DDoS-angreb bliver kortere og mere intensive

DDoS-angreb er ikke et nyt koncept, og de har vist sig at være effektive, og en ny type, forstærkede DDoS-angreb, har vist sig at være endnu mere effektive. Tech-Test har snakket med Symantecs danske sikkerhedsekspert Peter Schjøtt om den nye tendens

En af de mest effektive måder at lægge en webserver ned på er også en af de mest enkle. Distributed Denial-of-Service, eller DDoS, handler om at få en webserver eller service til at opgive ævret og nægte at betjene legitime brugere, ved at overvælde den med aktivitet.

Men hvor de traditionelle angrebstyper gik på at køre en vedvarende angreb over mange timer eller måske ligefremt dage, så er de nye forstærkede DDoS-angreb korte men intensive. Ofte varer de kun få timer eller minutter, men er stadig ødelæggende for de fleste virksomheder, der ofte slet ikke er forberedt på disse voldsomme angreb.

”De nye amplified DDoS-angreb er voldsomme, og når de kan lægge servere og tjenester ned på kort tid, så er det fordi datamængden er voldsomt meget større end tidligere. Vi har faktisk set angreb med op til 60 gange så stor datamængde der rammer er server, og det kan bringe de fleste i knæ,” fortæller Peter Schjøtt, it-sikkerhedseksperter hos Symantec Danmark.

Kæmpe stigning i mængden af angreb

Symantecs rapport fortæller, at mellem januar og august 2014 er der set en stigning på 183 procent i forstærkede DDoS-angreb, og at de derved bliver den mest populære angrebstype i 2014.

Ifølge en undersøgelse af Neustra er 60 procent af alle virksomheder i 2013 blev påvirket af et DDoS-angreb, og 87 procent blev ramt mere end en gang.

Vi spurgte Peter Schjøtt om, hvorfor de cyberkriminelle overhovedet udførte den slags angreb, hvad får de ud af det?

”I langt de fleste tilfælde er det simpelthen et spørgsmål om ’hit med pengene’. Ren og skær afpresning. Hvis virksomhederne ikke betaler, ja så bliver de angrebet. Nogle gange handler det også om hævn eller ønsket om at skade en virksomhed der måske står for noget som angriberne ikke kan gå ind for,” fortæller Peter Schjøtt.

En af årsagerne til den voldsomme stigning i DDoS-angreb, specielt den forstærkede type, er at det er utrolig let at konstruere et sådan angreb. Der findes hjemmesider hvor du kan bestille DDoS-angreb, og de kan købes for så lidt som 5 dollars for en angreb.

Den slags hjemmesider gør, at folk og grupper der ellers aldrig ville have kunne angribe webservere eller hjemmesider, nu pludselig kan gøre det, og vel og mærket med rimelig sikkerhed for, at de aldrig bliver opdaget. Når den mulighed er der, ja så er der rigtig mange der griber den, vurderer Symantec i deres rapport Continued rise of DDoS.

”Folk skal også være opmærksom på, at det jo ikke kun er hjemmesider der bliver ramt. DDoS-angreb rammer lige så vel cloud-tjeneter og datacentre, og der kan virksomheder virkelig rammes på pengepungen. Et datacenter skal ikke være nede i mange minutter før pengene begynder at fosse ud,” siger Peter Schjøtt.

Sådan foregår et angreb

Et forstærket DDoS-angreb er forbløffende let at fremstille, og det hele starter med at angriberen sender en kommando til hans botnet (der ofte er ret lille) om at starte angrebet. Computerne der er med i botnettet sender så en lille forfalsket DNS- eller NTP-forespørgsel (DNS = Domain Name System, NTP = Network Time Protocol) til en række åbne server.

De forfalskede forespørgsler er bygget sådan op, at de servere der modtager dem, tror at de kommer fra den server eller tjeneste, som de cyberkriminelle ønsker at angribe. Serverne sender nu pludselig en stor forstærket mængde svar ’retur’ til den intetanende server, og så er der et forstærket DDoS-angreb i gang.

”Angrebstypen kan ikke bruge alle servere som ’forstærkere’. Det kræver at serverne er konfigureret forkert, eller ikke patchet op. Mange tror desværre, at det kun er Windows-servere der er sårbare overfor denne form for ressourceudnyttelse, men det er langt fra sandheden,” fortæller Peter Schjøtt og fortsætter:

”Dem der udfører denne slags angreb, bruger ofte Unix-servere til deres formål. De har typisk langt flere ressourcer til rådighed, og da der hele tiden dukker mere og mere malware op til Unix, er det stadig lettere at udnytte dem til disse formål. Derfor er det nødvendigt med en ordentlig styring af, hvad der sker på Unix-maskinerne. Alle de discipliner vi kender fra Windows-verdenen, skal overføres til Unix-verdenen.”

Routere kan bruges i angreb

Tiden hvor det kun var computere der blev brugt i botnets til DDoS-angreb er så også slut. Peter Schjøtt fortæller til Tech-Test, at der findes ret meget netværksgrej i virksomheder og private hjem, der har sårbarheder, og som derfor kan bruges til DDoS-angreb.

”Hvor mange private patcher deres router? Hvor mange kan overhovedet patche deres router?” spørger Peter Schjøtt.

”Routere i dag, både i private hjem og hos virksomheder, er meget avancerede enheder. Ofte kører de på en Linux-version, og Linux har også sårbarheder. Vi kender til en del routere i dag der har sårbarheder, så de kan udnyttes i botnet, og mange små routere hos private, bliver pludselig til en meget stor ressource,” fortæller Peter Schjøtt.

Private der har deres egen private router kan godt patche den, men Peter Schjøtt tvivler på at ret mange gør det. Problemet bliver endnu større når vi snakker om de routere der følger med fra internetudbyderen.

”De medfølgende routere er ofte låst, så folk ikke selv kan opdatere den, og så er de afhængige af, at deres internetudbyder husker at gøre det,” siger Peter Schjøtt.

Forbered dig

Ifølge Symantec er der tre partner i et forstærket DDoS-angreb. Dels dem det går ud over, dem der udfører angrebet og endelig dem, hvis udstyr der bliver brugt til at udføre angrebet med.

Både dem det går ud over og dem, hvis udstyr bliver brugt, kan og bør ifølge Peter Schjøtt tage forholdsregler imod denne slags angreb.

”Alle virksomhed risikerer at blive ramt af et DDoS-angreb, og derfor er det vigtigt at være forberedt. Hvis de ikke selv har en it-professionel der ved præcist, hvordan han skal forebygge eller håndtere et DDoS-angreb, så er det vigtigt at lave en aftale med sin udbyder, og være sikker på, at de kan håndtere det,” siger Peter Schjøtt og fortsætter.

”Så skan du have styr på dine kommandoveje. Hvem skal kontaktes hvis du bliver angrebet. Emails virker pludselig ikke, og har du ip-telefoni er den måske også væk. Har du de rigtige numre inde på mobiltelefonen? Og ikke mindst – hvad siger du til pressen? Hvis du leverer en vigtig service og den pludselig er afbrudt, så kan du være sikker på at de henvender sig. Hvem siger hvad og til hvem?”

Endelig påpeger han at det er vigtigt at være opmærksom på, om din egen server, router eller måske computer(e) er en del af et botnet.

”Det kan være svært at finde ud af. Men det starte med, at du skal kende dit normale niveau. Du er nødt til at monitorere dit netværk og derved finde ud af, hvor dit normale leje er. Når du kender den tilstand, er det lettere at finde ud af, om du er en del af et botnet-angreb. Men det kræver at du bruger tid og ressourcer på at overvåge, og det skal gøres løbende og hele tiden,” slutter Peter Schjøtt.

Nyttige links

Læs også:

Gratis beskyttelse til dine computere fra Sophos Det virker næsten for godt til at være sandt. It-sikkerhedsproducenten Sophos forærer deres produkt, Sophos Home væk ganske gratis. Programmet dækker ...
Test-selv det kommende Norton sikkerhedsprogram En af verdens største producenter af sikkerhedssoftware, Symantec, er på vej med deres nyeste version af deres Norton-produkter - Norton Security og N...

Del artiklen på

Om Lars Bennetzen (1791 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992. Han startede som redaktør på det nu hedengangne it-blad, PC World, og arbejdede efterfølgende som redaktør på ugebladet Ingeniøren. Derefter gik turen til Aller, hvor han arbejdede som it-redaktør på blade som Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test.