Hvad er et DDoS-angreb?

Enhver organisation eller virksomhed, der er til stede og tilgængelig på internettet, er et potentielt mål for DDoS-angreb.

21-04-2022 - 8 minutters læsning. Under kategorien: cybercrime.

Hvad er et DDoS-angreb?

Enhver organisation eller virksomhed, der er til stede og tilgængelig på internettet, er et potentielt mål for DDoS-angreb. Det er derfor vigtigt, at alle virksomheder, uanset størrelsen, kender til denne type af cyberangreb og tager de rette forholdsregler for at beskytte sig mod dem.

Hvordan fungerer et DDoS-angreb?

DDoS står for "Distributed Denial of Service". Det er en slags overbelastningsangreb, hvor hackere gennem malware har kontrol over mange computere på én gang og anvender dem til at sende store mængder af falsk trafik til en hjemmeside, webserver eller netværk, så disse bliver overbelastede og sat ude af drift. Mens angrebet står på, er hjemmesiden, netværket eller serveren utilgængelig for legitim trafik.

Hvis et websted eller lign. bliver ramt af et DDoS-angreb, vil det modtage tusinder af anmodninger fra adskillige kilder over en periode på minutter eller nogle gange timer. Disse anmodninger er automatiserede og kommer fra et potentielt kæmpe netværk af computere.

DDoS-angreb vs. hacking

Et DDoS-angreb er ikke det samme som andre former for hacking, selvom de to kan anvendes sammen; hackerne bag DDoS-angreb forsøger ikke at få adgang til et websteds filer eller følsomme oplysninger, men i stedet er formålet at få det til at lukke ned eller blive sårbart på grund af mængden af trafik.

I nogle tilfælde kan angrebet blive efterfulgt af forsøg på at hacke webstedet, mens det er sårbart, men i langt de fleste tilfælde er målet blot at få webstedet til at stoppe med at fungere.

Trafikken skabes af botnet

DDoS-angreb er efterhånden blevet ret avancerede og udbredte, blandt andet pga. udbredelsen af sårbare IoT-enheder, der let kan udnyttes i store botnets.

Et botnet er et netværk af potentielt millioner af computere, smartphones, routere og andre internetforbundne enheder, som indeholder applikationer eller malware, der gør det muligt at fjernstyre enhederne, således at de kan indgå i et koordineret DDoS-angreb.

Forskellen på DoS- og DDoS-angreb

Overbelastningsangreb har eksisteret nærmest lige siden internettet blev udbredt. I starten var det muligt for IT-kriminelle at overbelaste en server eller hjemmeside ved at sende mange gentagne anmodninger fra blot én computer. Dette kaldes et DoS-angreb eller "Denial of Service angreb". Den samlede effekt ved den slags angreb er relativt lille og er sjældent en udfordring for serveres eller hjemmesiders kapacitet i dag.

"Distributed" i "Distributed Denial of Service" (DDoS) henviser til, at trafikken kommer mange steder fra grundet botnettet.

Konsekvenserne ved et DDoS-angreb

Nedetid. Den mest umiddelbare og indlysende konsekvens er, at hjemmesiden, serveren eller netværket er overbelastet og bliver utilgængeligt for både virksomheden, kunder eller brugere.

Dette betyder, at al normal trafik ikke er tilgængelig for virksomheden, mens angrebet står på. Det kan påvirke virksomhedens omdømme blandt kunder, stakeholdere eller andre virksomheder. Og hvis hjemmesiden er nede i lang tid, kan det påvirke dens rangering i Google, da ingen kommer ind på hjemmesiden.

Hvis hjemmesiden ikke er tilgængelig på grund af en overbelastning, returnerer den en "502 bad gateway error", hvis man forsøger at komme ind på den, hvilket vil have en negativ indflydelse på Googles søgerangeringer.

Sårbarhed. Et DDoS-angreb kan gøre en virksomheds websted mere sårbart over for hacking, da alle systemerne er fokuseret på at få webstedet til at fungere igen, og sikkerhedssystemerne er muligvis blevet sat ud af drift på grund af angrebet.

Hackere kan derefter nemmere få uautoriseret adgang til hjemmesiden, mens DDoS-angrebet står på.

Follow-up angreb kommer ikke altid fra den samme kilde som den falske trafik, der skabte DDoS-angrebet: en intelligent hacker ved, hvordan man skjuler sine spor og bruger flere IP-adresser til at angribe hjemmesiden, mens vedkommende skjuler sin reelle placering.

Problemer med serveren. Hvis en hjemmeside, server eller netværk er offer for regelmæssige angreb, kan de føre til problemer med virksomhedens hostingudbyder.

En god hostingudbyder tilbyder værktøjer til at sikre et websted mod DDoS-angreb, men hvis en virksomhed eller organisation ikke har dette og samtidigt har delt hosting, kan angrebene påvirke andre websteder på den samme server.

Økonomiske tab. For nogle virksomheder, f.eks. webshops, kan det have store økonomiske konsekvenser, at kunder ikke kan få adgang til virksomhedens hjemmeside. Derudover bliver virksomheder sommetider nødt til at bruge penge på at reparere deres hjemmeside, server eller netværk.

DDoS-angrebstyper

Der findes flere typer af DDoS-angreb, og i de seneste år har en DDoS-teknik kaldet ”DNS Amplification” vist sig at være specielt populær blandt IT-kriminelle. Her udnytter en IT-kriminel kompromitterede enheder til at sende falske forespørgsler til en række DNS-servere, som returnerer forespørgslen til offerets IP-adresse. Datapakkerne der returneres, er generelt mange gange større end forespørgslerne, og angrebet ”forstærkes” derfor via DNS-serverne. Offerets system overbelastes og lukker ned.

Typiske DDoS-angreb er:

  • Volumen-angreb. Overbelaster kapaciteten (båndbredden) på internetforbindelsen.
  • Protokol-angreb. Overbelaster kapaciteten på en firewall, router eller anden netværkskomponent.
  • Applikations-angreb. Udnytter svagheder i programmerne/systemerne på en netværkskomponent, f.eks. en webserver.

Hvad er formålet med DDoS-angreb?

Eftersom hackere ikke ønsker adgang til data eller filer eller afpresser deres ofre for penge, er deres motivationer bag DDoS-angreb anderledes end ved mange andre slags cyberangreb.

DDoS-angreb fra konkurrenter

I nogle tilfælde kan en virksomheds konkurrenter bruge ekstreme metoder til at overgå dem. En konkurrent kan ansætte en hacker til at udføre et DDoS-angreb på en virksomheds hjemmeside velvidende, at det kan påvirke virksomheden på flere områder.

Konkurrenten kan i den tid, hvor hjemmesiden er nede, køre annoncer, der bruger virksomhedsnavnet som et keyword (selvom dette er ulovligt). På den måde kan de komme til at rangere højere end virksomheden på Google.

DDoS angreb grundet content

Nogle steder bliver udsat for DDoS-angreb på grund af det slags indhold, der er på hjemmesiden.

For eksempel kan en whistleblowerportal blive udsat for et DDoS-angreb. Det kan også være en hjemmeside, der beskæftiger sig med kontroversielle emner som retten til abort eller antiracisme. IT-kriminelle der er uenige i sådanne slags budskaber udfører derfor DDoS-angreb for at stoppe andres adgang til hjemmesiderne, så de f.eks. ikke kan få vejledning eller hjælp.

En del nonprofit organisationer beskæftiger sig med kontroversielle emner og kan blive hårdt ramt af økonomiske konsekvenser, hvis de ikke kan modtage donationer.

Politisk motiverede DDoS-angreb

Politisk motiverede DDoS-angreb bliver mere og mere almindelige, da cybertrusler i stigende grad bruges til at påvirke den politiske proces verden over.

Hvis et websted er dedikeret til et politisk parti, kandidat eller organisation eller fremmer en bestemt politisk sag, kan det være sårbart over for cyberangreb fra IT-kriminelle, der er uenige i politikken.

Angrebene kommer ikke unødvendigt fra politiske modstandere. Det er mere sandsynligt, at de kommer fra eksterne kilder, der forsøger at forstyrre den politiske debat, blokere for visse typer af indhold eller presse politikere til at fratræde deres stillinger.

Hvordan undgår man at blive ramt af et DDoS-angreb?

Virksomheder kan aldrig helt undgå eller forhindre at blive ramt af et DDoS-angreb, da det er et eksternt angreb. Der er dog nogle forholdsregler, der kan give beskyttelse eller afhjælpe DDoS-angreb.

En virksomhed kan forberede sig på et DDoS-angreb ved f.eks. at udarbejde en nødforside til deres hjemmeside, som fortæller deres kunder, hvordan de kan kontakte virksomheden.

Det er en god idé for virksomheder at kontakte deres internetudbyder og spørge, hvilke services de tilbyder, hvis virksomheden bliver ramt af et overbelastningsangreb.

Det er også muligt at købe en ekstra separat internetadgang, som kan bruges, hvis den primære internetadgang bliver blokeret.

Endelig kan virksomheder købe en service hos IT-sikkerhedsleverandører, der gør, at deres internettrafik omdirigeres til et såkaldt "scrubbing" center, der har en meget høj båndbredde.

Hvad kan man gøre, hvis man bliver ramt af et DDoS-angreb?

Følg en DDoS-drejebog.

På grund af de øjeblikkelige konsekvenser efter et DDoS-angreb kan det være særligt tidskritisk at håndtere et DDoS-angreb. Efter et angreb er det en stor hjælp for virksomheder at følge en drejebog, som sikrer en ensartet, godkendt og effektiv tilgang til at afværge angrebet og hurtigst muligt komme tilbage til normal drift. Drejebogen kan tilføjes til virksomhedens eksisterende hændelsesresponsplan eller som bilag til beredskabsplanen.

Håndtér angrebet tidligt.

Jo hurtigere et DDoS-angreb opdages og håndteres, jo bedre er mulighederne for at stoppe det eller minimere konsekvenserne. Dette kræver, at man har et godt kendskab til virksomhedens datatrafik, har opsat relevant monitorering og automatisk modtager notifikationer fra egne enheder eller eksterne udbydere, hvis trafikmønsteret ændrer sig markant.

Kontakt internetleverandøren eller den eksterne udbyder.

Leverandører eller eksterne udbydere kan muligvis, som det første efter et angreb, ”null route” datatrafikken, som standser trafikken, inden den når den tiltænkte server. Dette kan imidlertid have samme effekt som et DDoS-angreb, og trafikken bør i stedet, eller hurtigst muligt, sendes forbi en ”scrubber”, som afviser den falske trafik fra DDoS-angrebet, men tillader legitim trafik.

Kontakt DDoS-sikkerhedsfirmaer.

Sikkerhedsfirmaer har typisk en stor kapacitet og erfaring med at håndtere DDoS-angreb hurtigt og kan omdirigere trafikken til egne servere, som kan klare belastningen. Som virksomhed skal man her være opmærksom på, at dette kræver en aftale på forhånd med sikkerhedsfirmaet. Er man som virksomhed i dialog med et sikkerhedsfirma om denne mulighed, kan man med fordel tage udgangspunkt i anbefalingerne fra Center for Cybersikkerhed (CFCS).

Kontakt DDoS-specialister og kriminalpræventive myndigheder.

Efter angrebet er stoppet, og normaldriften er genoprettet, anbefales det at virksomheden udarbejder en undersøgelsesrapport. Her kan virksomheder med fordel benytte et eksternt firma eller anmode om hjælp fra myndigheder, der kender til cyberangreb rettet mod virksomheder.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg