DDoS-angreb
Distributed Denial of Service
Hvad er et DDoS-angreb?
Et DDoS-angreb (Distributed Denial of Service) er en type cyberangreb, hvor en angriber forsøger at gøre en server, en tjeneste eller et helt netværk utilgængeligt ved at oversvømme det med enorme mængder falsk trafik. I modsætning til et almindeligt “denial of service”-angreb kommer trafikken ved et DDoS-angreb fra mange forskellige kilder på samme tid – deraf ordet “distributed”. Målet er typisk websteder, netbutikker og andre onlinetjenester, og angrebene rammer alle brancher og virksomhedsstørrelser, men gaming-, e-handels- og telebranchen ser oftere denne type angreb end andre.
Sådan fungerer et DDoS-angreb via botnets
Bag de fleste DDoS-angreb ligger et såkaldt botnet – et netværk af computere, servere og andre internetopkoblede enheder, som er blevet inficeret med malware uden ejerens vidende. Når en hacker har opbygget sit botnet, kan vedkommende fjernstyre tusindvis af “bots” samtidig og give dem besked på at sende forespørgsler mod en bestemt server via dens IP-adresse. Fordi anmodningerne kommer fra så mange forskellige maskiner og netværk på én gang, kan det være svært at skelne det ondsindede angreb fra almindelig, legitim trafik. Resultatet er, at serveren eller netværksforbindelsen løber tør for kapacitet, hvorved almindelige brugere enten oplever store forsinkelser eller slet ikke kan komme ind på webstedet.
Typer af DDoS-angreb
DDoS-angreb inddeles typisk i tre hovedkategorier, afhængigt af hvilket lag i netværksforbindelsen de retter sig mod:
- Volumetriske angreb – den mest almindelige type, hvor angriberen forsøger at bruge al den tilgængelige båndbredde ved at sende enorme datamængder mod målet. Et klassisk eksempel er DNS-forstærkning, hvor åbne DNS-servere narres til at sende store svar til offerets IP-adresse.
- Protokolangreb – udnytter svagheder i netværks- og transportlaget, for eksempel via et SYN-flood-angreb, der udmatter serverens ressourcer ved at misbruge TCP-håndtrykket.
- Applikationslagsangreb (lag 7) – retter sig direkte mod webapplikationen ved fx gentagne HTTP-anmodninger, og kan være særligt svære at opdage, fordi trafikken kan ligne almindelige brugerbesøg.
Angribere kombinerer ofte flere typer i samme angreb – for eksempel ved først at ramme netværkslaget og derefter skifte til et angreb mod selve webapplikationen for at omgå modforanstaltninger undervejs.
Sådan opdager du et DDoS-angreb
Der findes ingen garanteret metode til at forudse et DDoS-angreb, men der er en række typiske advarselstegn, virksomheder bør holde øje med:
- En pludselig og uforklarlig bølge af trafik, ofte fra samme IP-adresse eller -interval.
- Netværket bliver mærkbart langsommere eller opfører sig uregelmæssigt.
- Webstedet, netbutikken eller en anden onlinetjeneste går pludselig helt offline.
Løbende overvågning af netværkstrafikken gør det muligt at reagere hurtigt, hvis mønstrene ændrer sig markant.
Sådan beskytter virksomheder sig mod DDoS-angreb
Beskyttelse mod DDoS-angreb handler i høj grad om forberedelse, før angrebet rammer. Gode grundelementer i en forsvarsstrategi er blandt andet:
- En opdateret firewall, gerne suppleret med en Web Application Firewall (WAF), der kan filtrere ondsindet trafik fra applikationslaget.
- Løbende risikovurderinger af netværk, servere og software, så sårbarheder identificeres og lukkes, før de kan udnyttes.
- En klar handlingsplan med definerede roller, så it-teamet ved præcis, hvad der skal ske, hvis et angreb registreres.
- Teknikker som rate limiting (begrænsning af antal forespørgsler pr. kilde), sort hul-routing og Anycast-netværk, der kan aflaste og omdirigere trafik under et angreb.
- Opdateret antivirus- og sikkerhedssoftware på alle enheder, så de ikke selv bliver inficeret og gjort til del af et botnet.
Fordi DDoS-angreb kan koste virksomheder alt fra nedetid til tabt omsætning og skadet omdømme, er det en god idé løbende at teste og opdatere sin beredskabsplan – ikke kun at have den liggende i en skuffe.