7 af de mest berømte nylige DDoS-angreb

Da flere virksomheder bliver afhængige af onlinetjenester som cloud computing og tager skridt til at forbedre deres netværkssikkerhed i overensstemmelse hermed, er DDoS-angreb (distributed detail of service) blevet en mere attraktiv strategi for hackere, der ønsker at skabe kaos og forstyrrelser. DDoS-angreb er lette at organisere og udføre, og de seneste DDoS-angreb er blevet mere sofistikerede og intense i løbet af det seneste årti og viser kun få tegn på at aftage. Selv om organisationer og datacentre har optrappet deres cybersikkerhedsindsats for at afbøde virkningerne af disse angreb, kan de stadig være ganske skadelige for både de virksomheder, der er mål for dem, og de kunder, der er afhængige af deres tjenester for at drive forretning.

Men selv om de seneste DDoS-angreb faldt en smule i 2018, var der i første kvartal af 2019 en stigning på 84 procent i forhold til året før. Både størrelsen og hyppigheden af disse angreb steg, med den største vækst i angreb, der varede over en time. Ikke alene blev disse angreb fordoblet i mængde, men deres gennemsnitlige længde steg også med 487 procent. I takt med at angrebene i stigende grad anvender flere angrebsvektorer, vender cybersikkerhedseksperter sig mod kunstig intelligens og maskinlæring for at identificere angrebsmønstre og styrke deres DDoS-afværgeforanstaltninger.

Quick Links:

• Hvad er et DDoS-angreb?
• 7 af de mest berømte nylige DDoS-angreb
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Hvad er et DDoS-angreb?

Distributed denial of service-angreb er en type cyberangreb, der er designet til at overbelaste servere eller forstyrre netværkstjenester ved at overvælde dem med adgangsforespørgsler. Den specifikke metode for disse angreb kan variere fra den ene til den anden, men omfatter ofte brug af botnet.

Hvad er et botnet? Det er en virtualiseret “hær” af kompromitterede computere og servere, der bruges til at angribe et bestemt system. Hackeren bag DDoS-angrebet sender malware til mange systemer og kan, hvis det lykkes at installere den, bruge denne malware til at overtage nogle (eller alle) af det kompromitterede systems processer på afstand for at gennemføre angrebet.

Hvad gør et DDoS-angreb, og hvordan virker det? Det afhænger af den specifikke type DDoS-angreb, der udføres. Der findes mange forskellige typer af DDoS-angreb, f.eks.:

• Volumetriske angreb. Disse angreb søger at forbruge al tilgængelig båndbredde på et netværk, så ingen legitime anmodninger kan behandles. Et eksempel på et volumetrisk DDoS-angreb ville være et DNS-forstærkningsangreb.
• TCP Handshake/SYN Floods. En række ufuldstændige “TCP Handshake”-protokolforespørgsler om en indledende forbindelse sendes til målsystemet, men afsluttes aldrig – typisk ved hjælp af forfalskede IP-adresser. Dette er et eksempel på et “protokolangreb”. Her kan legitime brugere, der forsøger at besøge websiden, bidrage yderligere til problemet, når de trykker på “opdatering” i deres browsere for at få siden indlæst (selv om dette normalt kun udgør en lille procentdel af belastningen i forhold til det egentlige angreb).
• Applikationslagsangreb. Disse angreb, der også er kendt som “Layer 7 DDoS-angreb”, bliver i princippet ved med at sende HTTP-forespørgsler til serveren – noget, der har ringe indvirkning på afsenderne, men som er ressourcekrævende for serveren, der skal indlæse alle de filer og databaseforespørgsler, som webstedet skal bruge for at blive vist korrekt.
• Multi-Vector DDoS-angreb. Nogle gange kan en angriber kombinere flere DDoS-angrebsmetoder for at gøre sit angreb mere effektivt og vanskeligt at imødegå. At angribe flere lag af netværket kan være ekstremt effektivt til at øge forstyrrelsen.

Det, der gør det vanskeligt at forhindre DDoS-angreb, er, at der findes så mange typer af dem, og nogle er sværere at adskille fra legitime trafikforespørgsler end andre.

7 af de mest berømte nylige DDoS-angreb

Amazon Web Services (AWS) (februar 2020)

Ifølge en artikel fra ZDNet, i februar 2020, “sagde Amazon, at dets AWS Shield-tjeneste afbød det største DDoS-angreb, der nogensinde er registreret, og stoppede et angreb på 2,3 Tbps.” Før dette angreb var verdensrekorden for det største registrerede DDoS-angreb 1,7 Tbps (Terabit per sekund), som i sig selv fortrængte rekorden fra GitHub-angrebet, der vil blive nævnt nedenfor.

ZDNet-artiklen nævner ikke navnet på AWS-kunden, men nævner, at “angrebet blev udført ved hjælp af kaprede CLDAP-webservere og forårsagede tre dage med “forhøjet trussel” for AWS Shield-medarbejderne.” CLDAP står for Connection-less Lightweight Directory Access Protocol, som er en protokol til at forbinde, søge og ændre delte kataloger på internettet.

Det er også, ifølge ZDNet, en protokol, der “er blevet misbrugt til DDoS-angreb siden slutningen af 2016”, og at “CLDAP-servere er kendt for at forstærke DDoS-trafikken med 56 til 70 gange dens oprindelige størrelse.”

GitHub (februar, 2018)

GitHub er en populær online kodehåndteringstjeneste, der bruges af millioner af udviklere, og er vant til høj trafik og brug. Hvad den ikke var forberedt på, var den dengang rekordstore trafik på 1,3 Tbps, der oversvømmede dens servere med 126,9 millioner datapakker hvert sekund. Angrebet var det største registrerede DDoS-angreb på daværende tidspunkt, men angrebet lagde kun GitHubs systemer ned i ca. 20 minutter. Det skyldtes i høj grad, at GitHub benyttede en DDoS-afbødningstjeneste, der opdagede angrebet og hurtigt tog skridt til at minimere virkningen.

I modsætning til mange af de seneste DDoS-angreb involverede GitHub-angrebet ikke botnets. I stedet brugte DDoS-angriberne en strategi, der er kendt som memcaching, hvor en forfalsket anmodning leveres til en sårbar server, som derefter oversvømmer et målrettet offer med forstærket trafik. Memcached-databaser bruges almindeligvis til at hjælpe med at fremskynde websteder og netværk, men er for nylig blevet brugt som våben af DDoS-angribere.

Uafsløret NETSCOUT-klient (marts 2018)

Lang tid efter DDoS-angrebet på 1,3 Tbps mod GitHub rapporterede NETSCOUT, at en af deres kunder blev ramt af et DDoS-angreb på 1,7 Tbps. Dette særlige angreb blev af NETSCOUT beskrevet som værende “baseret på den samme memcached reflection/amplification-angrebsvektor, som Github-angrebet var gal med.”

Men på trods af angrebets massive størrelse blev der ifølge NETSCOUT “ikke rapporteret om udfald på grund af dette”. Dette kan tjene som et eksempel på, hvordan det at være forberedt på en bestemt type angreb kan gøre en stor forskel i virkningen af det pågældende angreb.

Dyn (oktober, 2016)

Som en stor DNS-leverandør var Dyn afgørende for netværksinfrastrukturen for flere store virksomheder, herunder Netflix, PayPal, Visa, Amazon og The New York Times. Ved hjælp af en malware kaldet Mirai skabte uidentificerede hackere et massivt botnet, der inkorporerede internet of things-enheder (IoT-enheder), for at iværksætte det, der på det tidspunkt var det største registrerede DDoS-angreb. Angrebet havde massive afsmittende virkninger, da mange af Dyns kunder oplevede, at deres websteder blev lammet af DNS-fejl, da Dyns servere gik ned. Selv om problemerne blev løst og tjenesten genoprettet sidst på dagen, var det en skræmmende påmindelse om netværksinfrastrukturens skrøbelighed.

BBC (december, 2015)

På den sidste dag i 2015 iværksatte en gruppe ved navn “New World Hacking” et angreb på 600 Gbps ved hjælp af sit BangStresser-applikationsværktøj. Angrebet lagde BBC’s websteder, herunder iPlayer on-demand-tjenesten, ned i ca. tre timer. Bortset fra den blotte størrelse, som var det største DDoS-angreb, der på daværende tidspunkt var registreret, var det mest bemærkelsesværdige aspekt af BBC-angrebet det faktum, at det værktøj, der blev brugt til at lancere det, faktisk benyttede cloud computing-ressourcer fra to Amazon AWS-servere. For it-sikkerhedseksperter, der længe havde haft tillid til Amazons ry for sikkerhed, var det særligt foruroligende, at DDoS-angriberne havde fundet en måde at udnytte båndbredden i en offentlig cloud computing-tjeneste til at drive deres angreb.

Spamhaus (marts, 2013)

I 2013 var Spamhaus en brancheførende spamfiltreringsorganisation, der fjernede op til 80 % af alle spammails. Dette gjorde dem til et attraktivt mål for svindlere, som i sidste ende hyrede en teenagehacker i Storbritannien til at iværksætte en massiv offensiv for at nedlægge Spamhaus’ systemer. Med en hastighed på 300 Gbps var dette angreb det største DDoS-angreb, der blev registreret på daværende tidspunkt. Da Spamhaus reagerede på truslen ved at benytte sig af en DDoS-afbødningstjeneste, skiftede angriberen fokus for også at forsøge at lægge det ned, hvilket forårsagede netværksforstyrrelser i hele Storbritannien, da andre virksomheder blev fanget i krydsilden.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (december, 2012)

I september og oktober 2012 iværksatte en gruppe, der identificerede sig selv som “Izz ad-Din al-Qassam Cyber Fighters”, flere DDoS-angreb mod amerikanske banker, angiveligt som reaktion på en kontroversiel filmtrailer på YouTube. Senere samme år lovede gruppen at udvide omfanget af sine angreb. I december fulgte den op og ramte seks prominente banker i løbet af tre dage, hvilket afbrød tjenesterne og forårsagede en alvorlig nedgang. Selv om angrebet var større end angrebene fra et par måneder tidligere, gjorde den tidligere bølge cybersikkerhedseksperter bedre forberedt på at håndtere den botnettaktik, som gruppen anvendte. På sit højdepunkt nåede angrebene op på 63,3 Gbps.

Da de seneste DDoS-angreb fortsætter med at udvikle sig, arbejder cybersikkerhedseksperter hårdt på at imødegå deres virkninger og mindske deres indvirkning. Selv om et DDoS-angreb stadig er noget, som enhver virksomhed bør være bekymret for, er der mange måder at beskytte driften mod dem på, lige fra DDoS-afbødningstjenester til datacenterindstillinger som blandet internetudbyderforbindelse. Disse tiltag kan måske ikke gøre DDoS-angreb til en saga blot, men de gør dem til en mindre effektiv strategi til at forstyrre driften og tjenesterne.