tisdag, december 11
Trending
IT-Säkerhet
IT-Säkerhet
Du är här:»Kategori: "DDos-attack"

Browsing: DDos-attack

DDOS-attack

Vad är en DDoS attack?

Om du vill ta bort ett nätverk eller sänka en webbserver på Internet är det enklaste sättet att göra det är med en distribuerad denial of service (DDoS).

DDos-attack eller distributed denial-of-service-attack är en överlastningsattack som innebär att man skickar mängder av anrop till en server för att sänka den. Angriparen får hackade datorer att göra anrop till en hemsidas webbserver eller nätverk vilket får servern att gå ner och krascha. Ofta används trojaner vid den här typen av attacker.  Genom överbelastningsattacker är att göra en maskin eller nätverksresurs otillgänglig för de avsedda användarna.Som namnet visar är detta en attack avsedd att förhindra legitima användare från att komma till platsen.

Syftet kan vara politiskt för att sänka en server som man inte sympatiserar med – men bland cyberkriminella kan orsaken vara ekonomiskt och att de försöker med utpressning. Exempelvis har man gjort ddos attacker mot Paypal och säkerligen mot de flesta banker och större system.

DDos attacken mot Telia

I december 2014 utsattes Telia för större DDoS-attacker som kom från Ryssland och attackerna har inneburit att kunderna har drabbats under flera dagar. För företaget är det pinsamt att säkerheten är såpass eftersatt att Sveriges största internetleverantör med en miljon kunder får problem att ringa nödsamtal.

En del tror att hackergruppen Lizzard Squad ligger bakom och de har sagt sig ligga bakom attacken. Telia har skrivit till Post och Telestyrelsen över det som inträffat där en felinställning i kombination med hackerattacken varit identifierade problem och de jobbar med en åtgärdsplan för att förhindra liknande attacker.

Kända attacker mot företag

Under 2013 var en världens största ddos attacker en attack som riktades mot säkerhetsföretaget Spamhaus som hjälper till att stoppa spam. Attacken var i storleksordningen 300 Gb/s och en s Layer 3 attack. Läs mer om attacken här

Mirai DDoS-attack påverkade försäkringsbranschen. Fredagen den 21 oktober  2016 utfördes en DDoS-attack som ledde till att ett stort antal av världens mest populära webbplatser blev otillgängliga för många användare exempelvis Twitter, Amazon, Netflix och GitHub. Attacken utfördes med hjälp av ett IoT-botnet som heter Mirai, som fungerade genom att kontinuerligt söka efter IoT-enheter med standardanvändarnamn och lösenord. Attacken var sofistikerad och använde maskerad TCP och UDP trafik över port 53.

Kostnader för ett angrepp med DDos

Om du har en e-handelssajt kan det bli väldigt kostsamt om sajten får avbrott och du kan tex skydda dig med botnet plugins i wordpress och förbättra prestandan på servern och tjänster som exempelvis Cloudflare. Likaså se till att porten på din router inte är en flaskhals och kan hantera större mängder Gb/s.

DDOS attacker ökar och numera finns det tom tjänster där det öppet går att köpa DDos attacker för 5 dollar!
What is Botnet/Ddos from hackershop on Vimeo.

Olika metoder för DDoS-attack

En DDoS-attack kan överbelasta kapaciteten hos en maskin eller ett nätverk och blockera alla användare på en gång och det finns lite olika nyanser av attacker men alla syftar till att skicka mängder av trafik till sajten.

  • SYN flood är den vanligaste formen av DDoS attack och den binder upp server resurser till följd av Transmission Control Protocol (TCP). I grunden är det en avbruten handskakning där man synkroniserar (SYN)  stora mängder borttagna SYN-paket i ett försök att konsumera tillräckligt med resurser för att göra servern otillgänglig för legitima användare. För att identifiera en SYN Flood undersöker man nätverks loggar och letar efter TCP SYN flaggan. Exempel på verktyg  är Tcpdump och Wireshark.
  • XSYN flood (Essyn flood) är en variant på SYN flood där man använder ett stort antal unika IP-adrasser för att försöka att öppna förbindelser med måldatorn.
  • UDP flood (user datagram protocol)- är ett förbindelselöst protokoll som använder datagram som är inbäddade i IP paket. En UDP Flood är mycket lik en SYN Flood där angripare använder ett botnet till skicka en stor mängd trafik mot målservern.Skillnaden är att denna attack är mycket snabbare.Attacken verkas
    eftersom en server tar emot ett UDP-paket på en nätverksport som 50555 / UDP, kommer att kontrollera för en program som lyssnar på den porten. Om inget lyssnar på den porten, kommer den att svara på avsändare av UDP-paket med en Internet Control Message Protocol (ICMP) Destination Unreachable
    paket. Under en attack sker ett stort antal UDP-paket var och en med olika destinationsportar, då servern är tvungen att bearbeta var och en, och i de flesta fall, svara på var och en. Detta kan snabbt leda till förbrukning av all tillgänglig bandbredd.För att identifiera en UDP Floo  undersöker man nätverksloggar och leta efter ett stort antal inkommande UDP-paket över oregelbundna nätverksportar som kommer från ett stort antal käll IP-adresser. Det finns många legitima tjänster som använder UDP för sin nätverkstrafik. gemensamma UDP portar är 53 (DNS), 88 (Kerberos), 137/138/445 (Windows) och 161 (SNMP). När man undersöker en DDoS-attack letar man efter UDP-trafik med hög numrerade nätverksportar (1024+).
  • En Fraggle attack är en alternativ metod för att utföra en UDP Flood attack. Vid en Fraggle attack använder angriparen målets IP-adress som sin egen, som kallas spoofing. Då sänder man UDP eko på port 7.
  • ICMP flood (Internet Control Message protokol) kallas också ping flood. En ICMP Flood uppstår när en angripare använder ett botnät för att skicka ett stort antal ICMP-paket till en målserver i ett försök att förbruka all tillgänglig bandbredd och neka legitima användare tillgång till servern.
  • IGMP flood
  • http get flood – använder flera http get requests. Attackerna riktar sig mot port 80 och datapacketet börjar på ”GET”.
  • http post flood . Denna attack fungerar eftersom den tvingar webbservern att avsätta mer resurser som svar på varje inkommande begäran. Ett stort antal av dessa requests kan binda upp tillräckligt med resurser på servern som
    att neka legitima användare tillgång till webbservern
  • DNS reflection attack & amplifiction attack. En Domain Name System (DNS) DDoS-attack inträffar när angriparen manipulerar DNS-systemet till
    skicka en överväldigande mängd trafik till målet.Du kan kolla på http://openresolverproject.org om du blivit utsatt för den här typen av angrepp.
  • NTP reflection Ddos vulnerabilities – när angriparen använder trafik från en legitim NTP server för att belasta  måldatorn.NTP används för att synkronisera klockorna på nätverks maskiner och körs över port 123 / UDP. Det finns ett kommando monlist som visar de senaste 600 anslutingarna till NTP-servern.
  • Tsunami DDos vulnerability
  • SSDP reflection attack med amplifiering
  • IPv4 exhaustion attack (gammal attack)
  • IPv6 exhaustion attack
  • WordPress Pingback Reflection attack – använder pingback funktionen i det populära CMS-systemet Wordpress.

Webb-fokuserade attacker inkluderar DNS attacker, NTP amplification (förstärkning), och sårbarheter sk exploits i webbapplikationer.

Attacker kan komma från zombiedatorer i ett botnät. En rad andra tekniker är möjliga som reflektion och förstärknings attacker där oskyldiga system luras att skicka datatrafik.

Enligt säkerhetsgurun Bruce Schneider har infrastrukturföretag sett en ökning av sofistikerade DDoS-attacker. Dessa pågår längre och är mycket mer kraftfulla och trenden är under Q2 2016 var att attackerna fortsatte att bli vanligare,ihållande och komplexa och pekar mot  utländska stater och i blogginlägget spekularar han kring Kina.

Exempel på program för DDoS-attacker

Det finns mängder av olika verktyg som kan användas vid DDoS.

  • Low Orbit Ion Cannon (LOIC) är ett stress test program som skapar mängder av TCP, UDP eller http trafik. Var första generationens verktyg
  • Janidos v.3 – förstör webbplatsen med multi query system
  • Backtrack – penetrationstester
  • Sockstress – är ett farligt verktyg som fungerar över Internet och som äter upp allt ramminne.
  • Hping
  • Slowloris –  är ett slow denial of service verktyg
  • RU Dead Yet (R.U.D.Y) är ett slow denial of service verktyg
  • #RefRef – kan användas för injection attacker i SQL
  • HOIC (High Orbit Ion Cannon)

This is a DDOS

http://en.wikipedia.org/wiki/Denial-of-service_attack

https://youtu.be/8B6tvJMfaDU

Observera sådana här system bör man bara använda mot sina egna system.

https://www.youtube.com/watch?v=q2FxTgd3uTE

Hur man kan skydda sig mot DDoS-attacker

Rekommendationerna för DDoS attacker varierar beroende på vilken typ av attack du utsätts för. En nätverk attack från samma IP-adress kan blockeras genom att lägga till en ny brandväggsregel, men många attacker kommer från ett stort antal punkter – och dessa är svårare att skydda sig mot.

Kostnaden för att skydda sig mot DDos-attacker är väldigt hög och handlar i princip om bandbredd. Utrustningen kan i vissa fall kosta väldigt mycket, vilket innebär att de flesta företag föredrar att hyra skyddsutrustning snarare än att köpa. Det kan ta månader att sätta upp och förbereda en webbplats mot DDoS attacker.

  • Ha en bra relation med din ISP och nätverksprovider.
  • Undersök och använd företag som mildrar effekkterna av en DDoS-attack
  • Aktivera brandväggsloggning som visar accepterad och förnekad trafik i syfte att bestämma DDoS attackens ursprung.
  • Definiera strikt ”TCP keepalive” och ”maximal connection” på alla omkrets enheter som brandväggar och proxyservrar.
  • Överväg port och paketstorleks filtrering
  • Validera regelbundet grundläggande trafikmönster (volym och typ) för offentlig webbplatser.
  • Se till att du har uppdaterad programvara på firewall och servrar
  • Konfigurera brandväggar att blockera inkommande trafik kommer från IP-adresser som är reserverade (0/8), loopback (127/8), privat (RFC 1918 block 10/8, 172,16 / 12 och 192,168 / 16), otilldelade DHCP-klienter (169.254.0.0/16~~number=plural).
  • Konfigurera brandväggar för intrångsdetektering & förebyggande enheter och få larm om trafikavvikelser.

Firewalls
Om du har blivit utsatt för en attack börja med att ta reda på mer om attacken och vad det är för attack. Om du blivit attackerad med en SYN flood så se till att sätt  “TCP keepalive” och “maximum connection” regler på alla anslutna enheter som firewalls och proxy servers.

En del firewalls har  “SYN cookies” När det här är aktiverat, kommer brandväggen validera TCP-anslutningen mellan klient och server innan trafiken skickas till servern.

För att minska effekten av UDP Flood attacker fastställs strikta regler på perimeternätverket som brandväggar för att endast tillåta inkommande trafik på de portar som krävs.

Wordpresss
Om man använder Wordpress finns det enkla plugins som skyddar mot vissa DDoS attacker som Botnet Attack Blocker och man kan exempelvis filtrera bort IP-adresser från ett annat land exempelvis Ryssland.

Grundläggande skydd mot DDoS-attacker

De flesta företag betalar i genomsnitt $ 149- $ 399 per månad för grundläggande DDoS skydd efter att ha blivit utsatta för angrepp och man tar strategiska försiktighetsåtgärder.

Grundläggande skydd skyddar servrarna i första hand från dålig trafik, eftersom attackerna måste gå igenom flera lager av DDoS skydd filter. Om du har en stor webbplats ägare som får attacker som använder så mycket som 8 Gbps / 700k paket per sekund, kan det kosta 300 000 dollar.  Det utesluter de stora, årliga underhållsavgifter som du måste betala för underhåll. De flesta attacker är bara i genomsnitt 100 Mbps / 10 000 paket per sekund.

Du kan använda en CDN för att stärka upp din webbserver och mildra effekterna av en DDoS. En CDN exempelvis från Cloudflare kan få upp en webbserver online efter några minuter ifall det är en normal attack.

PDF-dokument
Ladda ner guide till ddos attacker