Hva er et DDoS angrep?


DDoS angrep

I den senere tid har vi hørt om begrepet DDoS angrep på banker, mediehus, datasentre og andre viktige samfunnsmål, men hva er egentlig et DDoS angrep. I denne artikkelen ser jeg litt nærmere på akkurat dette.

Definisjon

La oss starte med å definere de to viktigste begrepene her:

  • Distribuert angrep (Denial-of-Service) er det samme som et DoS angrep.
  • Distribuert tjenestenekt (Distributed Denial-of-Service) er det samme som et DDoS angrep).

Begrepene brukes innen Informasjons- og IT-sikkerhet til å beskrive et angrep hvor noen prøver å hindre andre å få tilgang til en tjeneste, ressurs eller lignende. Dette gjøres normalt ved å sende uendelig mange pakker til en og samme server/IP-adresse gjennom et botnet med det mål å overbelaste servernes kapasitet, slik at serveren og dens tjenester blir utilgjengelige for brukerne.

Med botnet menes en gruppe av datamaskiner (også kalt “zombies“) som er blitt smittet av malware for å utføre ulike oppgaver for eieren av botnettet. Botnettet kontrolleres gjennom å sende instruksjoner til nettets zombies fra en eller flere Command & Control (C&C) servere.

Et vellykket DDoS angrep fører til at tjenesten, f.eks. en server, datasenter, switch/router e.l. blir utilgjengelig for dem som skal ha tak i dem.

Tjenestenektangrep har vokst til å bli et problem på Internett, særlig distribuerte varianter (Distributed DoS, DDoS), hvor flere «slave»-maskiner brukes til å angripe en eller flere maskiner via nettverket. Alle disse maskinene samlet vil ha større båndbredde enn offeret, noe som utnyttes til å sende så mye data til offeret at legitim trafikk ikke vil komme igjennom.

Et tjenestenektangrep må ikke nødvendigvis utføres via et nettverk. Det er mulig å lage programmer som ikke gjør annet enn å kopiere seg selv. Etter kort tid vil prosessoren bli overarbeidet og systemet vil stoppe. Dette er i såfall et DoS angrep og ikke et DDoS angrep.

Slik ser et DDoS angrep ut

Ludovic Fauvet fra VideoLAN har via visualiseringsverktøyet Logstalgia laget en grafisk framstilling av forespørsler mellom besøkende PC-er og en gitt server.

Det endelige resultat ser ut som det klassiske arkadespillet Pong – bare i en litt mer overdådig variant.

Mens vanlige logger viser en jevn flyt av forespørsler, er DDoS-angrep nokså annerledes. Her er «besøket» så målrettet og intenst at det nesten ser ut som mottakeren tar fyr.

Slik ser altså et DDoS-angrep ut:

httpv://www.youtube.com/watch?feature=player_embedded&v=hNjdBSoIa8k

Slik ser en vanlig dag ut i Logstalgia:

httpv://www.youtube.com/watch?feature=player_embedded&v=HeWfkPeDQbY

(Kilder: Mashable via DVICE)

Metoder for angrep

Det finnes tre hovedmetoder for å utføre et tjenestenektangrep:

  • Volum Bassert Angrep – inkluderer UDP floods, ICMP floods, og andre spoofed-pakkestrømmer. Målet er å bruke så store ressurser at systemet går ned, Vi tenker da på ressurer som båndbredde, minne, harddiskplass eller prosessortid til en server (offer). Slike angrep måles i bits per sekund (Bps).
  • Protocol Angrep – inkluderer SYN floods, fragmented pakke agrep, Ping of Death, Smurf DDoS og ligende teknikker. Slike typer angrep angriper en servers ressurser, en brannmur eller ligende.
  • Application Layer Angrep – inkluderer Slowloris, Zero-day DDoS angrep, DDoS angrep som angriper Apache, Windows eller OpenBSD sårbarheter. Målet med slike angrep er å krasje hele seerveren og slike angrep målet i forespørsler per sekund.

Typer DDoS Angrep

Some specific and particularly popular and dangerous types of DDoS attacks include:

  • UDP Flood – utnytter User Datagram Protocol (UDP), en session løs nettverksprotokoll. Denne typen angrep gjennomføres ved å sende en flom av UDP pakker til tilfeldige porter på en ekstern vert. Gjør at vert maskinen gjentatte ganger vil sjekke og lytte til denne porten, og (når ingen programmer er funnet) svar med en ICMP Destination Unreachable pakke. Denne prosessen safter vertsressurser, og kan til slutt føre til utilgjengelighet.
  • ICMP (ping) Flood – tilsvarer i prinsippet et UDP flom angrep, men her overvelder man vert serveren med flom av ICMP Echo Request (ping) pakker. Pakker som krever at vert serveren sender et svar tilbake til dem. Når antall forespørsler med slike pakker mot en av serverens porter, blir til slutt belastningen så stor at det går ut over ytelsen eller krasjer hele serveren. Dette er den vanligste formen for DDoS angrep.
  • SYN Flood – En SYN flom DDoS angrep utnytter en kjent svakhet i TCP forbindelsen («tre-veis håndtrykk»), hvor en SYN forespørsel kommer for å starte en TCP forbindelse med en vert, som må besvare med en SYN-ACK respons, før det avsluttes med en ACK svar fra anmoderen. I et SYN flom angrep sender anmoder flere SYN forespørsler, men når verten svarer med en SYN-ACK svar for de ikke svar eller svaret blir sendt til en falsk IP-adresse. Uansett, fortsetter vertssystemet for å vente på bekreftelse for hver av forespørslene, bindende ressurser inntil ingen nye forbindelser kan utføres, og som til slutt resulterer i sperring av tjeneste.
  • Ping of Death – en ping of death («POD») angrep innebærer at angriperen sende flere misdannede eller skadelig ping til en datamaskin. Den maksimale pakkelengde på en IP-pakke (inkludert header) er 65 535 byte. Imidlertid stiller Data Link Layer vanligvis grenser for maksimal rammestørrelse – for eksempel 1500 bytes over et Ethernet-nettverk. I dette tilfellet er en stor IP-pakke splittet på tvers av flere IP-pakker (kjent som fragmenter), og at mottakeren vert reassembles IP-fragmenter inn i den komplette pakke. I en Ping of Death scenario, etter ondsinnet manipulering av fragment innhold, ender mottakeren opp med en IP-pakke som er større enn 65 535 byte når settes sammen. Dette kan overløp minnebuffere avsatt til pakken, forårsaker denial of service for legitime pakker.
  • Slowloris – spesielt farlig for verter som kjører Apache, dhttpd, Tomcat og GoAhead WebServer. Slowloris er et svært målrettede angrep, med det mål å ta ned en eller annen server, uten å påvirke andre andre tjenester eller porter på målet nettverket. Slowloris gjør dette ved å holde så mange forbindelser til målet webserver åpen så lenge som mulig. Det oppnår dette ved å skape forbindelser til målet server, men sender bare en delvis forespørsel. Slowloris sender stadig flere HTTP-hoder, men aldri fullfører en forespørsel. Den målrettede serveren holder hver av disse falske tilkoblinger åpne. Dette flyter til slutt den maksimale samtidige forbindelsen bassenget, og fører til fornektelse av ekstra tilkoblinger fra legitime kunder.
  • Zero-day DDoS – «Zero-day» er rett og slett ukjent eller nye angrep, som utnytter sårbarheter som ingen patch ennå fanger opp. Begrepet er velkjent i hacker samfunnet, og handel med Zero-day sårbarheter som kan brukes i angrep har blitt en populær aktivitet.

DDoS-angrep er raskt blitt den mest utbredte typer angrep. Disse formene for angrep har vokst raskt de siste årene, både i antall og volum, ifølge en fersk markedsundersøkelse. Trenden går mot kortere angrep, men med større pakke-per-sekund (volum angrep). I løpet av Q4-2011, fant en undersøkelse 45% flere DDoS angrep i forhold til den parallelle periode i 2010, og over dobbelt så mange angrep observert under Q3-2011.

Så langt i år har IKTnytt.no varslet om «Historiens største hackerangrep på Internett«. Et angrep som ble utført av en nederlandsk vert i et forsøk på å stoppe spredningen av en anti-spam liste fra SpamCops abonnementer. Kort tid etter ble OnNet sin egen serverpark som bl.a. IKTnytt.no benytter utsatt for et ligende angrep. I tillegg har de fleste store bankene i verden opplevd minst ett alvorlig DDoS angrep det siste året, og flere store amerikanske mediehus har gått ned hele dager som et resultat av angrepet,

I gjennomsnitt benyttet hvert av angrepene som ble målt en båndbredde på 5,2 g bps, som er 148% høyere enn forrige kvartal.

Et ping-angrep er basert på å sende et stort antall ping-pakker til et mål. Har angriperen større båndbredde enn målet vil målet etterhvert ikke greie å ta imot flere pakker. Båndbredden blir sprengt.

Et nuke-angrep sender en pakke, som oftest ICMP, som er fragmentert. Pakken utnytter en programvarefeil i operativsystemet og maskinen vil krasje. Dette er også kjent som «Dødens ping».

Hvordan kan du beskytte deg mot DDoS angrep?

For å unngå «Denial of Service-angrep» bruker man normalt en metodetriangulering. En kombinasjon av angrepgjenkjenning, trafikk klassifisering og respons verktøy, med formål å blokkere trafikk som de identifiserer som illegitim og tillate trafikk at de identifiserer seg som legitime. En liste over forebygging og respons verktøy er gitt nedenfor:

Brannmurer

Brannmurer kan settes opp til å ha enkle regler slik å tillate eller nekte protokoller, porter eller IP-adresser. I tilfelle av en enkel angrep fra et lite antall uvanlige IP-adresser for eksempel, kan man sette opp en enkel regel for å slippe all innkommende trafikk fra disse hackere.

Mer komplekse angrep vil imidlertid være vanskelig å blokkere med enkle regler: for eksempel hvis det er en pågående angrep på port 80 (web service), er det ikke mulig å slippe all innkommende trafikk på denne porten fordi dette vil hindre at serveren fra serverer legitim trafikk. I tillegg brannmurer kan være for dypt i nettverkshierarkiet. Rutere kan bli påvirket før trafikken kommer til brannmuren. Likevel kan brannmurer effektivt hindre brukere fra å lansere enkle flom type angrep fra maskiner bak brannmuren.

Noen tilstandsløse brannmurer, som OpenBSD PF pakkefilteret, kan fungere som en proxy for tilkoblinger: håndtrykk er validert (med klienten) i stedet for bare å videresende pakken til bestemmelsesstedet. Den er tilgjengelig for andre BSDene også. I den sammenheng er det som kalles «synproxy».

Switches

De fleste switches har noen hastighetsbegrensende og ACL evne. Noen svitsjer gir automatisk og/eller system-wide hastighetsbegrensende, traffic shaping, forsinket binding (TCP spleising), deep packet inspection og Bogon filtrering (falske IP-filtrering) for å oppdage og avhjelpe denial of service angrep gjennom automatisk sats filtrering og WAN Link failover og balansering.

Disse ordningene vil fungere så lenge DoS angrep er noe som kan forebygges ved å bruke dem. For eksempel SYN flom kan forebygges ved hjelp av forsinket binding eller TCP spleising. Tilsvarende innhold basert DoS kan forebygges ved hjelp av Deep Packet Inspection. Angrep stammer fra mørke adresser eller gå til mørke adresser kan forebygges ved hjelp av Bogon filtrering. Automatiske rente filtrering kan fungere så lenge du har satt rente-terskler riktig og granularly. Wan-link failover vil fungere så lenge begge linkene har DoS/DDoS forebygging mekanismen.

Rutere

I likhet med svitsjer, har ruterne noen hastighetsbegrensende og ACL evner som må settes opp manuelt på routeren. De fleste rutere kan i dag lett bli overbelastet under et DDoS angrep. Cisco IOS har funksjoner som hindrer flom i sine brannmurer som plasseres før serverparken.

Applikasjonsserver for bredebåndstyring foran server parken

En applikasjonserver menes en «boks» med innebygd hardware og software som er plassert på nettverket før trafikken når serverne. De brukes på nettverk i forbindelse med rutere og svitsjer. Boksen analyserer alle datapakker som kommer utenfra, identifiserer innholdet i dem og prioriterer dem etter farlighetsgrad før pakkene leveres videre til serveren. Boksen kan strupe båndbredden til enkelte IP-adresser/klasser, enkelt domener o.l. slik at de ikke får anledning til å spise opp all kapasiteten på nettverket.

IPS forebygging

Inntrenging forebygging systemer (IPS) er effektive hvis angrepene har signaturer forbundet med dem. Imidlertid gårr trenden mot å sende DDoS angrep med et lovelig innhold, men de har dårlige hensikter, og da er jo hele systemet verdiløst.

Husk også at inntrenging-forebygging systemer som fungerer godt på innholdsanalyser ikke kan blokkere atferd-baserte DoS-angrep. En ASIC baserte IPS kan oppdage og blokkere denial of service angrep bedre fordi de har tilgang til informasjon om bruk av prosessorkraft, båndbredde og minnne i sine analyser av angrepene og fungerer som en automatisk sikring av hele nettverket til serverparken.

En rente-baserte IPS (RBIPS) analyserer trafikken kontinuerlig og overvåker trafikken mønsteret for å finne ut om trafikken er normal eller ikke. Systemet lar den legitime trafikken passere, mens de blokkerer trafikk knyttet til DDoS angrep.

DDS baserte forsvar

Mer fokusert på problemet enn IPS, er et DoS Defense System (DDS). De er i stand til å blokkere innhold som stammer fra et DoS-angrep, samtidig som lovelig innhold slipper igjennom. En DDS kan også ta begge protokollen angrep (for eksempel Teardrop og Ping of death) og rente-baserte angrep (for eksempel ICMP flom og SYN flom).

Som IPS, kan en spesialbygd system, som for eksempel den velkjente Radware defensepro, oppdage og blokkere denial of service angrep på mye nærmere linjehastighet enn en programvarebasert system.

Blackholing og sinkholing

Med blackholing, blir all trafikk til angrepet DNS eller IP-adressen sendes til et «sort hull» (null grensesnitt eller en ikke-eksisterende server). For å være mer effektive og unngå å påvirke nettverkstilkobling, kan det bli styrt av ISP.

Sinkholing ruter trafikk til en gyldig IP-adresse som analyserer trafikken og avviser dårlige pakker. Sinkholing er ikke effektivt for de fleste alvorlige angrep.

Rene rør

All trafikk går gjennom en «rengjøring senter» eller et «skrubbing center» via ulike metoder som proxyer, tunneler eller til og med direkte kretser, som skiller «dårlig» trafikk (DDoS og også andre vanlige Internett-angrep) og bare sender god trafikk utover til serveren. Tilbyderen må sentral tilkobling til Internett for å håndtere denne type tjeneste med mindre de måtte være plassert innenfor samme anlegget som «rengjøring senter» eller «skrubbing center».
Prolexic, Tata Communications AT & T og Verisign er eksempler på tilbydere av denne tjenesten

 

Denne artikkelen inngår i IKTnytt.no sitt SIKKERHETS KURS for nybegynnere.

Artikkelserien skal gi deg en rask innføring i alle viktige begreper. I tillegg vil du lære hva du må gjøre for å sikre din datamaskin mot malware, spyware, botnets, trojanere, ormer og virus.

Er du allerede en viderekommende innen dette fagområdet anbefaler jeg at du går rett til arikkelen «Sikkerhetsguide».

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: