En DDoS-attack är ett it-angrepp som kan drabba vem som helst. Därför är det viktigt att veta vad det är för något, och vad du ska göra om du drabbas.
I den här artikel ska vi gå igenom vad en DDoS-attack för något. Vi går också igenom vad du kan göra för att skydda dig och ditt företag från en attack, och vad du ska göra om du drabbas.
En DDoS-attack går ut på att överösa en server med datatrafik för att hindra den från normal användning. DDoS-attacker blir allt vanligare och växer sig större och starkare än någonsin.
DoS eller DDos – Vad betyder det?
En DoS-attack är en attack mot ett datasystem där det blir överöst av datatrafik. Målet är att det drabbade datasystemet inte ska kunna fungerar som det ska på grund av all datatrafik som kommer in.
Vid en DoS-attack kommer datatrafiken från en enskild enhet. Om datatrafiken som skickas kommer från flera olika IP-adresser kallas det för en DDoS-attack.
Överbelastningsattack
Ordet DDoS står för Distributed Denial of Service och kallas också för överbelastningsattack. Målet med en DDoS-attack är att överbelasta en server med data. Datatrafiken som skickas vid en DDoS-attack är svårare att blockera då den kommer från flera olika IP-adresser.
Attacken kan vara både i mindre skala, med syftet att störa. Men det kan också ske i stor skala för att göra användning av det drabbade systemet omöjligt.
En DoS eller DDoS-attack kan ske mot servrar, enheter, tjänster, nätverk och applikationer. Men även mot specifika transaktioner inom applikationer. Målet är alltid att störa eller omöjliggöra användning av det som drabbas.
För den drabbade servern är det svårt för skyddsprogrammen att upptäcka och stoppa en DDoS-attack. Trafiken som kommer in vid attacken ser ut och beter sig precis som vanlig trafik.
Det skadliga är nämligen inte datatrafiken i sig. Det är mängden trafik som gör att saker som tillgänglig internetbandbredd, CPU- och RAM-kapacitet blir överbelastat. Då kan det drabbade systemet inte fungera som det ska – eller inte fungera alls.
Hur utförs DDoS-attacker?
De som ligger bakom en Distributed Denial of Service – DDoS-attack – kan vara enstaka personer eller en grupp människor. Men det kan också vara väldigt många som hjälps åt.
Vid en DDoS-attack måste den angripande datatrafiken komma från många olika enheter. Det kan ske på två olika sätt:
- Organiserad brottslighet
Ett stort antal personer som medvetet utför attacken. Det kan till exempel vara ett kriminellt gäng med tillräckligt många medlemmar och dataenheter. Har de som mål att störa användandet av servern som är målet för angreppet, kan det räcka med några personer som med vilja utför attacken.
Oftast är målet med en DDoS-attack att göra så pass stor skada att den drabbade servern inte går att använda alls. Då behövs en stor mängd enheter som skickar iväg den störande datatrafiken.
Därför är det inte så vanligt att ens kriminella kan organisera så pass många personer som med vilja utför attacken.
- Botnets
Det vanligaste sättet är att ett stort antal personer och enheter deltar i DDoS-attacken utan att veta om det. De har oavsiktligt och ofta ovetande utsatts för malware (skadlig programvara) och blivit infekterade av datavirus eller trojaner.
Den skadliga programvaran gör att datatrafik skickas från deras datorer och andra enheter utan användarens avsikt. De datorerna kallas för bottar och tillsammans skapar de ett så kallat botnet (nätverk av bottar).
De som ligger bakom ett botnet kallas till exempel för bot hoarders, bot masters eller bot spreaders. De kan styra sina bottar genom en styrande nod.
En nod är antingen en slutpunkt eller förgrening i ett datornätverk och i det här fallet är det den som styr bottarna. Därför kallas också bottarna i ett botnet för zombies.
Bot masters har alltså full kontroll över bottarna i nätverket.
Botnets kan säljas – eller snarare hyras ut på svarta marknaden (darknet). Ofta hyrs de ut per timme eller per dygn. Personer som hyr botnets kan alltså vara personer helt utan tekniska kunskaper som vill göra skada mot en specifik server. Kanske mot konkurrenten för att få upp sin egen försäljning.
Att använda botnets är det vanligaste sättet att utföra DDoS-attacker på. Då strömmar det in datatrafik från runt om i hela världen. Med den här typen av attacker går det inte att spåra enstaka IP-adresser och blockera dessa för att avbryta attacken.
Hur vet jag om min dator används som bot?
Du kan veta om din dator används som bot genom att du blir omdirigerad till webbplatser du inte hade intentioner att besöka. Det kan ske även om du inte är ute på internet.
Du kan läsa mer om hur du skyddar dig mot malware, hur du vet om du drabbats och vad du ska göra om du drabbas här i vår artikel om malware.
DDoS historia
Den första attacken som vi kan vara säkra på var en DDoS-attack slog till mot en dator på University of Minnesota år 1999. Utan förvarning kom det datatrafik från ett botnet som bestod av 114 andra datorer. Datorerna hade blivit drabbade av malware i form av ett skadligt skript som heter Trin00.
De datorer som var enheter i detta botnet skickade ett överflöd av trafik i form av datapaket till universitetet. Datorn som tog emot all den här datatrafiken blev överbelastad och slogs ut i två dagar.
Hjärnan bakom DDoS attacker
En av de mest kända personerna i DDoS historia är Michael “MafiaBoy” Calce. Han var en tonåring från Kanada som år 2000 slog ut Yahoo!. Under veckan därpå även Amazon, CNN och eBay.
Han fick sin första dator vid 5-års ålder och lärde sig snabbt att han kunde manipulera personer online. Han var bara 12 år när han blev intagen i dåtidens mest ökända hackergrupp, TNT. På den tiden låg de bakom uppåt hälften av de värsta hacken.
Calce hade snöat in på DDoS-attacker och kommit på ett sätt att göra dem ännu större och mer kraftfulla.Calce var först med att skapa ett botnet så pass stort att han vid 15-års ålder slog ut några av USAs ledande företagswebbplatser!
Alla dessa företag förlorade tillsammans 1,7 miljarder dollar. Calce blev efterlyst och under en tid var han FBIs mest jagade person i USA.
Otroligt nog har Michael Calce “bytt sida” och jobbar numera med IT-säkerhet och driver ett eget it-säkerhetsföretag. Han hjälper företag med att skydda sig på internet.
DDoS attacker idag
Idag är DDoS attacker vanligare och lättare än någonsin. Det har gjort att de cyberkriminella som styr botnets kan hyra ut botnets för så lite som för $10 per timme.
Nuförtiden har vi ju inte bara våra datorer kopplade till internet. Internet of Things (IoT)-eran har gjort att vi har ett stort antal enheter uppkopplade. Allt från telefoner och skrivare till kylskåp och säkerhetskameror.
Allting som är kopplat till internet kan drabbas av det malware som gör att de kan användas som bottar. Därför är det lättare än någonsin för de som ligger bakom botnets att hitta enheter att använda som bottar.
Bara mellan Q4 2017 och Q1 2018 ökade antalet DDoS-attacker med 53%. Och över 65% av de som drabbades under Q1 2018 blev oförutsägbart drabbade ett flertal gånger.
Enligt en rapport från Cloudflare förväntades DDoS-attacker att bli större och oftare förekommande än någonsin under Q2 2020. I och med Covid-19 blev ökningen större än de trodde.
Antalet attacker som upptäcktes och blockerades under perioden var 217% högre än samma period året innan.
Hur kan du skydda dig mot DDoS?
Det är svårt att stoppa en pågående DDoS-attack. Därför behöver du vara beredd på vad du ska göra om det inträffar. Det finns även vissa saker du kan göra i förebyggande syfte.
DDoS skydd i förebyggande syfte
Håll dina brandväggar och routrar uppdaterade. Om du drabbas av en DDoS-attack är det första som händer att trafiken möter dina brandväggar (firewalls) och routers.
De ska vara konfigurerade till att märka skillnad på DDoS-trafiken och normal trafik. Därför är det viktigt att alltid hålla brandväggar och routrar uppdaterade. Med uppdateringarna följer viktiga säkerhetskorrigeringar, som ska kunna upptäcka bland annat den onormala datatrafiken vid DDoS-attacker.
I ditt nätverk finns applikationshårdvara integrerad före det att trafik når själva nätverket. Den hårdvaran sorterar datan i kategorierna: prioriterad data, normal data och skadlig data. På så sätt kan viss skadlig trafik stängas ute redan innan den når nätverket.
Det gäller också den onormala mängden trafik som servern utsätts för vid DDoS-attacker. Men då datatrafiken som skickas vid en DDoS-attack kan se ut precis som vanlig datatrafik fast i en stor mängd, blockeras den inte alltid.
Vad ska jag göra om jag drabbas?
Om du blir drabbad av en DDoS-attack är det viktigt att tänka på följande:
- Var uppmärksam. Ju fortare en DDoS-attack identifieras, desto mindre skada hinner den åstadkomma. Så fort du upptäcker en DDoS-attack: försök blockera de IP-adresser som attacken kommer ifrån.
- Kontakta sedan era ISP (Internet Service Providers). De kan då försöka omdirigera trafiken bort från era servrar. De kan skicka ut datatrafiken via ett så kallat ”Black hole routing” – alltså ut i tomma intet, som ett svart hål. Det kan också vara bra att ha en reserv Internet Service Provider.
Problemet med ”Black hole routing” kan vara att både DDoS-trafik och normal trafik blir omdirigerad. Men då minskar i alla fall risken för att era servrar blir överbelastade och slutar fungera helt och hållet.
Sammanfattning
DDoS står för Distributed Denial of Service och på svenska kallas det överbelastningsattack. Målet med attacken är att överbelasta ett specifikt datasystem genom att sända stora mängder datatrafik från olika enheter.
Då kan det drabbade datasystemet inte fungera som det ska. I vissa fall stängs det ner helt och hållet under en tid.
DDoS-attacker har drabbat företag i över 20 år och blir allt vanligare och enklare att utföra.
Vanligast är att DDoS-attacker sker från så kallade botnets. Det är ett nätverk av datorer som drabbats av ett malware som gör att de oavsiktligt deltar i DDoS-attacker. Därför kallas de också zombies. De styrs av en nod som styr vad dom ska göra.
De som styr noden är cyberkriminella med stor teknisk kunnighet. Men även de helt utan tekniska kunskaper kan hyra ett botnet. Botnets för att utföra DDoS-attacker hyrs ut för så lite som $10 i timmen.
Det är svårt att stoppa en pågående DDoS-attack men det är vissa saker du kan göra – som att vara uppmärksam. Ju fortare du upptäcker en DDoS-attack, ju mindre skada hinner den göra. Upptäcker du en DDoS-attack ska du kontakta din ISP för hjälp med att omdirigera datatrafiken.
Du kan skydda dig från en DDoS-attack genom att ha bra beredskap ifall attacker skulle inträffa. Det viktigaste är att du har dina brandväggar och routrar uppdaterade.
