Hop til indhold
Sikkerhed

DDoS-angreb

Distributed Denial of Service

Hvad er et DDoS-angreb?

Et DDoS-angreb (Distributed Denial of Service) er en type cyberangreb, hvor en angriber forsøger at gøre en server, en tjeneste eller et helt netværk utilgængeligt ved at oversvømme det med enorme mængder falsk trafik. I modsætning til et almindeligt “denial of service”-angreb kommer trafikken ved et DDoS-angreb fra mange forskellige kilder på samme tid – deraf ordet “distributed”. Målet er typisk websteder, netbutikker og andre onlinetjenester, og angrebene rammer alle brancher og virksomhedsstørrelser, men gaming-, e-handels- og telebranchen ser oftere denne type angreb end andre.

Sådan fungerer et DDoS-angreb via botnets

Bag de fleste DDoS-angreb ligger et såkaldt botnet – et netværk af computere, servere og andre internetopkoblede enheder, som er blevet inficeret med malware uden ejerens vidende. Når en hacker har opbygget sit botnet, kan vedkommende fjernstyre tusindvis af “bots” samtidig og give dem besked på at sende forespørgsler mod en bestemt server via dens IP-adresse. Fordi anmodningerne kommer fra så mange forskellige maskiner og netværk på én gang, kan det være svært at skelne det ondsindede angreb fra almindelig, legitim trafik. Resultatet er, at serveren eller netværksforbindelsen løber tør for kapacitet, hvorved almindelige brugere enten oplever store forsinkelser eller slet ikke kan komme ind på webstedet.

Typer af DDoS-angreb

DDoS-angreb inddeles typisk i tre hovedkategorier, afhængigt af hvilket lag i netværksforbindelsen de retter sig mod:

  • Volumetriske angreb – den mest almindelige type, hvor angriberen forsøger at bruge al den tilgængelige båndbredde ved at sende enorme datamængder mod målet. Et klassisk eksempel er DNS-forstærkning, hvor åbne DNS-servere narres til at sende store svar til offerets IP-adresse.
  • Protokolangreb – udnytter svagheder i netværks- og transportlaget, for eksempel via et SYN-flood-angreb, der udmatter serverens ressourcer ved at misbruge TCP-håndtrykket.
  • Applikationslagsangreb (lag 7) – retter sig direkte mod webapplikationen ved fx gentagne HTTP-anmodninger, og kan være særligt svære at opdage, fordi trafikken kan ligne almindelige brugerbesøg.

Angribere kombinerer ofte flere typer i samme angreb – for eksempel ved først at ramme netværkslaget og derefter skifte til et angreb mod selve webapplikationen for at omgå modforanstaltninger undervejs.

Sådan opdager du et DDoS-angreb

Der findes ingen garanteret metode til at forudse et DDoS-angreb, men der er en række typiske advarselstegn, virksomheder bør holde øje med:

  • En pludselig og uforklarlig bølge af trafik, ofte fra samme IP-adresse eller -interval.
  • Netværket bliver mærkbart langsommere eller opfører sig uregelmæssigt.
  • Webstedet, netbutikken eller en anden onlinetjeneste går pludselig helt offline.

Løbende overvågning af netværkstrafikken gør det muligt at reagere hurtigt, hvis mønstrene ændrer sig markant.

Sådan beskytter virksomheder sig mod DDoS-angreb

Beskyttelse mod DDoS-angreb handler i høj grad om forberedelse, før angrebet rammer. Gode grundelementer i en forsvarsstrategi er blandt andet:

  • En opdateret firewall, gerne suppleret med en Web Application Firewall (WAF), der kan filtrere ondsindet trafik fra applikationslaget.
  • Løbende risikovurderinger af netværk, servere og software, så sårbarheder identificeres og lukkes, før de kan udnyttes.
  • En klar handlingsplan med definerede roller, så it-teamet ved præcis, hvad der skal ske, hvis et angreb registreres.
  • Teknikker som rate limiting (begrænsning af antal forespørgsler pr. kilde), sort hul-routing og Anycast-netværk, der kan aflaste og omdirigere trafik under et angreb.
  • Opdateret antivirus- og sikkerhedssoftware på alle enheder, så de ikke selv bliver inficeret og gjort til del af et botnet.

Fordi DDoS-angreb kan koste virksomheder alt fra nedetid til tabt omsætning og skadet omdømme, er det en god idé løbende at teste og opdatere sin beredskabsplan – ikke kun at have den liggende i en skuffe.

Eksempel
En netbutik oplever pludselig, at siden bliver ekstremt langsom og til sidst går helt ned, fordi tusindvis af inficerede computere i et botnet samtidig sender forespørgsler mod serveren i et DDoS-angreb.
Ofte stillede spørgsmål
Hvad betyder DDoS?
DDoS står for Distributed Denial of Service og betegner et cyberangreb, hvor mange enheder samtidig oversvømmer en server eller tjeneste med trafik for at gøre den utilgængelig.
Hvordan udføres et DDoS-angreb?
Et DDoS-angreb udføres typisk ved hjælp af et botnet – et netværk af inficerede computere og enheder – der på angriberens kommando sender enorme mængder forespørgsler mod en server via dens IP-adresse.
Hvad er forskellen på DoS og DDoS?
Et DoS-angreb kommer fra én enkelt kilde, mens et DDoS-angreb kommer fra mange forskellige kilder samtidig, typisk et botnet, hvilket gør det sværere at stoppe og filtrere fra.
Hvordan kan man se, om man er udsat for et DDoS-angreb?
Typiske tegn er en pludselig og uforklarlig stigning i trafik fra samme IP-område, en mærkbart langsommere eller ustabil netværksforbindelse, eller at hjemmesiden eller tjenesten pludselig går helt offline.
Hvordan beskytter man sig mod DDoS-angreb?
Beskyttelse omfatter blandt andet en opdateret firewall og Web Application Firewall, løbende risikovurderinger, rate limiting, Anycast-netværk og en klar beredskabsplan for, hvordan organisationen reagerer på et angreb.
Har din virksomhed en opdateret beredskabsplan mod DDoS-angreb? Brug lejligheden til at gennemgå jeres netværkssikkerhed og firewall-opsætning i dag, så I står bedre rustet, hvis angrebet kommer.