Vad är en DDoS-attack?
DDoS attacker uppnår effektivitet genom att använda flera komprometterade datorsystem som källor till attacktrafik. Utnyttjade maskiner kan inkludera datorer och andra nätverksresurser såsom IoT-enheter.
Från en övergripande nivå kan en DDoS attack liknas vid en oväntad trafikstockning som blockerar vägen och hindrar vanlig trafik från att nå sin destination.
Hur fungerar en DDoS attack?
DDoS attacker utförs med nätverk av internetanslutna maskiner.
Dessa nätverk består av datorer och andra enheter (såsom IoT-enheter) som har infekterats med skadlig kod, vilket gör att de kan styras på distans av en angripare. Dessa individuella enheter kallas för bots (eller zombies), och en grupp av bots kallas för ett botnät.
När ett botnät har etablerats kan angriparen dirigera en attack genom att skicka fjärrinstruktioner till varje bot.
När en målsatt servers eller nätverks IP-adress belastas av ett botnät, skickar varje bot förfrågningar till målet, vilket potentiellt kan överbelasta servern eller nätverket och resultera i att normal trafik nekas service.
Eftersom varje bot är en legitim internetenhet, kan det vara svårt att skilja attacktrafik från normal trafik.
Hur identifierar man en DDoS attack?
Den mest uppenbara symtomen på en DDoS attack är när en webbplats eller tjänst plötsligt blir långsam eller otillgänglig. Men eftersom flera orsaker – såsom en legitim trafikökning – kan skapa liknande prestandaproblem, krävs vanligtvis ytterligare utredning. Trafikanalystjänster kan hjälpa till att upptäcka vissa av dessa kännetecken för en DDoS attack:
- Misstänkt stor mängd trafik som kommer från en enda IP-adress eller IP-intervall
- En flod av trafik från användare som delar ett gemensamt beteendeprofil, såsom enhetstyp, geolokalisering eller webbläsarversion
- En oförklarlig ökning av förfrågningar till en enskild sida eller en ändpunkt
- Märkliga trafikmönster såsom toppar under konstiga tider på dagen eller mönster som verkar onaturliga (t.ex. en topp var tionde minut)
Det finns andra, mer specifika tecken på DDoS attacker som kan variera beroende på typen av attack.
Vilka är några vanliga typer av DDoS attacker?
Olika typer av DDoS attacker riktar sig mot olika delar av en nätverksanslutning. För att förstå hur olika DDoS attacker fungerar, är det nödvändigt att förstå hur en nätverksanslutning skapas.
En nätverksanslutning på internet består av många olika komponenter eller ”lager”. Liksom att bygga ett hus från grunden, har varje lager i modellen en annan funktion.
OSI-modellen, som visas nedan, är en konceptuell ram som används för att beskriva nätverksanslutning i 7 olika lager.
Bild av OSI-modellen med 7 lager: applikation, presentation, session, transport, nätverk, dataöverföring, fysisk Nästan alla DDoS attacker innebär att en målenhet eller nätverk överväldigas med trafik, men attacker kan delas in i tre kategorier. En angripare kan använda en eller flera olika angreppsvektorer, eller alternera mellan angreppsvektorer som svar på motåtgärder från målet.
Applikationslagerattacker
Målet med attacken:
Ibland kallad en lager 7 DDoS attack (med hänvisning till det 7:e lagret i OSI-modellen), syftar dessa attacker till att utmatta målets resurser för att skapa en tjänst nekande attack.
Attackerna riktar sig mot lagret där webbsidor genereras på servern och levereras som svar på HTTP-förfrågningar. En enskild HTTP-förfrågan är beräkningsmässigt billig att utföra på klientens sida, men det kan vara dyrt för målservern att svara på, eftersom servern ofta laddar flera filer och utför databasförfrågningar för att skapa en webbsida.
Lager 7 attacker är svåra att försvara sig mot, eftersom det kan vara svårt att skilja skadlig trafik från legitim trafik.
HTTP-flod
DDoS attack: många HTTP GET förfrågningar från botar till offer HTTP-flod Denna attack liknar att trycka på uppdatera-knappen i en webbläsare om och om igen på många olika datorer samtidigt – stora mängder HTTP-förfrågningar överöser servern, vilket resulterar i en tjänst nekad attack.
Denna typ av attack varierar från enkel till komplex.
Enklare genomföranden kan komma åt en URL med samma intervall av attackerande IP-adresser, referenser och användaragenter. Komplexa versioner kan använda ett stort antal attackerande IP-adresser och riktar sig mot slumpmässiga URL:er med slumpmässiga referenser och användaragenter.
Protokollattacker
Målet med attacken:
Protokollattacker, även kända som tillståndsmättade attacker, orsakar en tjänstestörning genom att överkonsumera serverresurser och/eller resurser hos nätverksutrustning som brandväggar och belastningsbalanserare.
Protokollattacker utnyttjar sårbarheter i lager 3 och lager 4 i protokollstacken för att göra målet otillgängligt.
SYN-flod
En SYN-flod kan liknas vid en arbetare i ett förråd som får förfrågningar från butikens framsida.
Arbetaren tar emot en förfrågan, hämtar paketet och väntar på bekräftelse innan hen tar med paketet till framsidan. Arbetaren får sedan många fler förpackningsförfrågningar utan bekräftelse tills hen inte kan bära fler paket, blir överväldigad och förfrågningar börjar obesvarade.
Denna attack utnyttjar TCP-handslaget – sekvensen av kommunikationer genom vilken två datorer initierar en nätverksanslutning – genom att skicka en stor mängd TCP ”Initial Connection Request” SYN-paket med förfalskade käll-IP-adresser till målet.
Målmaskinen svarar på varje anslutningsförfrågan och väntar sedan på det sista steget i handslaget, vilket aldrig sker, vilket utmattar målets resurser i processen.
Volymetriska attacker
Målet med attacken:
Denna kategori av attacker försöker skapa överbelastning genom att konsumera all tillgänglig bandbredd mellan målet och det större internet. Stora mängder data skickas till ett mål genom att använda en form av förstärkning eller en annan metod för att skapa massiv trafik, såsom förfrågningar från ett botnät.
DNS-förstärkning
En DNS-förstärkning är som om någon skulle ringa en restaurang och säga ”Jag tar en av allt, snälla ring tillbaka mig och upprepa hela min beställning,” där återuppringningsnumret faktiskt tillhör offret. Med väldigt lite ansträngning genereras ett långt svar och skickas till offret.
Genom att göra en förfrågan till en öppen DNS-server med en förfalskad IP-adress (offrets IP-adress), får målet IP-adress sedan ett svar från servern.
Vad är processen för att mildra en DDoS attack?
Den viktigaste överväganden vid att mildra en DDoS attack är att skilja mellan attacktrafik och normal trafik.
Till exempel, om en produktlansering får ett företags webbplats att svämmas över av ivriga kunder, är det ett misstag att stänga av all trafik. Om företaget plötsligt får en ökning av trafik från kända angripare, kan insatser för att mildra en attack vara nödvändiga.
Svårigheten ligger i att skilja de riktiga kunderna från attacktrafiken.
I den moderna internetvärlden kommer DDoS-trafik i många olika former. Trafiken kan variera i design från icke-förfalskade attacker med en enda källa till komplexa och adaptiva multi-vektorattacker.
En multi-vektor DDoS attack använder olika angreppsbanor för att överväldiga ett mål på olika sätt, vilket potentiellt distraherar motåtgärder på någon av banorna.
Ett angrepp som riktar sig mot flera lager av protokollstacken samtidigt, såsom en DNS-förstärkning (riktad mot lager 3/4) i kombination med en HTTP-flod (riktad mot lager 7) är ett exempel på en multi-vektor DDoS attack.
Att mildra en multi-vektor DDoS attack kräver en mängd olika strategier för att bemöta olika banor.
Generellt sett, desto mer komplicerad attacken är, desto mer sannolikt är det att attacktrafiken kommer att vara svår att separera från normal trafik – målet för angriparen är att smälta in så mycket som möjligt, vilket gör att motåtgärder blir så ineffektiva som möjligt.
Försök att mildra en attack som innebär att trafik släpps ut eller begränsas okontrollerat kan kasta ut bra trafik tillsammans med den dåliga, och attacken kan också modifieras och anpassas för att kringgå motåtgärder. För att övervinna ett komplext försök till störning ger en skiktad lösning störst nytta.
Svart-håls routing
En lösning tillgänglig för nästan alla nätverksadministratörer är att skapa en svart hål rutt och leda trafiken till den rutten. I sin enklaste form, när svart hål filtrering implementeras utan specifika begränsningskriterier, riktas både legitim och skadlig nätverkstrafik till en nullruta eller svart hål, och tas bort från nätverket.
Om en internetegendom upplever en DDoS attack, kan egendomens internetleverantör (ISP) skicka all trafik till webbplatsen till ett svart hål som en försvarsmetod. Detta är inte en idealisk lösning, eftersom det effektivt ger angriparen deras önskade mål: det gör nätverket otillgängligt.
Frekvensbegränsning
Att begränsa antalet förfrågningar en server kommer att acceptera under ett visst tidsintervall är också ett sätt att mildra förnekande av tjänst attacker.
Medan frekvensbegränsning är användbart för att sakta ner webbskrapor från att stjäla innehåll och för att mildra bruteforce-inloggningsförsök, kommer det ensamt sannolikt vara otillräckligt för att hantera en komplex DDoS attack effektivt.
Ändå är frekvensbegränsning en användbar komponent i en effektiv DDoS-mitigeringsstrategi. Lär dig mer om Cloudflares frekvensbegränsning.
Webbapplikationsbrandvägg
En webbapplikationsbrandvägg (WAF) är ett verktyg som kan hjälpa till att mildra en lager 7 DDoS attack. Genom att placera en WAF mellan internet och en ursprungsserver kan WAF fungera som en omvänd proxy och skydda den målsatta servern från vissa typer av skadlig trafik.
Genom att filtrera förfrågningar baserat på en serie regler som används för att identifiera DDoS-verktyg, kan lager 7 attacker försvåras. Ett viktigt värde av en effektiv WAF är förmågan att snabbt implementera anpassade regler som svar på en attack.