Kilde: TDC.

Se oversigten her: Sådan rammes du af DDoS-angreb

Danmarks største netudbyder har analyseret, hvordan kunderne rammes af DDoS-angreb. Her kan du se, hvor og hvordan angrebene sættes ind, så du kan tage dine egne forholdsregler mod pakkebomberne fra nettet.

Internetudbyderen TDC har samlet en rapport om DDoS-trusselsbilledet baseret på informationer om de angreb, som er set i TDC's net i 2014.

Angrebene er rettet mod de nordiske kunder, der overvåges af firmaets DDoS-tjeneste.

Indholdet er baseret på mere end 100 DDoS-angreb i løbet af 2014, som firmaet har kæmpet imod.

Analysen bygger dermed på data fra den virkelige verden og ikke testlaboratorier.

Lille stigning
Samlet set er der kun sket en lille stigning i antallet af DDoS-angreb, og varigheden af oversvømmelsesangrebene er ligeledes nogenlunde stabil i forhold til 2013.

Men i 2014 er der omvendt sket en markant stigning i størrelsen på de DDoS-angreb, som har været rettet mod TDC's kunder.

Den gennemsnitlige angrebsstørrelse steg fra 600 Mbit/s i 2013 til 3,3 Gbit/s i 2014, kan man læse ud af tallene.

De angreb der rettes mod danske og nordiske virksomheder kan som udgangspunkt placeres i en af følgende to hovedkategorier:

1) Et oversvømmelsesangreb, hvor det er kundens båndbreddekapacitet, der angribes.

2) Et connection-angreb, hvor det er connection-tabellen i eksempelvis en firewall eller en webserver, som angribes.

I grafikken til højre kan du se en mere detaljeret opdeling af angrebstyperne.

Mere end botnet
Der er sket ændringer i måden, som angrebene udføres på.

Tidligere har angrebene været udsendt via botnet baseret på personlige computere, der er inficeret med malware, og derved kan fjernbetjenes af ondsindede personer.

I løbet af 2014 er det dog blevet mere almindeligt, at også servere inkluderes i disse botnet.

Fordelen for angriberne er, at da serverne typisk altid er online og i mange tilfælde er placeret på højhastighedsforbindelser, hvilket er effektive redskaber i et DDoS-angreb.

Ligeledes begynder kunderoutere og andet kundeplaceret netværksudstyr at optræde i botnets.

Denne form for udstyr er forholdsvis nemt at inficere, da det ofte anvender usikre konfigurationer, forældet og sårbar firmware, og da det generelt sjældent bliver administreret og vedligeholdt af ejeren.

Ligeledes er smartphones begyndt at optræde som bots.

Læs også: Sådan går det, når hackerne selv bliver hacket

En anden tendens er, at mange angreb er de såkaldte amplification-angreb (eller forstærkede angreb), der er væsentligt kraftigere ende traditionelle angreb også kaldet for connection-angreb.

I 2014 var 70 procent af alle hændelser amplification-angreb - mod 40 procent i 2013, hvilket gør det til den hyppigst anvendte angrebstype i dag.

Ved et amplification-angreb sender den ondsindede person angrebstrafikken via åbne servere på nettet for at få forstærket sit angreb.

Typisk anvendes åbne servere, der understøtter UDP-baserede protokoller som DNS eller NTP.

Denne type angreb fungerer eksempelvis på den måde, at et større antal botmaskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender IP-adresse op mod åbne DNS-servere, der vil sende svaret på forespørgslerne tilbage til afsenderadressen.

Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNS-svar til denne server.

Ved brug af amplification-angreb opnår angriberen en anden fordel, nemlig at vedkommende kan skjule sin identitet gennem to lag; botnet-computere og servere.

På den måde er de svære at spore.

Internetudbydernes egen skyld
Problemet skyldes langt hen ad vejene internetudbyderne selv.

Hvis de som standard afviste udgående trafik med forfalsket afsenderadresse, så ville det lægge en betydelig dæmper på denne angrebsform.

Ligeledes er der en voldsom stor mængde servere på nettet, der er dårligt konfigurerede og dårligt opdaterede, og derved potentielt kan misbruges.

Ifølge Shadowserver Foundation, der skanner nettet får åbne enheder - der altså kan misbruges til denne type DDoS-angreb - var der i februar 2015 mere end 11 millioner dårligt konfigurerede DNS-servere.

Store datamængder er billige
I 2014 voksede den datamængde, der angribes med, også markant.

Angiveligt skyldes væksten, at det bliver billigere og billigere at købe DDoS-trafik fra lyssky sider på nettet.

Den gennemsnitlige angrebstid for et DDoS-angreb er på 41 minutter i 2014, hvilket er en lille stigning i forhold til året før, hvor de var på 45 minutter.

Det længste angreb, som TDC har registreret, var på fem en halv time.

Sådan undgår du DDoS mod din virksomhed
Der er dog en hel stribe muligheder for at beskytte sin virksomhed mod de irriterende angreb.

For det første ødelægger et DDoS-angeb ikke din webside, men lægger den ned. Det er selvfølgelig kritisk i nogle tilfælde, men mange kan nok godt klare en lille 'nedtur'.

Der er dog stadig en masse tiltag, du med fordel kan overveje og udføre, inden det kommer så vidt, og som kan redde dig igennem mange frustrationer ved at undgå at få lagt hjemmesiden ned.

Det har sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group tidligere fortalt til Computerworld.

"Først og fremmest skal man have lavet en behovsafklaring: hvor vigtig er hjemmesiden for forretningen? Er man villig til at investere penge for at beskytte den?" lyder det fra Peter Kruse.

Dernæst skal din virksomhed have stresstestet webservere og andre servere for at se, hvor meget dine webservices egentlig kan klare.

Efter behovsafklaring og stresstest kan du derefter begynde på det egentlige arbejde med at modstå eventuelle DDoS-angreb.

Hvordan du griber opgaven an helt praktisk kan du læse meget mere om her: Danmark under angreb: Sådan kvæler du et DDoS-angreb

Læs også:

Dansk teenager fanget efter DDoS-angreb mod KL

Sådan håndterer TDC et DDoS-angreb



Premium
KMD kan nærme sig halvering af medarbejderstaben i Danmark på få år: Så mange ansatte har selskabet sagt farvel til
For fem år siden var KMD det største danske it-selskab, men over årene er medarbejderstaben i Danmark faldet dramatisk. Ifølge en lækket PowerPoint fortsætter tendensen i 2021. Se den voldsomme nedgang i antallet af ansatte hos KMD her.
Computerworld
Bitcoinen nåede lige at kulminere igen – men så kom krakket
Der blev sat en ny rekord for bitcoinens værdi i år – men godt 24 timer efter blev der høvlet næsten 20.000 kroner af den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Gratis whitepaper: Hvad er EDI, og hvordan kan det styrke min forretning?
Overvejer du EDI, og ønsker du at undersøge, om EDI er den rette investering for din virksomhed? Har en af dine kunder eller leverandører for nyligt bedt dig om at udveksle elektroniske dokumenter (EDI)? Så hent dette whitepaper og få et overblik over, hvad EDI er, og hvilke fordele producenter og grossister som dig kan se frem til, når du investerer i EDI til din forretning.