DDoS-attack

När man pratar om cybersäkerhet är denial-of-service (DoS-attack) en cyberattack. Angriparen försöker attackera en maskin eller nätverksresurs för att göra den otillgänglig för användarna genom att tillfälligt eller på obestämd tid störa tjänster hos en “host” som är ansluten till internet. DoS, Denial of service, utförs vanligtvis genom att överhetta maskinen som är måltavlan, med massiva förfrågningar i ett försök att överbelasta system och förhindra att vissa eller att alla legitima förfrågningar upphör.

DDoS är en förkortning för distributed denial of service. En DDoS-attack, överbelastningsattack, innebär att den inkommande trafiken överbelastar det strategiskt utpekade målet med aktivitet från många olika källor, attacken leder till att systemet kraschar så det är mycket svårt att stoppa trafiken eftersom den kommer från så många olika källor. Till skillnad från andra typer av cyberattacker försöker denna typ av angrepp inte bryta igenom ett cyberförsvar eller angripa särskilda sårbarheter. Snarare leder en attack till att webbplatser och servrar blir otillgängliga för legitima användare. DDoS kan även användas som en distraktion för andra skadliga aktiviteter. 

Cyberbrottslingar som utövar DDoS-attacker riktar ofta in sig mot webbplatser eller tjänster hos högprofilerade webbservrar som banker, stora företag och nätbutiker. Längden på attackerna varierar, från timmar till månader. Attackerna kan leda till allt från förlust av intäkter till att företagets förtroende försämras.

I närmare 20 år har webbsidor blivit attackerade av DDoS-attacker. Tyvärr är detta ett populärt angreppssätt för många cyberbrottslingar och ökar konstant i populäritet, framförallt då det blir lättare och lättare att genomföra. För några år sedan var det framför allt stora företag som drabbades men idag är det inte ovanligt av även mindre företag drabbas. Små företag delar ofta webbhotell med andra företag, när ett företag attackeras blir resultatet att alla siter som använder samma webbhotell kraschar.

En cyberbrottsling som utför denna typ av attack använder mer än en unik IP-adress eller flera datorer, ofta från tusentals värdar som är infekterade med skadlig kod, malware. En distribuerad denial of service-attack involverar vanligtvis mer än cirka 3–5 noder på olika nätverk; färre noder kan kvalificera sig som en DoS-attack men är inte en DDoS-attack.

Flera maskiner kan generera mer angreppstrafik och är svårare att stänga av i jämförelse med en enda attackmaskin. Beteendet hos varje attackmaskin skiljer sig och kan vara sofistikerade, vilket gör det svårare att spåra och stänga av. Ur ett cybersäkerhets-perspektiv  är det även komplicerat att skilja legitim användartrafik från attacktrafik när den sprids från flera ursprungspunkter. Som ett alternativ eller en förstärkning av en DDoS-attack kan de innebära att IP-avsändaradresser (IP-adressförfalskning) ytterligare komplicerar identifiering och besegra attacken. Dessa attackerfördelar orsakar utmaningar för försvarsmekanismer. Det hjälper inte att bara köpa mer inkommande bandbredd än angreppets nuvarande volym, eftersom angriparen kan addera fler attackmaskiner.

Om ett företag blir utsatta för en DDoS-attack finns det olika sätt för företaget att angripa attacken. Bland annat AMS-metoder, Attack Mitigation System och IDMS-teknik, Intelligent DDoS Mitigation System. Om företaget har ett funktionellt system som konstant övervakar flera olika datapunkter för nätverkstrafiken, ger systemet en bra överblick över nätverkets mående.

Vid större DDoS-attacker kan IP-nummer vara förfalskade, då krävs det stora resurser det för att identifiera och hitta mönster gällande angriparnas angreppssätt. Några exempel på tillvägagångssätt är:

• DNS
• IDS/IPS
• Loggar från routrar
• Brandväggar
• E-post
• Webbservrar
• Routrar

Om attacken är av en mindre karaktär kan det räcka med lokalisera de aktuella IP-numren där anropen kommer från.