Artikel top billede

Kilde: TDC.

Se oversigten her: Sådan rammes du af DDoS-angreb

Danmarks største netudbyder har analyseret, hvordan kunderne rammes af DDoS-angreb. Her kan du se, hvor og hvordan angrebene sættes ind, så du kan tage dine egne forholdsregler mod pakkebomberne fra nettet.

Internetudbyderen TDC har samlet en rapport om DDoS-trusselsbilledet baseret på informationer om de angreb, som er set i TDC's net i 2014.

Angrebene er rettet mod de nordiske kunder, der overvåges af firmaets DDoS-tjeneste.

Indholdet er baseret på mere end 100 DDoS-angreb i løbet af 2014, som firmaet har kæmpet imod.

Analysen bygger dermed på data fra den virkelige verden og ikke testlaboratorier.

Lille stigning

Samlet set er der kun sket en lille stigning i antallet af DDoS-angreb, og varigheden af oversvømmelsesangrebene er ligeledes nogenlunde stabil i forhold til 2013.

Men i 2014 er der omvendt sket en markant stigning i størrelsen på de DDoS-angreb, som har været rettet mod TDC's kunder.

Den gennemsnitlige angrebsstørrelse steg fra 600 Mbit/s i 2013 til 3,3 Gbit/s i 2014, kan man læse ud af tallene.

De angreb der rettes mod danske og nordiske virksomheder kan som udgangspunkt placeres i en af følgende to hovedkategorier:

1) Et oversvømmelsesangreb, hvor det er kundens båndbreddekapacitet, der angribes.

2) Et connection-angreb, hvor det er connection-tabellen i eksempelvis en firewall eller en webserver, som angribes.

I grafikken til højre kan du se en mere detaljeret opdeling af angrebstyperne.

Mere end botnet

Der er sket ændringer i måden, som angrebene udføres på.

Tidligere har angrebene været udsendt via botnet baseret på personlige computere, der er inficeret med malware, og derved kan fjernbetjenes af ondsindede personer.

I løbet af 2014 er det dog blevet mere almindeligt, at også servere inkluderes i disse botnet.

Fordelen for angriberne er, at da serverne typisk altid er online og i mange tilfælde er placeret på højhastighedsforbindelser, hvilket er effektive redskaber i et DDoS-angreb.

Ligeledes begynder kunderoutere og andet kundeplaceret netværksudstyr at optræde i botnets.

Denne form for udstyr er forholdsvis nemt at inficere, da det ofte anvender usikre konfigurationer, forældet og sårbar firmware, og da det generelt sjældent bliver administreret og vedligeholdt af ejeren.

Ligeledes er smartphones begyndt at optræde som bots.

Læs også: Sådan går det, når hackerne selv bliver hacket

En anden tendens er, at mange angreb er de såkaldte amplification-angreb (eller forstærkede angreb), der er væsentligt kraftigere ende traditionelle angreb også kaldet for connection-angreb.

I 2014 var 70 procent af alle hændelser amplification-angreb - mod 40 procent i 2013, hvilket gør det til den hyppigst anvendte angrebstype i dag.

Ved et amplification-angreb sender den ondsindede person angrebstrafikken via åbne servere på nettet for at få forstærket sit angreb.

Typisk anvendes åbne servere, der understøtter UDP-baserede protokoller som DNS eller NTP.

Denne type angreb fungerer eksempelvis på den måde, at et større antal botmaskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender IP-adresse op mod åbne DNS-servere, der vil sende svaret på forespørgslerne tilbage til afsenderadressen.

Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNS-svar til denne server.

Ved brug af amplification-angreb opnår angriberen en anden fordel, nemlig at vedkommende kan skjule sin identitet gennem to lag; botnet-computere og servere.

På den måde er de svære at spore.

Internetudbydernes egen skyld

Problemet skyldes langt hen ad vejene internetudbyderne selv.

Hvis de som standard afviste udgående trafik med forfalsket afsenderadresse, så ville det lægge en betydelig dæmper på denne angrebsform.

Ligeledes er der en voldsom stor mængde servere på nettet, der er dårligt konfigurerede og dårligt opdaterede, og derved potentielt kan misbruges.

Ifølge Shadowserver Foundation, der skanner nettet får åbne enheder - der altså kan misbruges til denne type DDoS-angreb - var der i februar 2015 mere end 11 millioner dårligt konfigurerede DNS-servere.

Store datamængder er billige

I 2014 voksede den datamængde, der angribes med, også markant.

Angiveligt skyldes væksten, at det bliver billigere og billigere at købe DDoS-trafik fra lyssky sider på nettet.

Den gennemsnitlige angrebstid for et DDoS-angreb er på 41 minutter i 2014, hvilket er en lille stigning i forhold til året før, hvor de var på 45 minutter.

Det længste angreb, som TDC har registreret, var på fem en halv time.

Sådan undgår du DDoS mod din virksomhed

Der er dog en hel stribe muligheder for at beskytte sin virksomhed mod de irriterende angreb.

For det første ødelægger et DDoS-angeb ikke din webside, men lægger den ned. Det er selvfølgelig kritisk i nogle tilfælde, men mange kan nok godt klare en lille 'nedtur'.

Der er dog stadig en masse tiltag, du med fordel kan overveje og udføre, inden det kommer så vidt, og som kan redde dig igennem mange frustrationer ved at undgå at få lagt hjemmesiden ned.

Det har sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group tidligere fortalt til Computerworld.

"Først og fremmest skal man have lavet en behovsafklaring: hvor vigtig er hjemmesiden for forretningen? Er man villig til at investere penge for at beskytte den?" lyder det fra Peter Kruse.

Dernæst skal din virksomhed have stresstestet webservere og andre servere for at se, hvor meget dine webservices egentlig kan klare.

Efter behovsafklaring og stresstest kan du derefter begynde på det egentlige arbejde med at modstå eventuelle DDoS-angreb.

Hvordan du griber opgaven an helt praktisk kan du læse meget mere om her: Danmark under angreb: Sådan kvæler du et DDoS-angreb

Læs også:

Dansk teenager fanget efter DDoS-angreb mod KL

Sådan håndterer TDC et DDoS-angreb