GÃ¥ til indhold Åben navigation Luk navigation
Blogindlæg

DDOS: VI SKAL BLOKERE DE 'RIGTIGE' FORKERTE PAKKER

Dansk fiberudbyder om raffineret DDoS: Vi skal blokere de 'rigtige' forkerte pakker

Det syner ikke af meget ud af den samlede trafik på 300 gigabit/s på Nianets netværk, men en stribe små 'spikes' på forskellige grafer afslører, hvordan domænet hos en større offentlig hjemmeside jævnligt udsættes for forskellige typer angreb. Og de er langtfra de eneste, der er i DDoS-bagmændenes sigtekorn. 

Angrebene har også ændret karakter siden de første DDoS-angreb, der bestod i at samle nok computere og få dem til at rette trafikken mod en hjemmeside.

»I gamle dage var et angreb kæmpestort, men i dag kan det for eksempel være invalide pakker. Vi vil jo nødig have falske positiver, så vi skal forstå at blokere for de 'rigtige' forkerte pakker,« forklarer solution manager Philip Langelund fra Nianet til Version2.

Ved at bruge invalide pakker, skaber angriberne yderligere asymmetri i angrebet, fordi det er let at generere pakkerne, men svært at behandle dem og tage stilling til, om den skal smides væk eller håndteres som en legitim fejl.

Denne type filtrering er svær er lave med en traditionel firewall, der er god til at matche foruddefinerede mønstre, men mindre god til nye variationer.

Angrebene er i dag derfor også mere karakteriseret ved antallet af pakker og deres udformning, end den samlede båndbredde. Målet er stadig at gøre en hjemmeside utilgængelig, men med de nye angrebstyper kan det gøres på mere raffinerede måder end blot at fylde båndbredden op.

DDoS bruges til afpresning ligesom ransomware

De allerførste DDoS-angreb blev blandt andet rettet mod internetkasinoer helt tilbage i den økonomiske cybercrimes begyndelse.

Her var målet afpresning. Senere blev DDoS til internetaktivisternes foretrukne våben. I dag er DDoS tilbage som et middel til afpresning, men med mere professionelle bagmænd end tidligere.

»Vi ser eksempelvis et angreb af en times varighed. Så bliver der sendt en mail, hvor de kræver for eksempel fem Bitcoin. Det er måske 12.000 kroner, så folk betaler. Det er ligesom ransomware. Seks ud af ti angreb handler om løsepenge,« siger Philip Langelund.

Nianet leverer internet til både virksomheder og en række store offentlige myndigheder, og det afspejler sig også i motiverne bag angrebene. For at blive udsat for DDoS, skal angriberne kende din eksistens. Hvis motivet er løsepenge, så ligger der i princippet ikke mere i det.

Men der er også andre motiver. DDoS bruges også stadig til aktivisme, hvis en gruppe ser sig sur på en organisation og ønsker at gøre opmærksom på deres utilfredshed ved at lægge en hjemmeside ned.

Angreb fra ADSL-modemer

Der er imidlertid også de angreb, hvor motivet er mere uklart. Der kan der være tale om en afledningsmanøvre, hvor it-folkenes opmærksomhed rettes mod det synlige problem med et DDoS-angreb, mens andre systemer bliver angrebet mere diskret.

»Men de eneste gange, hvor vi kan spore os frem til 

synderen, er når det er afpresning,« siger Philip Langelund.

Sporing er dog så meget sagt, for selvom mange af Nianets kunder melder angrebene til politiet, så løber sporene næsten altid ud i sandet.

Når der kommer et krav om løsepenge, så kender man motivet og får en idé om, hvem der står bag, men det er meget svært at spore sig frem til personerne bag. Og for de andre angreb ender sporet hos de computere, der er blevet brugt til angrebet.

Indsætter kunstig intelligens i kampen

Det gør det vanskeligt at bekæmpe bagmændene, og derfor har kampen mod DDoS-angreb udviklet sig til et våbenkapløb, hvor internetudbyderne prøver at finde måder at blokere for de nye angrebsmetoder, så hurtigt som de dukker op. Det er dog ingen let sag.

»Vi kan skrabe måske 40 procent af angrebene med regler og filtre, men til resten bruger vi kunstig intelligens. Det er dejligt, at vi har fået processorkraften til at kunne gøre det, men det er dyrt,« siger Philip Langelund.

Kunstig intelligens kan overvåge den normale trafik og lære, hvad der er normalt. Hvis der dukker noget op, som ikke passer til de normale mønstre, så kan der sammensættes filtre til at stoppe det.

Det hjælper dog ikke alle steder, fordi der kan være sider, hvor den normale trafik ikke er den, der foregår det meste af tiden.

Det ses på sider som får meget stor opmærksomhed i korte tidsrum som eksempel ved billetsalg, skatteopgørelser eller andre situationer, hvor en side det meste af tiden kører i tomgang, men skal kunne yde under høj belastning en gang imellem.

»Det kan være en internetudbyders ADSL-modemer, der ikke blevet opdateret, som bagmændene har fundet ud af at bruge til et angreb. Alt, der er tilsluttet internettet, udgør en risiko, hvis det ikke er opdateret,« påpeger Philip Langelund.

Kæmp kampen på kanten af netværket

En anden taktik, internetudbyderne benytter sig af, er at bestemme hvor kampen mod DDoS skal foregå, så de har deres netværk på deres side.

»For os gælder det om at stoppe angrebene helt ude i kanten af vores netværk, hvor vi har de største netværksenheder,« siger Philip Langelund.

De store carrier-routere kan håndtere den type filtrering, der er nødvendig, hvorimod en firewall foran en server vil kunne få større problemer.

Lige nu er der dog ikke noget, der tyder på, at våbenkapløbet mellem internetudbyderne og DDoS-bagmændene slutter.

»Hvor der er penge, er der også en vej. Der kommer flere typer angreb, og volumen vokser, så vores voldgrav skal også vokse. Vi bruger meget tid på det. Det er sørgeligt, men vi kan ikke stille noget op. Angrebene kommer både udefra og hjemmefra, men aldrig fra den der angriber,« siger Philip Langelund.

Live Chat Software