- Hvad er DoS- og DDoS-angreb?
- Hvordan kategoriseres værktøjer til DoS/DDoS-angreb?
- Lav og langsomme angrebsværktøjer
- Angrebsværktøjer til applikationslag (L7)
- Værktøjer til angreb på protokol- og transportlag (L3/L4)
- Hvad er almindeligt anvendte DoS/DDoS-angrebsværktøjer?
- Low Orbit Ion Cannon (LOIC)
- High Orbit Ion Cannon (HOIC)
- Slowloris
- R.U.D.Y (R-U-Dead-Yet)
- Hvordan kan jeg forsvare mig mod DoS/DDoS-værktøjer?
Hvad er DoS- og DDoS-angreb?
Denial-of-service (DoS)- og distributed denial-of-service (DDoS)-angreb er ondsindede forsøg på at forstyrre den normale drift af en server, tjeneste eller et netværk ved at overvælde det med en strøm af internettrafik.
DoS-angreb skaber denne forstyrrelse ved at sende ondsindet trafik fra en enkelt maskine – typisk en computer. De kan være meget enkle; et grundlæggende ping-flood-angreb kan udføres ved at sende flere ICMP-forespørgsler (ping-forespørgsler) til en målserver, end den er i stand til at behandle og besvare effektivt.
DoS-angreb bruger derimod mere end én maskine til at sende skadelig trafik til deres mål. Ofte er disse maskiner en del af et botnet – en samling af computere eller andre enheder, der er blevet inficeret med malware og dermed kan fjernstyres af en individuel angriber. Under andre omstændigheder iværksætter flere individuelle angribere DDoS-angreb ved at arbejde sammen om at sende trafik fra deres individuelle computere.
DoS-angreb er mere udbredte og skadelige på det moderne internet af to årsager. For det første har moderne sikkerhedsværktøjer udviklet sig til at stoppe nogle almindelige DoS-angreb. For det andet er værktøjer til DDoS-angreb blevet relativt billige og lette at betjene.
Hvordan kategoriseres værktøjer til DoS/DDoS-angreb?
Der findes en række værktøjer, der kan tilpasses til at iværksætte DoS/DDoS-angreb, eller som er udtrykkeligt designet til dette formål. Den førstnævnte kategori er ofte “”stressorer”” – værktøjer med det erklærede formål at hjælpe sikkerhedsforskere og netværksingeniører med at udføre stresstest mod deres egne netværk, men som også kan bruges til at udføre ægte angreb.
Nogle er specialiserede og fokuserer kun på et bestemt lag i OSI-modellen, mens andre er designet til at give mulighed for flere angrebsvektorer. Kategorier af angrebsværktøjer omfatter:
Lav og langsomme angrebsværktøjer
Som navnet antyder, bruger disse typer af angrebsværktøjer en lav datamængde og fungerer meget langsomt. Disse værktøjer er designet til at sende små datamængder på tværs af flere forbindelser for at holde porte på en målrettet server åbne så længe som muligt, og de fortsætter med at optage serverens ressourcer, indtil den ikke er i stand til at opretholde yderligere forbindelser. Det er unikt, at lave og langsomme angreb til tider kan være effektive, selv når der ikke anvendes et distribueret system som f.eks. et botnet, og de anvendes almindeligvis af en enkelt maskine.
Angrebsværktøjer til applikationslag (L7)
Disse værktøjer er rettet mod lag 7 i OSI-modellen, hvor internetbaserede anmodninger som f.eks. HTTP forekommer. Ved at bruge et HTTP-flood-angreb til at oversvømme et mål med HTTP GET- og POST-forespørgsler kan en ondsindet aktør udsende angrebstrafik, der er vanskelig at skelne fra normale forespørgsler fra faktiske besøgende.
Værktøjer til angreb på protokol- og transportlag (L3/L4)
Disse værktøjer, der går længere ned i protokolstakken, bruger protokoller som UDP til at sende store mængder trafik til en målserver, f.eks. under en UDP-flood. Selv om disse angreb ofte er ineffektive individuelt, findes de typisk i form af DDoS-angreb, hvor fordelen ved yderligere angribende maskiner øger effekten.
Hvad er almindeligt anvendte DoS/DDoS-angrebsværktøjer?
Nogle almindeligt anvendte værktøjer omfatter:
Low Orbit Ion Cannon (LOIC)
LOIC er et open source-stress-testprogram. Det giver mulighed for at udføre angreb på både TCP- og UDP-protokollag ved hjælp af en brugervenlig WYSIWYG-grænseflade. På grund af det oprindelige værktøjs popularitet er der blevet oprettet afledte værktøjer, som gør det muligt at iværksætte angreb ved hjælp af en webbrowser.
High Orbit Ion Cannon (HOIC)
Dette angrebsværktøj blev oprettet for at erstatte LOIC ved at udvide dets muligheder og tilføje tilpasninger. Ved hjælp af HTTP-protokollen er HOIC i stand til at iværksætte målrettede angreb, der er vanskelige at afbøde. Softwaren er designet til at have mindst 50 personer, der arbejder sammen i en koordineret angrebsindsats.
Slowloris
Slowloris er et program, der er designet til at igangsætte et lavt og langsomt angreb på en målrettet server. Det har brug for en relativt begrænset mængde ressourcer for at skabe en skadelig effekt.
R.U.D.Y (R-U-Dead-Yet)
R.U.D.Y. er et andet lavt og langsomt angrebsværktøj, der er designet til at give brugeren mulighed for nemt at iværksætte angreb ved hjælp af en simpel peg-og-klik-grænseflade. Ved at åbne flere HTTP POST-forespørgsler og derefter holde disse forbindelser åbne så længe som muligt har angrebet til formål langsomt at overvælde den server, der er målet.
Hvordan kan jeg forsvare mig mod DoS/DDoS-værktøjer?
Da DoS- og DDoS-angreb antager mange forskellige former, kræver afbødning af dem en række forskellige taktiske tiltag. Almindelige taktikker til at stoppe DDoS-angreb omfatter:
- Rate begrænsning: Begrænsning af antallet af anmodninger, som en server accepterer i løbet af et bestemt tidsvindue
- Webapplikationsfirewalls: Værktøjer, der filtrerer webtrafik på grundlag af en række regler
- Anycast-netværksdiffusion:
Cloudflare anvender alle disse strategier og mere til at forsvare sig mod de største og mest komplekse DoS- og DDoS-angreb. Få mere at vide om Cloudflares DDoS-beskyttelse, og hvordan den fungerer.