Hvad er et DDoS-angreb? Den komplette guide

Et Distributed Denial of Service (DDoS) angreb er et ondsindet forsøg på at gøre en online tjeneste utilgængelig ved at overvælde den med trafik fra flere kilder. Denne guide vil lære dig alt, hvad du behøver at vide om DDoS-angreb, herunder hvordan du forsvarer dig mod dem.

Hvad er et DDoS-angreb?

Et DDoS-angreb er en ulovlig form for hacking, hvor en strøm af trafik rettes mod en server for at forhindre folk i at få adgang til tilknyttede online tjenester og sider.

Der er mange grunde til, at folk måske ønsker at starte et DDoS-angreb. Nogle mennesker kan være vrede kunder eller hacktivister, der ønsker at nedlægge en virksomheds servere blot for at markere en pointe. Andre gør det måske for sjov eller i protest mod noget.

Selvom DDoS-angreb kan bruges til at stjæle fra en virksomhed, er de primært en økonomisk bekymring. For eksempel kan en virksomheds internetaktiviteter blive forstyrret eller stoppet af en konkurrent for at stjæle kunder. Et andet eksempel er afpresning, hvor angribere målretter en virksomhed og installerer malware eller ransomware på deres servere, før de kræver en stor løsesum for at ophæve skaden.

Desværre er DDoS-angreb blevet mere hyppige og stærkere i de senere år, da internettet er blevet stadig vigtigere for virksomheder og enkeltpersoner. Stigningen i IoT-enheder har også spillet en rolle i dette, da mange af disse enheder er nemme at hacke og kan bruges til at skabe botnets, der lancerer angreb.

Hvordan fungerer et DDoS-angreb?

Et DDoS-angreb er, når mange hackede computere bruges til at sende trafik til en hjemmeside eller server, hvilket gør det svært for siden eller serveren at fungere. Dette kan gøres ved at fjernstyre disse computere ved hjælp af et botnet, som er en samling af bots.

Efter et etableret botnet kan angriberen sende fjernkommandoer til hver bot for at dirigere et angreb. Dette kan overbelaste målets IP-adresse med forespørgsler, hvilket resulterer i et denial-of-service-angreb på rutinetrafik.

Fordi hver bot er en faktisk enhed på internettet, kan det være udfordrende at afgøre, om unormal trafik er forventet.

Hvordan identificerer man et DDoS-angreb?

Det sværeste ved et DDoS-angreb er, at du ikke kan se nogen advarselstegn. Normalt vil fremtrædende hackingkollektiver give advarsler, før de lancerer et angreb, men de fleste angribere vil blot beordre et angreb uden varsel.

Folk fortæller dig måske ikke altid, hvis de ikke kan lide indholdet på din hjemmeside. De kan være bange for at sige noget. Men hvis noget er galt, vil de fortælle dig det. De fortæller dig måske ikke med det samme, men de vil senere. Det er fordi folk normalt ikke tjekker din hjemmeside, som du gør. Du tror, alt er okay, men nogle gange er det ikke. Du skal være forsigtig, fordi der nogle gange er problemer, som du ikke kan se med det samme.

At finde kilden til et Distributed Denial of Service-angreb kan være svært. Angrebet kan fortsætte i mange timer, og du kan muligvis ikke stoppe det med det samme. Dette betyder, at du vil miste indtægter og service i timevis.

Afbøde et DDoS-angreb

Den bedste måde at beskytte din hjemmeside mod et DDoS-angreb er at opdage det så hurtigt som muligt. Hvis du bemærker nogen af følgende tegn, betyder det, at du i øjeblikket er under et DDoS-angreb:

• Langsom indlæsning 
• Serveren svarer med en 503
• TTL udløber
• En overdreven mængde spam-kommentarer
• Netværk pludselig afbrudt
• Der er typiske mønstre i trafikken, som spidser på mærkelige tidspunkter

De mest almindelige typer af DDoS-angreb

DDoS-angreb bruges af kriminelle til at målrette en række netværksforbindelser. At forstå det grundlæggende i netværk er afgørende for at forstå, hvordan flere typer af DDoS-angreb fungerer.

En internetforbindelse har flere forskellige dele, også kendt som lag. Hvert lag har et specifikt formål.

OSI-modellen er en grafisk måde at repræsentere, hvordan forskellige dele af et netværk er forbundet. Men det nuværende internet er baseret på et mere enkelt system kaldet TCP/IP. OSI-modellen er stadig i brug, fordi den hjælper folk med at se og forstå, hvordan netværk fungerer og fejlfinde eventuelle problemer.

Der er tre typer af DDoS-angreb. Den første type er, når en enhed overbelastes med trafik. Den anden type er, når et netværk overbelastes med trafik. Den tredje type sker, når en angriber bruger mere end en angrebsvektor til at overvælde deres mål.

Applikationslagsangreb

Brugeroplevelsen begynder, når en person først kontakter internettet. Applikationslags DDoS-angreb stopper software fra at fungere, så folk ikke kan se noget indhold. Webservere er ofte målrettet i disse angreb, men andre programmer som SIP-stemtjenester og BGP kan også blive angrebet.

TCP/IP-protokollen kan overføre data mellem enheder på et netværk. Men denne protokol er meget sårbar over for DDoS-angreb. Dette betyder, at nogen kan angribe din enhed og stoppe den fra at fungere ved at sende en masse data på én gang. Selvom nogle mennesker kan blive frustrerede over dette, er det stadig vigtigt at bruge en sikker protokol til online transaktioner. Brug af kryptering til kommunikation beskytter begge parter mod aflytning og aflytning. De fleste DDoS-angreb bruger langt færre pakker pr. sekund.

Dette angreb ville kræve brug af den specifikke protokol for den målrettede applikation, hvilket kan involvere håndtryk og overholdelse. Disse slags angreb vil primært blive drevet af IoT-gadgets, der ikke let kan forfalskes.

Eksempel på applikations DDoS-angreb

HTTP-flood

Dette er en server, der accepterer forespørgsler fra mange forskellige computere. Denne metode, som at opdatere en webside på mange pc'er samtidig, sender mange HTTP-forespørgsler til serveren, hvilket overbelaster den. Angrebet kan være simpelt eller komplekst.

Én URL kan tilgås ved hjælp af det samme udvalg af angribende IP-adresser, henvisningssider og brugeragenter. Dette gør det lettere for angriberen at finde og bruge mål-URL'en. Mere komplekse variationer kan målrette en række forskellige URL'er ved hjælp af forskellige henvisere og brugeragenter til at få adgang til dem.

Protokolangreb

En protokol-flood er et DDoS-angreb, der sender masser af trafik til en tjeneste eller et netværk, hvilket gør det svært at bruge. Udnyttelse af sårbarheder i lag tre og lag fire protokolstakken.

DDoS-angreb retter sig ofte mod mange lavsikkerhed, ubeskyttede og usikrede protokoller. DDoS-angreb retter sig ofte mod internetkommunikationsstandarder. Dette skyldes, at mange af disse systemer bruges over hele verden, og det er svært at ændre dem hurtigt. Desuden, fordi mange protokoller har en iboende kompleksitet, selv efter at de er blevet genovervejet for at adressere aktuelle fejl, opstår der nye sårbarheder, der tillader nye typer af protokolangreb samt netværksangreb.

Eksempler på protokol DDoS-angreb

(BGP) kapring

Cloud-baserede tjenester indeholder en masse værdifuld information, som datatyve ønsker. Dette skyldes, at de kan få nyttige oplysninger fra disse tjenester. Hvis der er et databrud fra en af disse udbydere, kan det være meget farligt. Nogen kan starte et DDoS-angreb mod en virksomhed ved hjælp af protokoller højere end skyen. BGP (Border Gateway Protocol) kommunikerer information om netværksadresserum.

BGP-opdateringer bruges til at dele information mellem netværk. Hvis nogen sender en falsk opdatering, kan trafikken gå til et andet netværk. Dette kan bruge ressourcer og gøre tingene overbelastede. Opgradering til en mere sikker version af BGP ville være tidskrævende og dyrt, fordi titusindvis af netværksoperatører over hele verden bruger det.

SYN-flood

En TCP SYN-flood er som en forsyningsarbejder, der modtager ordrer fra forsiden af butikken.

Chaufføren får pakken, venter på bekræftelse og bærer den derefter foran efter at have modtaget en anmodning. Medarbejderen får adskillige leveringsanmodninger uden bekræftelse, indtil de ikke er i stand til at bære flere forsendelser. Dette kan få dem til at blive overvældet.

I dette angreb sender en angriber mange pakker til et offer. Pakkerne har falske adresser. De udnytter håndtrykket, som to computere bruger til at starte en netværksforbindelse.

En indtrængers mål er at tillade så mange forbindelsesforsøg som muligt, før de lukker sine ressourcer.

Volumetriske angreb

Dette angreb sigter mod at bruge al internetbåndbredden mellem målet og resten af verden. Dataene sendes til et mål på en af to måder: forstærkning eller en anden metode til at generere enorm trafik, såsom forespørgsler fra et botnet.

Eksempler på volumetriske angreb

DNS-forstærkning

Angriberen sender små forespørgsler til en DNS-server, men serveren forstærker forespørgslen til en meget større nyttelast, der nedbryder offerets servere. Denne type angreb er kendt som et forstærknings DDoS-angreb.

DNS-forstærkning er en type netværksangreb, hvor angriberen sender meddelelser til et offers netværk ved hjælp af DNS-servere. Pakkerne kan forstærkes, hvilket gør dem sværere at blokere.

DNS-forstærkning er et angreb, hvor nogen narrer en DNS-resolver til at sende dem en masse information. Dette sker, når de sender en falsk forespørgsel til DNS-resolveren med en adresse, der ikke er reel. Fordi så mange mennesker gør dette, og der er så mange DNS-resolvers, kan offerets netværk hurtigt blive overvældet.

Afbøde et DDoS-angreb

Når et DDoS-angreb rammer folk, er de ofte forvirrede. Mange sikkerhedssystemer giver ikke detaljerede oplysninger om den indkommende trafik. Det eneste, der er sikkert ved et DDoS, er, at dine kunders online applikationer har været utilgængelige på grund af en netværksafbrydelse. Problemet forværres, hvis en on-premises sikkerhedsenhed beskytter det målrettede netværk.

At bruge gammel software er ikke sikkert, hvis du har en computer, der bruger gammel software. Dette skyldes, at der kan være sikkerhedsrisici, som du ikke er opmærksom på. Du skal opdatere din computer regelmæssigt med de nyeste patches og software for at løse dette. Men dette kan være svært, fordi nye sårbarheder konstant opdages. Hackere kan bruge disse sårbarheder til at hacke din computer og stjæle dine oplysninger.

Nogle angribere kan bruge et DDoS til at opnå deres mål. Der er dog flere forhindringer. Sikkerhedsløsninger, der er on-premises, kan ikke forhindre et angreb i at ske. Før angrebet når en on-premises filtreringsenhed, kan volumetriske angreb tilstoppe den indkommende internetforbindelse og få den opstrøms internetudbyder til at blive overvældet og sortere al indkommende trafik, hvilket afskærer det målrettede netværk fra internettet. 

Hvordan forsvarer man sig mod DDoS-angreb?

Der er mange måder at forsvare sig mod DDoS-angreb. Det vigtigste er at have en plan på plads, før du bliver angrebet.

Øg båndbredden

At sikre, at din hosting-infrastruktur kan håndtere en masse trafik, er en af de vigtigste ting, du kan gøre for at beskytte dig mod DDoS-angreb. Dette betyder, at du bør planlægge for uventede trafikspidser, som kan ske, når nogen hacker ind på din hjemmeside. Men at øge din båndbredde betyder ikke altid, at du vil være beskyttet mod DDoS-angreb.

Når du øger din båndbredde, bliver det sværere for angribere at bryde ind på din hjemmeside. Du kan dog forbedre din hjemmesides sikkerhed ved at bruge en række foranstaltninger.

Indstil server-niveau DDoS-afbødning

Nogle webhosts har DDoS-afbødningssoftware på serverniveau. Denne funktion er ikke altid tilgængelig, så du bør spørge din webhost, om de tilbyder det. Hvis de gør det, så find ud af, om det er en gratis service, eller om der er en afgift for det. Tilgængeligheden af denne service afhænger af udbyderen og hostingplanen.

Flyt til cloud-baseret hosting

Cloud-baseret hosting er en type webhosting, der bruger cloud computing til at levere sine tjenester. Cloud-baseret hosting er mere skalerbar og kan være mere pålidelig end traditionel webhosting.

En af fordelene ved cloud-baseret hosting er, at den kan være mere modstandsdygtig over for DDoS-angreb. Dette skyldes, at cloud-udbydere har ressourcerne til at absorbere og aflede DDoS-angreb.

Hastighedsbegrænsning

Begrænsning af antallet af forespørgsler, en server vil acceptere inden for en bestemt tidsramme, kan hjælpe med at forhindre denial-of-service-angreb. Hastighedsbegrænsning kan hjælpe med at stoppe webscrapere fra at stjæle information og reducere brute force-login, men det er måske ikke nok til at håndtere et avanceret DDoS-angreb alene.

Brug et content delivery network (CDN)

Et CDN er et netværk af servere, der leverer indhold til brugere baseret på deres geografiske placering. CDNs kan bruges til at forbedre ydeevnen af hjemmesider og beskytte dem mod DDoS-angreb.

Når du bruger et CDN, caches din hjemmesides statiske indhold på CDN's servere. Dette indhold leveres derefter til brugere fra den server, der er tættest på deres placering. Et CDN kan hjælpe med at forbedre din hjemmesides ydeevne og beskytte den mod DDoS-angreb.

Du kan bruge flere CDNs til at levere din hjemmesides statiske indhold fra forskellige servere verden over. Dette gør din hjemmeside mere pålidelig og kraftfuld. Derudover kan du ved at bruge en Multi-CDN-løsning drage fordel af et netværk af PoPs leveret af flere CDN-leverandører.

Sort hul-routing

En sort hul-rute er en fantastisk måde for netværksadministratorer at håndtere næsten ethvert problem. Når sort hul-filtrering udføres uden komplekse regler, anvendes en null-rute til at afvise både god og dårlig netværkstrafik.

Hvis et DDoS-angreb målretter en server, kan internetudbyderen (ISP) forsøge at stoppe angrebet ved at omdirigere al trafik fra siden til et sort hul. Dette er ikke ideelt, fordi det giver angriberen, hvad de ønsker: at gøre netværket utilgængeligt.

Brug en webapplikationsfirewall (WAF)

En WAF er en type sikkerhedssoftware, der hjælper med at beskytte hjemmesider mod angreb. WAF'er inspicerer indkommende trafik og blokerer eller omdirigerer forespørgsler, der indeholder ondsindet kode.

Du kan bruge en WAF til at beskytte din hjemmeside mod DDoS-angreb. Du skal dog sørge for, at WAF'en er korrekt konfigureret. Ellers kan den blokere legitim trafik.

Overvåg dit netværk for usædvanlig aktivitet

Du bør overvåge dit netværk for usædvanlig aktivitet. Dette inkluderer overvågning for pludselige stigninger i trafik og mærkelige forespørgsler.

Hvis du bemærker nogen usædvanlig aktivitet, bør du undersøge det med det samme. Det kan være et tegn på, at din hjemmeside er under angreb.

I en nøddeskal

DDoS-angreb kan være ødelæggende for virksomheder. De kan forårsage nedetid, tabt indtægt og skade på dit omdømme.

Du kan dog beskytte din hjemmeside mod DDoS-angreb ved at bruge en række foranstaltninger, herunder server-niveau DDoS-afbødning, cloud-baseret hosting, hastighedsbegrænsning og brug af et CDN. Du bør også overvåge dit netværk for usædvanlig aktivitet og undersøge enhver mistænkelig aktivitet med det samme.

Ved at tage disse skridt kan du hjælpe med at sikre, at din hjemmeside er tilgængelig og tilgængelig for dine brugere, selv i lyset af et DDoS-angreb.

DDoS-angreb FAQs