da å lagre egne data på flere servere over hele verden.

Det er akkurat det et CDN (Content Distribution Network) gjør.

CDN betjener nettsted og data fra en server som ligger i nærheten av brukerne slik at ytelsen blir raskere. Bruk av CDN betyr også at du er mindre sårbar ovenfor angrep hvis en av serverne overbelastes, du vil fremdeles ha mange andre som fungerer.

Hva gjør du hvis du blir angrepet av DDoS

Hva gjør du hvis du blir angrepet av DDoS

DDoS-angrep i dag er så kraftige og sofistikerte at det kan være veldig vanskelig å løse dem på egenhånd. Derfor vil det beste forsvaret mot et angrep være å ha de riktige mottiltakene på plass helt fra start.

Men hvis du er under angrep og serveren for øyeblikket er offline, er det et par ting du kan gjøre:

1. Få mottiltak raskt på plass

Hvis du vet hvordan den normale trafikken ser ut, bør du klare å identifisere når du utsettes for et DDoS-angrep ganske raskt.

Du kommer til å oppdage en massiv pågang av serverforespørsler eller web-trafikk fra det som kan se ut som mistenkelige kilder. Det kan hende du har litt tid å jobbe på før serveren overbelastes og krasjer.

Sett opp en ratebegrensning så raskt som mulig, og rensk opp i serverloggene så du frigjør mer lagringsplass.

2. Kontakt hostingleverandøren

Hvis andre eier og opererer serveren som betjener dine data, ring omgående og informer dem om angrepet.

De klarer kanskje å kjøre trafikken din i et «blackhole», inntil trafikken under angrepet avtar, hvilket betyr at innkommende forespørsler til serveren ganske enkelt droppes, enten de er legitime eller ikke. Det vil også være i deres interesse at dette gjøres, for å unngå krasj på serverne til andre kunder.

Når dette er gjort vil de sannsynligvis omrute trafikken gjennom et «skrubb» som filtrerer bort trafikken fra angrepet, og lar de normale forespørslene passere.

3. Få tak i en spesialist

Hvis du er under et større angrep og ikke har anledning til nedetid på nettstedet eller applikasjonen, bør du kanskje vurdere å hente inn en spesialist på skadebegrensning under et DDoS-angrep.

Hva de kan gjøre er av avlede trafikken til sine egne massive servere som kan håndtere lasten, og forsøke å skrubbe bord de falske forespørslene derfra.

4. Vent til det går over

Det å få inn en spesialt for å omrute og skrubbe nettrafikken er kostbar.

De fleste DDoS-angrepene er over i løpet av et par dager (i noen alvorlige tilfeller, kan de vare lenger), så du har alltid muligheten til ganske enkelt, ta tapet og være bedre forberedt til neste gang.

Hvordan kan jeg vite at datamaskinen min er aktivert i et botnett (og hva du skal gjøre)

Hvordan kan jeg vite at datamaskinen min er aktivert i et botnett (og hva du skal gjøre)

Hvis du er en privatperson, kan datamaskinen bli rekruttert i et botnett uten at du engang vet det.

Indikasjonene

Det er godt mulig at du ikke merker noe umiddelbart, men det finnes noen få tegn på at skadelig aktivitet kan romstere i bakgrunnen på maskinen din:

  • Hyppige krasj
  • Lenger nedlastingshastighet
  • Merkelige feilmeldinger

Hva kan du gjøre

Hvis du synes datamaskinen oppfører seg merkelig, er det best å gå til aksjon. Du må installere og kjøre vanlig virusskanning ved bruk av anerkjent antivirusprogramvare. Disse variantene anbefales til: Windows, Mac, and Linux.

En komplett skanning kan fortelle deg om det finnes skadevare på maskinen. I de fleste tilfellene, kan antivirusen fjerne viruset. En hurtig virusskanning online kan heller ikke skade.

Og husk, last aldri ned e-postvedlegg eller web-filer hvis du ikke vet nøyaktig hva de er og hvem som er avsender. Disse forsøkene på nettfiske (phishing), kan installere skadevare på maskinen uten at du legger merke til dette.

Vær forberedt

Egen organisasjon bør børe forberedt, og kunne håndtere mye høyere volum av nettrafikk eller serverforespørsler enn det du egentlig trenger. Bare for å være på den trygge siden.

Den beste løsningen er å forhindre risikoen av et DDoS-angrep i utgangspunktet, det gjør du ved å installere et skikkelig antivirus som beskytter mot skadevare. Bruk et CDN og sett opp en ratebegrensning basert på normal trafikk, er et annet godt forebyggende tiltak.

Forebygging er bedre enn å kurere, fordi så snart et DDoS-angrep er i gang og serveren er offline, kan det være kostbart å komme tilbake til normal drift – nedetid på nettstedet kan både påvirke bedriftens salg og omdømme. Pass på at egen virksomhet alltid er forberedt på alle slags angrep.