Hvad er et DDoS-angreb?

Det kan bedst beskrives med en motorvejsmetafor, hvor hackeren har proppet motorvejen til med enorme bilkøer, således at al ny trafik fra alle indfaldsveje blokeres. Til at begynde med var DoS-angreb blot et enmandsværk, men med stadig mere kraftfulde computere og servere har det sidenhen krævet flere ressourcer for hackerne at gennemføre angrebet. Det er derfor i dag blevet til DDoS-angreb – Distributed Denial of Service.

DDoS bærer samme grundprincip og formål som DoS. Et DDoS-angreb er blot meget mere omfattende og klart mere kraftfuldt, eftersom der her ikke kun er tale om et enmandsværk, men i stedet om en samlet gruppe af enheder, der har rettet et angreb mod en server eller et netværk.

Det ekstra D i DDoS forklarer forskellen. D’et står for Distributed (Denial of Service) og dækker over det fænomen, at hackeren har formået at inficere en masse enheder, som han har taget kontrollen over, og derfra distribuerer sine angreb afsted mod en specifik webserver. Hackeren formår via disse bots at fjernstyre de respektive enheder til at søge mod en bestemt server for at overbelaste det og i sidste ende få det til at lukke ned for sin service og trafik.

Et DDoS-angreb kan rettes mod flere forskellige komponenter af en netværksforbindelse. Hver forbindelse, som skabes over internettet, går igennem de såkaldte OSI-lag. OSI-modellen opererer med 7 forskellige lag, men de fleste DDoS-angreb sker i følgende tre lag:

• Netværkslaget (lag 3): Angreb i dette lag inkluderer Smurf-angreb, ICMP flood-angreb og IP/ICMP-fragmentering.
• Transportlaget (lag 4): Angreb i dette lag inkluderer SYN Flood-angreb, UDP Flood-angreb og TCP Connection Exhaustion.
• Applikationslaget (lag 7): Angreb i dette lag omfatter hovedsageligt HTTP-krypterede angreb.

Der findes ikke blot et, men flere forskellige typer af DDoS-angreb, der hver især sættes ind på forskellige steder. Her følger en kort gennemgang af de forskellige DDoS-angreb.

TCP-forbindelsesangrebet, også kaldet SYN flood-angreb, udnytter den såkaldte 3-vejs handshake-proces (SYN, SYN-ACK, ACK-pakkesekvens), når der skal etableres en TCP-forbindelse. Hackeren skaber forvirring i den normale afsendelsesprocedure for datapakker, som får modtageren til at efterlade sine serverporte åbne, hvormed hackeren kan oversvømme den pågældende server og bringe den i knæ.

De volumetriske angreb er de mest hyppigt anvendte DDoS-angreb. Her søger hackeren at opbruge al båndbredde mellem det udsøgte mål og internettet. Dette gøres hovedsageligt ved hjælp af botnets, som dirigeres hen mod det valgte mål.

Et eksempel kan være en slags DDoS IP-angreb, hvor hackeren ‘spoofer’ offerets IP-adresse og foretager adskillige anmodninger til en åben DNS-server. Angrebet er struktureret således, at der sendes mere og mere data, hver gang DNS-serveren svarer, således at den sidste ende ikke kan rumme mere og bryder sammen.

Internettrafik sendes på kryds og tværs af internettet via datapakker. Disse datapakker distribueres af to forskellige netværksprotokoller: TCP vs UDP. Hvad end det er TCP eller UDP-protokollen, der benyttes, så er datapakker altid måden at sende informationen på. Et fragmenterings-angreb handler i bund og grund om at overbelaste en af de to netværksprotokoller med falske datapakker, hvormed man i sidste ende kan nedbryde netværket via en trafikoversvømmelse af falske datapakker.

Applikationslags-angreb er angreb rettet mod det lag, hvor serveren genererer hjemmesider og responderer på HTTP-anmodninger. Oversat til mere forståeligt computersprog, så svarer dette angreb til, at nogen konstant trykker ‘refresh’ på en side. Det ligner udadtil en helt legitim handling, og bliver ofte først opdaget, når det er for sent, når systemet er brudt ned på grund af overbelastningen. Applikationslags-angreb er forholdsvis billige at foretage og er faktisk nogle af de sværeste angreb at spore.

Ja, i de fleste lande er DDoS-angreb ulovligt og kan i visse lande give op til 10 år fængselsstraf. Det er dog ofte utroligt svært at spore den eller de hackere, som står bag et DDoS-angreb. Eftersom angreb lanceres fra flere hundrede enheder, så er selve sporingsarbejdet ekstremt omstændeligt. Visse cyber-værktøjer kan tages i brug for at spore bagmændene, men det er et tidskrævende arbejde og ender ofte med at være forgæves.

Det er normalt ikke enkeltpersoner som sådan, der angribes via DDoS. DDoS-angreb bruges ofte til pengeafpresning af større virksomheder eller velhavende instanser og vil næppe ramme en ganske almindelig ubetydelig borger.

Hvis du er gamer, kan du dog opleve DDoS-angreb fra en modstander i bestræbelserne på at forstyrre dig i spillet, men dette udgør som sådan ikke en sikkerhedsrisiko for dig. Og udover det, vil du aldrig selv kunne have nogen form for indflydelse på at forhindre et DDoS-angreb online.

Men skulle du være involveret i P2P-gaming, hvor du forbinder dig direkte til en anden spiller, så vil det være muligt for din modstander at finde din IP-adresse og foretage det såkaldte DoS-angreb. Der findes ingen DDoS-beskyttelse, men man kan altså forhindre et DoS-angreb ved at benytte en VPN online service til at maskere ens oprindelige IP-adresse. NordVPN tilbyder også en Threat Protection Pro-funktion, der scanner alle nye filer, du gerne vil downloade. På den måde sikrer du, at du ikke downloader en malware-inficeret fil, der eventuelt kunne kapre din enhed i forbindelse med et DDoS-angreb.

En VPN til gaming vil være en stor fordel. Vil du vide mere? Tjek siden ”Hvad er et VPN” for at læse mere, om hvad en VPN er, og hvordan den fungerer i praksis.