Hva er et denial of service angrep? (DoS – DDoS)

DoS

Et «denial of service» (DoS) angrep, er et angrep som gjør et system eller ressurser utilgjengelig for dem som eier dem. Den sender fra tusen til millioner forespørsler til serveren, slik at serveren ikke klarer å håndtere datamengden, og som resultat så klarer ikke serveren å svare på legitime forespørsler. Hvis de utfører dette angrepet godt, så er det vanskelig å skille mellom forespørsler fra DoS angrepet og legitime forespørsler.

For at en hacker skal lykkes med et DoS angrep, så må de ha betydelig større båndbredde enn offeret. Så de må ha en kraftig internettlinje. Det andre som også gjør det vanskelig for hackeren er at det er lett å blokkere et DoS angrep. Når offeret er klar over at de er under angrep, så kan de stoppe angrepet ved å blokkere IP adressen hvor angrepet kommer fra.

 

DDoS

DDoS, som står for «distributed denial of service» (distribuert tjenestenektangrep), er en annen historie. Her vil det komme forespørsler fra mange IP adresser, noe som også gjør det vanskelig å skille mellom angripende pakker og legitime pakker. DDoS angrep bruker botnet for å kvele en server med veldig mange forespørsler.

Et botnet er en stor gruppe malware infiserte maskiner som en hacker har kontrol over. Hackeren kan når som helst utnytte disse maskinene til å sende trafikk i form av et DDoS angrep mot et ønsket mål. Ofte er slike mål en web server, som hackeren ønsker å stoppe, om ikke annet for en kort stund. En slik stop kan gjøre stor skade for eieren av web serveren, kanskje nok til at bedriften som eier web siden får store økonomiske problemer.

 

Forsterket DDoS

Det er også måter et DDoS angrep kan forsterkes, f.eks. ved å bruke et Smurf angrep. Hver bot vil da sende ut mengder av ICMP pakker (Internet Control Message Protocol) samtidig som de i meldingen bruker offerets IP adresse (spoofed source IP). Disse meldingene blir sendt til en mengde tredjepart servere. De fleste servere vil svare på ICMP meldingen ved å sende en pakke til offerets IP. Disse pakkene kan være store, og til sammen kan denne datamengden bli enorm.

En annen variant av Smurf angrep er Fraggle angrep. Hackeren vil her sende mye UDP trafikk til portene 7 og 19 til en IP broadcast adresse, også her med offerets spoofed source IP. Veldig mange av serverene vil svare til offerets IP adresse med store mengder av data, som igjen gjør systemet veldig tregt eller stopper.

Beskytt deg mot DoS og DDoS

Det er ganske enkelt for en administrator å hindre sine servere å være med på slike angrep. Ikke la hosts eller routere svare på ICMP forespørsler. De kan også konfigurerer routere til ikke å videresende pakker direkte til broadcast adresser.

Andre kjente DoS angrep er ping flood. Twinge attack. Ping of death. Invite of death. UDP flood. SYN flood. ICMP flood. HTTP flood. NTP amplification og Zero Day.

For å sikre seg og unngå å være en medhjelper i et forsterket angrep så må administratoren kjenne godt til hvordan de virker og implementere systemer som blokkerer slike angrep. Her kan et samarbeide med ISP og DDoS beskyttelse fra en tredje part være en god strategi.

Som privatperson så kan valg av ISP avgjøre hvor beskyttet du er. Sjekk litt rundt om de har et godt rykte og at de er forberedt på slike typer angrep. Du kan også endre oppsettet for DNS slik at du går via tredjeparts DNS leverandører som OpenDNS. Da har du også mulighet til å blokkere visse typer webinnhold, noe som også kan være praktisk for å beskytte barna.

Du  kan på denne websiden følge live med på DDoS angrep rundt om i verden: Digital attack map

 

IoT kan være en økende trussel

IoT, Internet of Things, er alle nye smarte «dingser» som har internet tilgang. Disse er oftest ikke godt sikret, og er et mål for hackere som ønsker å sette opp bot nett. Før du fyller opp hjemmet dit med IoT enheter, så bør du lage et isolert miljø for dem hvor du begrenser tilganger og båndbredde. IoT kan også være den trådløse enheten som gjør hjemmenettverket ditt sårbart. Pass på at programvaren er oppdatert og alltid bytt ut standardpassordet med et nytt sikkert passord. Du må også sikre tilgang til administrasjon portalen til IoT enheten. Benytt https eller andre sikre protokoller og sperr tilgang for ekstern administrering.