- Vad är DoS- och DDoS-attacker?
- Hur kategoriseras verktygen för DoS/DDoS-attacker?
- Låga och långsamma angreppsverktyg
- Angreppsverktyg för applikationslager (L7)
- Angreppsverktyg för protokoll- och transportskiktet (L3/L4)
- Vad är vanligt förekommande verktyg för DoS/DDoS-attacker?
- Low Orbit Ion Cannon (LOIC)
- High Orbit Ion Cannon (HOIC)
- Slowloris
- R.U.D.Y (R-U-Dead-Yet)
- Hur kan jag försvara mig mot DoS/DDoS-verktyg?
Vad är DoS- och DDoS-attacker?
Denial-of-service-attacker (DoS) och distribuerade denial-of-service-attacker (DDoS-attacker) är illasinnade försök att störa den normala driften av en server, en tjänst eller ett nätverk som är målet för attacken, genom att överväldiga det med en flodvåg av internettrafik.
DoS-attacker åstadkommer detta genom att sända illasinnad trafik från en enskild maskin – vanligtvis en dator. De kan vara mycket enkla; en grundläggande ping-attack kan åstadkommas genom att skicka fler ICMP-förfrågningar (ping) till en målserver än vad den kan bearbeta och besvara på ett effektivt sätt.
DDoS-attacker använder däremot mer än en maskin för att skicka skadlig trafik till sitt mål. Ofta ingår dessa maskiner i ett botnät – en samling datorer eller andra enheter som har infekterats med skadlig kod och därmed kan fjärrstyras av en enskild angripare. Under andra omständigheter startar flera enskilda angripare DDoS-attacker genom att samarbeta för att skicka trafik från sina enskilda datorer.
DDoS-attacker är vanligare och mer skadliga på det moderna Internet av två skäl. För det första har moderna säkerhetsverktyg utvecklats för att stoppa vissa vanliga DoS-attacker. För det andra har verktygen för DDoS-attacker blivit relativt billiga och lätta att använda.
Hur kategoriseras verktygen för DoS/DDoS-attacker?
Det finns ett antal verktyg som kan anpassas för att starta DoS/DDoS-attacker, eller som är uttryckligen utformade för detta ändamål. Den förstnämnda kategorin är ofta ””stressorer”” – verktyg med det uttalade syftet att hjälpa säkerhetsforskare och nätverksingenjörer att utföra stresstester mot sina egna nätverk, men som också kan användas för att utföra äkta attacker.
Vissa är specialiserade och fokuserar bara på ett visst lager i OSI-modellen, medan andra är utformade för att möjliggöra flera attackvektorer. Kategorier av angreppsverktyg inkluderar:
Låga och långsamma angreppsverktyg
Som namnet antyder använder dessa typer av angreppsverktyg en låg datavolym och arbetar mycket långsamt. Dessa verktyg är utformade för att skicka små datamängder via flera anslutningar för att hålla portar på en målserver öppna så länge som möjligt och fortsätter att ta serverens resurser i anspråk tills den inte kan upprätthålla ytterligare anslutningar. Unikt är att låga och långsamma attacker ibland kan vara effektiva även när de inte använder ett distribuerat system som ett botnät och används vanligen av en enda maskin.
Angreppsverktyg för applikationslager (L7)
Dessa verktyg är inriktade på lager 7 i OSI-modellen, där internetbaserade förfrågningar som HTTP sker. Genom att använda en HTTP-floodattack för att överösta ett mål med HTTP GET- och POST-förfrågningar kan en illvillig aktör lansera angreppstrafik som är svår att skilja från normala förfrågningar som görs av verkliga besökare.
Angreppsverktyg för protokoll- och transportskiktet (L3/L4)
Dessa verktyg går vidare nedåt i protokollstacken och använder protokoll som UDP för att sända stora trafikvolymer till en server som är måltavla, t.ex. under en UDP-flood. Även om dessa attacker ofta är ineffektiva individuellt, återfinns de vanligtvis i form av DDoS-attacker där fördelen med ytterligare attackerande maskiner ökar effekten.
Vad är vanligt förekommande verktyg för DoS/DDoS-attacker?
Några vanligt förekommande verktyg är bland annat:
Low Orbit Ion Cannon (LOIC)
LOIC är en stresstestningsapplikation med öppen källkod. Den gör det möjligt att utföra attacker mot både TCP- och UDP-protokollskiktet med hjälp av ett användarvänligt WYSIWYG-gränssnitt. På grund av det ursprungliga verktygets popularitet har det skapats derivat som gör det möjligt att starta attacker med hjälp av en webbläsare.
High Orbit Ion Cannon (HOIC)
Detta angreppsverktyg skapades för att ersätta LOIC genom att utöka dess kapacitet och lägga till anpassningar. Med hjälp av HTTP-protokollet kan HOIC inleda riktade attacker som är svåra att begränsa. Programvaran är utformad för att minst 50 personer ska kunna arbeta tillsammans i en samordnad attackinsats.
Slowloris
Slowloris är ett program som är utformat för att initiera en låg och långsam attack mot en målinriktad server. Det behöver en relativt begränsad mängd resurser för att skapa en skadlig effekt.
R.U.D.Y (R-U-Dead-Yet)
R.U.D.Y. är ett annat verktyg för låga och långsamma attacker som är utformat för att användaren enkelt ska kunna starta attacker med hjälp av ett enkelt peka-och-klicka-gränssnitt. Genom att öppna flera HTTP POST-förfrågningar och sedan hålla dessa anslutningar öppna så länge som möjligt syftar attacken till att långsamt överväldiga målservern.
Hur kan jag försvara mig mot DoS/DDoS-verktyg?
Då DoS- och DDoS-attacker tar sig olika uttryck krävs det en mängd olika taktiker för att mildra dem. Vanliga taktiker för att stoppa DDoS-attacker är bland annat:
- Ratebegränsning: Begränsning av antalet förfrågningar som en server accepterar under ett visst tidsfönster
- Brandväggar för webbapplikationer: Verktyg som filtrerar webbtrafik baserat på en rad regler
- Anycast-nätverksspridning: Placering av ett stort, distribuerat molnnätverk mellan en server och inkommande trafik, vilket ger ytterligare datorresurser för att svara på förfrågningar.
Cloudflare tillämpar alla dessa strategier och mer därtill för att försvara sig mot de största och mest komplexa DoS- och DDoS-attackerna. Läs mer om Cloudflares DDoS-skydd och hur det fungerar.