Så fungerar en DDoS-attack

I veckans Så fungerar-avsnitt belyser vi ett av internets stora otyg – överbelastningsattacker. Karl Emil Nikka besöker Bredband2 som berättar mer om hur de upptäcker och avstyr attacker.

2. Överbelastningsattacker

Överbelastningsattacker som syftar till att slå ut utvalda webbtjänster bygger på en simpel princip. Den som utför attacken har tillgång till uppkopplade datorer som tillsammans kan ge upphov till större trafikanstormningar än den utvalda måltavlans servrar kan hantera. Mängden skräptrafik gör att inga riktiga besökare kan komma åt webbtjänstens resurser.

Botnät

De som vill slå ut en måltavla behöver självfallet inte använda sin egen utrustning. De beger sig i stället till en marknadsplats på Darknet där de kan hyra kapaciteten från en botnätsadministratör. Botnäten är sammanslutningar av infekterade datorer som är uppkopplade runtomkring i världen hos ovetande privatpersoner och företag.

Kostnaden för att hyra ett botnät beror på hur länge attacken ska pågå och vilken kapacitet som krävs. I den senaste Black Market-rapporten från Armor Defence uppskattar de att en entimmesattack kan köpas för en hundralapp och en endygnsattack kan köpas för 2000 kronor (mars 2018).

En av de mest allvarliga överbelastningsattackerna på senare tid inträffade 2016. Då användes botnätet som kallas Mirai för att attackera Dyn.com. Den numera Oracle-ägda webbtjänsten är föga känd för allmänheten, men många SweClockers-läsare känner säkerligen till några av deras produkter såsom Dyndns.

Internetanvändare över hela Nordamerika och Europa blev dock varse om vilken central roll Dyn.com fyller då attacken orsakade driftstörningar för över 1 000 sajter, däribland Netflix, Paypal, Reddit, Spotify och Twitter. Svenska regeringens webbplats drabbades likaså.

Förstärkningsattacker

På grund av sårbarheter i protokoll och felkonfigurerade routrar kan angripare förstärka sina attacker med hjälp av annars legitima servrar på nätet. De kan bland annat missbruka DNS-servrar (som används för att koppla ihop domännamn med IP-adresser) och NTP-servrar (som används för att ställa in klockan).

När en dator skickar en förfrågan till en DNS- eller NTP-server kan den få tillbaka ett svar som är större (fler bitar) än frågan som den skickade. Eftersom både DNS och NTP använder UDP-protokollet (se Så fungerar-avsnitt om UDP) kan bedragare ”spoofa” sin avsändaradress.

Genom att låtsas skicka frågan från den utvalda måltavlans IP-adress kan angripare få DNS- och NTP-servrar att bombardera måltavlan med massvis av oönskad trafik. Den potentiella förstärkningsfaktorn hos en NTP-server är över 200 gånger, så att 1 Gbit/s in blir över 200 Gbit/s ut.

DNS- och NTP-servrar kan missbrukas för att förstärka överbelastningsattacker.

DNS- och NTP-servrar kan missbrukas för att förstärka överbelastningsattacker.

Lösningen på problemet

För att bli av överbelastningsattackerna på nätet måste vi först och främst bli av med botnäten. Det kräver i sin tur att alla blir bättre på att underhålla sina datorer och övriga uppkopplade produkter ur ett säkerhetsperspektiv (och att produkttillverkarna tar ansvar för att släppa säkerhetsuppdateringar).

Internetoperatörerna kan också göra mycket för att skydda sina kunder och avstyra attacker. I veckans avsnitt berättar Mattias Gyllenvarg på Bredband2 mer om detta och att de idag avstyr cirka 3 000 attacker varje månad.