Det finns många cyberhot som internetanvändare och nätverksadministratörer måste vara försiktiga med, men för organisationer vars tjänster till stor del fungerar online är en av de viktigaste attackerna att vara medveten om, på grund av deras ökande utbredning - DDoS-attacker (Distributed Denial of Service). Men vad är en denial-of-service attack, hur fungerar de och finns det sätt att förhindra dem?
Distributed Denial of Service: En definition
Vad är en DDoS-attack? Den här typen av attack utnyttjar de specifika kapacitetsgränser som gäller för alla nätverksresurser, t.ex. infrastrukturen som stödjer ett företags webbplats. Vid DDoS-attacken skickas flera begäranden till den attackerade webbresursen i syfte att överskrida webbplatsens kapacitet att hantera flera begäranden och hindra webbplatsen från att fungera korrekt. Typiska mål för DDoS-attacker inkluderar e-handelssajter och alla organisationer som erbjuder onlinetjänster.
Hur fungerar det?
En viktig del av att förstå DDoS-attacker är att lära sig hur dessa attacker fungerar. Nätverksresurser, t.ex. webbservrar, kan hantera ett begränsat antal begäranden samtidigt. Förutom serverns kapacitetsgräns har även den kanal som ansluter servern med internet en begränsad bandbredd/kapacitet. När antalet begäranden överstiger kapacitetsgränsen för någon av komponenterna i infrastrukturen kommer servicenivån troligen att lida på något av följande sätt:
Vanligtvis är angriparens mål i alla DDoS-attackexempel att överväldiga webbresursens server, förhindra normal funktion och resultera i en total överbelastning. Angriparen kan också begära betalning för att upphöra med attacken. I vissa fall kan en DDoS-attack även vara ett sätt att försöka misskreditera eller skada en konkurrents verksamhet.
För att utföra attacken tar angriparen kontroll över ett nätverk eller en enhet genom att infektera den med skadlig programvara och skapa ett botnät . De initierar sedan attacken genom att skicka specifika instruktioner till botarna. I sin tur börjar botnätet skicka förfrågningar till målservern via dess IP-adress , överväldigande den och orsakar denial-of-service till dess vanliga trafik.
Exempel på DDoS-attack: Vilka är de olika typerna av attacker?
Att lära sig innebörden av DDoS och hur dessa attacker fungerar är ett steg för att förhindra dem, men det är också viktigt att förstå att det finns olika typer av DDoS-attacker. Detta beror på att först beskriva hur nätverksanslutningar bildas.
Open Systems Interconnection (OSI)-modellen, utvecklad av International Organization for Standardization, definierar sju distinkta lager som utgör internetnätverksanslutningar. Dessa inkluderar det fysiska lagret, datalänkslager, nätverkslager, transportlager, sessionslager, presentationslager och applikationslager.
De många DDoS-attackexemplen skiljer sig åt beroende på vilket anslutningslager de riktar sig till. Nedan följer några av de vanligaste exemplen.
– Attacker mot programlager
Kallas ibland en lager 7-attack (eftersom den riktar sig mot det 7 :e (applikations-) lagret i OSI-modellen), dessa attacker tar ut målserverns resurser med hjälp av DDoS-webbplatser. Det 7 :e lagret är där en server genererar webbsidor som svar på en HTTP-förfrågan. Angripare utför många HTTP-förfrågningar och överväldigar målservern när den svarar genom att ladda de många filerna och köra de databasfrågor som krävs för att skapa en webbsida.
HTTP-flod
Tänk på att dessa DDoS-attacker uppdaterar en webbläsare flera gånger på många datorer. Detta skapar en "flod" av HTTP-förfrågningar, vilket tvingar fram en denial-of-service. Implementeringen av dessa attacker kan vara enkel – med en webbadress med ett smalt intervall av IP-adresser – eller komplicerat med en rad IP-adresser och slumpmässiga webbadresser.
Protokollattacker
Dessa DDoS-attacker, ofta kallade tillståndsattacker, utnyttjar sårbarheter i det 3 :e och 4 :e lagret av OSI-modellen (nätverks- och transportlagren). Dessa attacker skapar en denial-of-service genom överväldigande serverresurser eller nätverksutrustningsresurser, såsom brandväggar . Det finns flera typer av protokollattacker, inklusive SYN-översvämningar. Dessa utnyttjar TCP (Transmission Control Protocol) handskakning, som gör att två kan upprätta en nätverksanslutning och skicka ett ohanterligt antal TCP "Initial Connection Requests" från falska IP-adresser.
– Volumetriska attacker
Dessa DDoS-attackexempel skapar en denial-of-service genom att använda all tillgänglig bandbredd på en målserver genom att skicka enorma mängder data för att skapa en ökning av trafiken på servern.
DNS-förstärkning
Detta är en reflektionsbaserad attack där en begäran skickas till en DNS-server från en falsk IP-adress (målserverns), vilket uppmanar DNS-servern att "ringa" målet tillbaka för att verifiera begäran. Denna åtgärd förstärks genom att använda ett botnät, vilket snabbt överväldigar målserverns resurser.
Identifiera en DDoS-attack
DDoS-attacker kan vara svåra att identifiera eftersom de kan efterlikna konventionella tjänsteproblem och blir allt mer sofistikerade. Det finns dock vissa tecken som kan tyda på att ett system eller nätverk har fallit offer för en DDoS-attack. Några av dessa inkluderar:
- En plötslig ökning av trafiken som kommer från en okänd IP-adress
- En flod av trafik från många användare som delar specifika likheter, som geolokalisering eller webbläsarversion
- En oförklarlig ökning av förfrågningar om en enda sida
- Ovanliga trafikmönster
- Långsam nätverksprestanda
- En tjänst eller webbplats som plötsligt går offline utan anledning
Förebyggande och begränsning av DDoS-attacker
Även om DDoS-attacker kan vara utmanande att upptäcka, är det möjligt att implementera flera åtgärder för att försöka förhindra dessa typer av cyberattacker och mildra eventuella skador i händelse av en attack. För användare som undrar hur man förhindrar DDoS-attacker är nyckeln att skapa en handlingsplan för att säkra system och minska skador i händelse av en attack. I allmänhet är det fördelaktigt att implementera en lösning som Kaspersky DDoS-skydd för företag, som kontinuerligt analyserar och omdirigerar skadlig trafik. Dessutom kan följande allmänna råd hjälpa dig att ytterligare förbättra ditt försvar:
- Bedöm den nuvarande systemuppsättningen - inklusive programvara, enheter, servrar och nätverk - för att identifiera säkerhetsrisker och potentiella hot, och implementera sedan åtgärder för att minska dessa; göra regelbundna riskbedömningar.
- Håll all programvara och teknik uppdaterad för att säkerställa att de kör de senaste säkerhetskorrigeringarna.
- Utveckla en hållbar strategi för förebyggande, upptäckt och begränsning av DDoS-attacker.
- Se till att alla som är involverade i attackförebyggande planen förstår DDoS-attackens innebörd och deras tilldelade roller.
I händelse av en attack kan dessa åtgärder erbjuda en viss begränsning:
- Anycast-nätverk: Att använda ett Anycast-nätverk för att omfördela trafiken kan hjälpa till att upprätthålla serverns användbarhet medan problemet åtgärdas, vilket säkerställer att servern inte behöver stängas av helt.
- Svarthålsrutt: I det här scenariot dirigerar en nätverksadministratör för ISP all trafik från målservern till en svarthålsrutt (riktad IP-adress), släpper den från nätverket och bevarar dess integritet. Detta kan dock vara ett extremt steg att ta eftersom det också blockerar legitim trafik.
- Hastighetsbegränsning: Detta begränsar hur många förfrågningar en server kan acceptera när som helst. Även om det inte kommer att vara särskilt effektivt på egen hand, kan det vara användbart som en del av en större strategi.
- Brandväggar: Organisationer kan använda Web Application Firewalls (WAF) för att fungera som en omvänd proxy för att skydda sina servrar. WAF:er kan ställas in med regler för att filtrera trafik, och administratörer kan ändra detta i realtid om de misstänker en DDoS-attack.
Relaterade artiklar och länkar:
- Vad är ett trojansk hästvirus? typer och hur man tar bort det
- Hur man förhindrar att DDoS-attacker förstör din nästa spelsession
Relaterade produkter och tjänster:
