Vad är en DDoS attack? – En introduktion - del 1

I takt med den fortsatta utvecklingen av vårt digitaliserade samhälle har även olika sorters hotbilder inom den digitala världen vuxit fram. En sådan är DDoS-attacker (Distributed Denial-of-Service) som har funnits under många år och drabbar oss dagligen. Attackerna växer i omfattning och skapar stora problem för de som blir utsatta. Många går i tron att man inte kommer vara föremål för en attack, eller att man har en lösning som stoppar attackerna. Om man inte har en djupare förståelse för de olika aspekter inom DDoS löper man en risk att ha ett skydd som inte är tillräckligt i skarpt läge vilket kan leda till att man blir tekniskt utslagen med driftstörningar som en direkt effekt av attacken.

I ambition att öka medvetenheten kring DDoS-attacker kommer jag publicera en serie av blogginlägg där olika aspekter kring DDoS gås igenom. Den första delen är en generell introduktion till DDoS. Eftersom det förekommer tekniska termer som lättast beskrivs genom sina rätta engelska benämningar kommer jag använda dessa termer i mina texter.

Hur definierar man DDoS?

En överbelastningsattack (DoS – Denial of Service) kan beskrivas som alla sorters attacker vars målsättning är att hindra en legitim användare från att nå en nätverksresurs. Ett exempel är att man vill hindra allmänheten från att kunna besöka ett företags hemsida. En DDoS-attack (Distributed Denial of Service) är en typ av attack som kommer från flera håll samtidigt och använder sig av flera resurser som källa till det specifika angreppet. Syftet med att använda flera resurser är primärt att förstärka storleken av attacken, men det bidrar även till att dölja identiteten på angriparen och försvåra motåtgärderna för den som blir angripen. De flesta DDoS-attacker utnyttjar ett ”botnät”, som består av ett nätverk av internetanslutna datorsystem som kan styras centralt av angriparen. Botnät kan variera i storlek, allt från ett fåtal anslutna datorsystem till flera miljoner. De flesta botnät använder resurser från datorer utan kännedom om detta av den som äger datorsystemet. (Utmaning: Hur säkerställer du att din dator inte är en del av ett stort ”botnät”?)

Till skillnad från andra problemområden inom informationssäkerhetsområdet så är syftet med DDoS-attacker inte att försöka komma åt känslig information genom man hackar sig in i datorsystem för att komma åt data. DDoS-attacker är baserade på uppfattningen att det är den legitima användarens tillgång till data och information som är det värdeskapande för en organisation, och genom att ta bort tillgången till denna orsakas mest skada. Exempelvis så är man inte intresserad av dina användaruppgifter till din internetbank eller någon annan tjänst på Internet, utan man vill istället stänga ner din möjlighet att kunna logga in där och komma åt ditt konto.

Vilka blir följderna av DDoS för ett företag?

Skadar företagets varumärke och trovärdighet

Genom att orsaka ett avbrott kan en angripare påverka ett företags rykte negativt. Detta kan leda till att företagets varumärke och trovärdighet skadas.

Direkt inkomstförlust

Ett avbrott på en nätverksresurs som företaget genererar intäkter på, såsom e-handel eller online-media, leder till direkta inkomstförluster för ett företag.

Förlorad produktivitet

En DDoS-attack hindrar ofta anställda från att kunna utföra sina arbetsuppgifter eftersom systemen ligger nere.

Rökridå för andra attacker

En DDoS-attack kan användas för som rökridå för att dölja andra typer av attacker inom informationssäkerhetsområdet.

Vad har angriparna för motiv till sina attacker?

Utpressning

Ett vanligt motiv för DDoS-attacker är att utpressa företag på pengar. Ett vanligt tillvägagångssätt är att angriparen anonymt kontaktar ett företag och begär en viss summa pengar för att förhindra ett framtida angrepp. Angriparen bevisar sin förmåga genom att utföra en tidsbegränsad riktad attack vid en viss tidpunkt. Den anonyma överföringen av medel utförs vanligen genom att använda sig av den virtuella valutan ”Bitcoin”. En kriminell grupp i cybervärlden under namnet DD4BC driver dessa typer av utpressningar.

Hacktivister

Inom ramen för DDoS-”hacktivism” används DDoS-attacker som medel för att främja ett politisk ställningstagande. En attack av den här typen föregås ofta av ett offentligt uttalande på sociala medier eller andra offentliga forum, där ett missnöje eller manifest deklareras. Målgrupp för dessa typer av attacker är oftast väletablerade varumärken eller företag som sannolikt kommer att få sin trovärdighet skadad med betydande omfattning och inte enbart på grund av kundernas reaktioner då dessa företag bevakas i hög grad av media och nyheterna om attacken sprids över hela världen. Det mest kända exemplet på denna typ av angripare är ett hacktivist-kollektiv under namnet ”Anonymous”, som har tagit på sig ansvaret för DDoS-attacker som har riktats mot bland annat företagen Visa, Mastercard med flera.

Statligt sponsrad cyberterrorism

En cyberterrorism-kampanj som innebär att ett land eller terroristorganisation utför en DDoS-attack. Det primära målet är ofta att tysta en motpart eller skapa betydande driftstörningar i motpartens infrastruktur för tele- och datakommunikation. Dessa typer av DDoS-attacker är i allmänhet mycket större och välorganiserade då angriparen innehar större resurser. Ett exempel som misstänks vara av denna typ inträffade i mars 2015, då en DDoS-attack med ett ursprung från Kina riktades mot resurser som hostades på Github med ”anti-kinesiskt” innehåll. Ett annat exempel är en DDoS-attack som pågick under tre veckor under våren 2007 med inriktning mot Estland, och som då medförde att landet blev bortkopplat från Internet. Attacken påstås vara länkad till en politik tvist med Ryssland.

Personlig Vendetta

DDoS har sitt historiska ursprung främst från tvister mellan individer eller mindre grupper på nätet. Dessa typer av attacker växte i popularitet under slutet av 1990-talet och tvisterna uppkom i olika sorters chattar online. Det primära syftet med attackerna var att ”straffa” någon som uppfattades som dum och med hjälp av attacken ”tysta dem”. Dessa typer av attacker är vanligt förekommande även idag.

Affärsrivalitet

Syftet med dessa attacker är att orsaka ekonomiska konsekvenser eller andra sorters besvär för konkurrenter. Dessa attacker pågår oftast under lång tid och riktar sig mot resurser som är intäktsgenererande för motparten såsom e-handelssystem. Genom att det har tillkommit tjänster kallade ”DDoS-for-hire”, där någon för mindre än 200 kronor kan köpa en riktad DDoS-attack, har detta medfört att den här typen av angrepp är vanligt förekommande.

Terminologi inom nätverk-och datakommunikation

Som ett första led går jag igenom några begrepp inom nätverk- och datakommunikation som kan vara bra att ha med sig inför kommande delar av min serie av blogginlägg som behandlar området DDoS.

• OSI-modellen

  OSI-modellen (Open Systems Interconnection model) är en konceptuell modell som på ett standardiserat sätt beskriver hur kommunikationen fungerar inom nätverksanslutna system. Se bild över modellen genom att klicka här samt tabell som visar de 7 olika lager som modellen består av på följande länk.

  De flesta DDoS-attacker sker inom lager 3 (Nätverk), lager 4 (Transport) och lager 7 (Applikation). Jag kommer att beskriva detta mer framöver.

• WAN routing / anslutningar

  Internet är en samling av sammankopplade datornätverk som kommunicerar genom IPv4- eller IPv6-protokoll. Mindre nätverk som exempelvis ett privat hemnätverk eller ett mindre företagsnätverk ansluter sig till internet genom sina Internetleverantörer (ISPer). Internetleverantörer och andra stora nätverk ansluter sig till varandra genom en eller fler offentliga och privata ”peering”-punkter där nätverkstrafik kan utväxlas med varandra. Anslutningarna mellan nätverksenheter består av fysiska fiberoptiska- eller kopparkablar som är begränsade i kapacitet. Sammankopplingen av stora nätverk hanteras primärt av protokollet BGP, som skapar en mekanism för att utbyta information om ”route” eller ”path”. Denna routinginformation tillåter ett internetanslutet nätverk att annonsera till hela Internet genom vilka vägar ”paths” som nätverket kan nås.

• IPv4 / IPv6

  ”Internet Protocol” är protokollet som alla internetanslutna enheter använder sig av för att kommunicera på Internet. Ett IP-paket innehåller en mängd information, men viktigast av allt innehåller den information om källan och destinationsadressen för nätverksenheterna som kommunicerar med varandra.

• TCP

  Transmission Control Protocol (TCP) är ett lager 4 protokoll (på OSI-modellen - Transport) och används för att etablera ”virtual circuits” mellan två applikationer. En ”virtual circuit” är en pålitlig, förbindelsebaserad kommunikationskanal. TCP-data finns i ett IP-paket och görs tillförlitlig genom addering av kontrollsummor, sortering av information, och en mottagningsmekanism. Kommunikationen genom en helt etablerad TCP ”virtual circuit” är svår att förfalska.

• UDP

  User Datagram Protocol (UDP) är ett lager 4 protokoll (på OSI-modellen - Transport) och används för förbindelselös överföring av data mellan applikationer. UDP består av en kontrollsumma men garanterar inte tillförlitligheten eller sortering av data om den inte implementeras inom ett högre ”layer protocol”. På grund av denna begränsning kan en angripare ofta förfalska UDP-baserad kommunikation.

• ICMP

  Internet Control Message Protocol (ICMP) finns i ett IP-paket, men anses ofta vara ett lager 3 protokoll (på OSI-modellen - Nätverk). Protokollet används primärt för mellanliggande nätverksenheter som skickar felmeddelanden tillbaka till en sändare av data. ICMP innehåller en kontrollsumma men garanterar inte tillförlitlighet eller sortering av data. På grund av denna begränsning kan en angripare förfalska ett ICMP-meddelande.

• HTTP (S)

  Hypertext Transfer Protocol (HTTP) och dess krypterade motsvarighet HTTPS är ett lager 7 applikationsprotokoll som används för kommunikation av data på informationsnätverket World Wide Web på Internet. Både HTTP och HTTPS förfrågningar skickas inom TCP ”virtual circuits”, vilket resulterar i en tillförlitlig kommunikationskanal. Användningen av TCP medför att förfalskning av viss klientinformation såsom käll-IP-adresser är mycket svårt.

• DNS

  Protokollet Domain Name System (DNS) är en mekanism för applikationer att få IP-adressinformation för nätverksnamn på ett förenklat sätt genom att koppla ihop domännamn av typen www.exempel.se med IP-adresser av typen 192.1.2.24. DNS-protokollet fungerar primärt över UDP, men kan även fungera över TCP för vissa transaktioner av större datamängder. DNS-frågor över UDP kan enkel förfalskas till att innehålla en falsk IP-källadress. Det är dock mycket svårt att förfalska IP-källadressen för en DNS-förfrågan som skickas över en TCP ”virtual circuit”.

• BGP

  Border Gateway Protocol (BGP) är den mekanism genom vilken nätverk på Internet ansluts till varandra (peers). BGP är det routingprotokoll som binder samman Internet. Vid upprättande av en peering session med ett nätverk utbyter varje BGP deltagare information om routningstabellen som innehåller alla nätverk som kan nås genom den part som peerar.

Nästa blogginlägg kommer fördjupa sig på den vanligaste typen av DDoS-attacker som går under benämningen ” Volumetric attacks”. 

Over and out!