7 av de mest kända DDoS-attackerna på senare tid

I takt med att fler företag blir beroende av onlinetjänster som molntjänster och vidtar åtgärder för att förbättra nätverkssäkerheten har DDoS-attacker (Distributed Detail of Service) blivit en mer attraktiv strategi för hackare som vill skapa kaos och störningar. DDoS-attacker är lätta att organisera och genomföra och har blivit mer sofistikerade och intensiva under det senaste decenniet och visar inga tecken på att avta. Även om organisationer och datacenter har ökat sina cybersäkerhetsinsatser för att mildra effekterna av dessa attacker kan de fortfarande vara mycket skadliga för både de företag som angrips och de kunder som är beroende av deras tjänster för att göra affärer.

Men trots att de senaste DDoS-attackerna minskade något under 2018, sågs under det första kvartalet 2019 en 84-procentig ökning jämfört med föregående år. Både storleken och frekvensen av dessa attacker ökade, med den största ökningen för attacker som varade över en timme. Dessa attacker fördubblades inte bara i kvantitet, deras genomsnittliga längd ökade också med 487 procent. Eftersom angreppen i allt högre grad använder sig av flera angreppsvektorer vänder sig cybersäkerhetsexperter till artificiell intelligens och maskininlärning för att identifiera angreppsmönster och stärka sin DDoS-skydd.

Snabblänkar:

• Vad är en DDoS-attack?
• 7 av de mest kända senaste DDoS-attackerna
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Vad är en DDoS-attack?

Distributed denial of service-attacker är en typ av cyberattack som är utformad för att överbelasta servrar eller störa nätverkstjänster genom att överväldiga dem med åtkomstförfrågningar. Den specifika metoden för dessa attacker kan variera från en till en annan, men ofta används botnät.

Vad är ett botnät? Det är en virtualiserad ”armé” av komprometterade datorer och servrar som används för att rikta in sig på ett specifikt system. Hackaren bakom DDoS-attacken skickar skadlig kod till många system och kan, om den installeras framgångsrikt, använda den skadliga koden för att på distans ta över några (eller alla) av det komprometterade systemets processer för att genomföra attacken.

Vad gör en DDoS-attack och hur fungerar den? Det beror på den specifika typen av DDoS-attack som utförs. Det finns många olika typer av DDoS-attacker, till exempel:

• Volumetriska attacker. Dessa attacker syftar till att förbruka all tillgänglig bandbredd i ett nätverk så att inga legitima förfrågningar kan behandlas. Ett exempel på en volumetrisk DDoS-attack är en DNS-förstärkningsattack.
• TCP Handshake/SYN Floods. En serie ofullständiga TCP Handshake-protokollförfrågningar för en första anslutning skickas till målsystemet, men fullföljs aldrig – vanligtvis med hjälp av förfalskade IP-adresser. Detta är ett exempel på en ”protokollattack”. Här kan legitima webbplatsanvändare som försöker besöka webbsidan ytterligare bidra till problemet när de trycker på ”uppdatera” i sin webbläsare för att få sidan att laddas (även om detta vanligtvis bara är en liten del av belastningen jämfört med den faktiska attacken).
• Attacker på applikationsskiktet. Dessa attacker, även kallade ”Layer 7 DDoS-attacker”, fortsätter i princip att skicka HTTP-förfrågningar till servern – något som har liten inverkan på avsändarna, men är resurskrävande för servern som måste ladda alla filer och databasfrågor som webbplatsen behöver för att kunna visas korrekt.
• Multi-Vector DDoS-attacker. Ibland kan en angripare kombinera flera DDoS-attackmetoder för att göra sin attack effektivare och svårare att motverka. Att rikta in sig på flera lager i nätverket kan vara extremt effektivt för att öka störningarna.

Det som gör det svårt att förhindra DDoS-attacker är att det finns så många typer av dem, och vissa är svårare att skilja från legitima trafikförfrågningar än andra.

7 av de mest kända senaste DDoS-attackerna

Amazon Web Services (AWS) (februari 2020)

Enligt en artikel i ZDNet, i februari 2020, ”sade Amazon att dess AWS Shield-tjänst lindrade den största DDoS-attack som någonsin registrerats, och stoppade en 2,3 Tbps-attack”. Före denna attack var världsrekordet för största registrerade DDoS-attack 1,7 Tbps (Terabit per sekund), vilket i sig självt förträngde rekordet som sattes av GitHub-attacken som kommer att nämnas nedan.

ZDNet-artikeln nämner inte namnet på AWS-kunden, men nämner att ”attacken utfördes med hjälp av kapade CLDAP-webbservrar och orsakade tre dagars ”förhöjt hot” för personalen på AWS Shield”. CLDAP står för Connection-less Lightweight Directory Access Protocol, vilket är ett protokoll för anslutning, sökning och ändring av delade kataloger på internet.

Det är också, enligt ZDNet, ett protokoll som ”har missbrukats för DDoS-attacker sedan slutet av 2016” och att ”CLDAP-servrar är kända för att förstärka DDoS-trafiken med 56 till 70 gånger dess ursprungliga storlek.”

GitHub (februari, 2018)

GitHub är en populär kodhanteringstjänst på nätet som används av miljontals utvecklare, och är van vid hög trafik och hög användning. Vad den inte var beredd på var den då rekordstora trafiken på 1,3 Tbps som översvämmade dess servrar med 126,9 miljoner datapaket varje sekund. Attacken var den största registrerade DDoS-attacken vid den tidpunkten, men angreppet gjorde att GitHubs system bara låg nere i cirka 20 minuter. Detta berodde till stor del på att GitHub använde en DDoS-skyddstjänst som upptäckte attacken och snabbt vidtog åtgärder för att minimera effekterna.

Till skillnad från många DDoS-attacker på senare tid involverade GitHub-attacken inte botnät. Istället använde DDoS-attackerna en strategi som kallas memcaching, där en förfalskad förfrågan levereras till en sårbar server som sedan översvämmar ett målinriktat offer med förstärkt trafik. Memcached-databaser används vanligen för att hjälpa till att snabba upp webbplatser och nätverk, men har nyligen använts som vapen av DDoS-attackerare.

Oppenbar NETSCOUT-klient (mars 2018)

Som en kort tid efter DDoS-attacken på 1,3 Tbps mot GitHub rapporterade NETSCOUT att en av deras kunder var måltavla för en DDoS-attack på 1,7 Tbps. Den här attacken beskrevs av NETSCOUT som ”baserad på samma memcached reflection/amplification-attackvektor som var den som gjorde Github-attacken vansinnig”.

Trots attackens enorma storlek ”rapporterades inga avbrott på grund av detta”, enligt NETSCOUT. Detta kan tjäna som ett exempel på hur förberedelser för en specifik typ av attack kan göra stor skillnad i fråga om attackens inverkan.

Dyn (oktober, 2016)

Som en stor DNS-leverantör var Dyn avgörande för nätverksinfrastrukturen hos flera stora företag, bland annat Netflix, PayPal, Visa, Amazon och The New York Times. Med hjälp av en skadlig kod som kallas Mirai skapade oidentifierade hackare ett massivt botnät med IoT-enheter (Internet of Things) för att lansera vad som vid tidpunkten var den största registrerade DDoS-attacken. Angreppet fick enorma effekter, eftersom många av Dyns kunder fick sina webbplatser lamslagna av DNS-fel när Dyns servrar gick ner. Även om problemen löstes och tjänsten återställdes i slutet av dagen var det en skrämmande påminnelse om nätverksinfrastrukturens bräcklighet.

BBC (december, 2015)

På den sista dagen 2015 inledde en grupp vid namn ”New World Hacking” en attack på 600 Gbps med hjälp av sitt programverktyg BangStresser. Attacken gjorde att BBC:s webbplatser, inklusive beställningstjänsten iPlayer, låg nere i cirka tre timmar. Bortsett från den rena storleken, som var den största DDoS-attack som registrerats vid den tidpunkten, var den mest anmärkningsvärda aspekten av BBC-attacken det faktum att verktyget som användes för att lansera den faktiskt använde sig av molnberäkningsresurser från två Amazon AWS-servrar. För IT-säkerhetsexperter som länge hade litat på Amazons rykte om säkerhet var det särskilt oroande att DDoS-attackerare hade hittat ett sätt att utnyttja bandbredden i en offentlig molntjänst för att driva sitt angrepp.

Spamhaus (mars 2013)

Under 2013 var Spamhaus en branschledande organisation för filtrering av skräppost, som tog bort hela 80 % av alla skräppostmeddelanden. Detta gjorde dem till ett attraktivt mål för bedragare, som till slut anlitade en tonårig hackare i Storbritannien för att inleda en massiv offensiv för att ta ner Spamhaus system. Med en hastighet på 300 Gbps var detta angrepp den största DDoS-attack som registrerats vid den tidpunkten. När Spamhaus reagerade på hotet genom att vända sig till en DDoS-skyddstjänst ändrade angriparen fokus och försökte också sänka den, vilket orsakade nätverksstörningar i hela Storbritannien när andra företag hamnade i korselden.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (december, 2012)

I september och oktober 2012 inledde en grupp som identifierade sig som ”Izz ad-Din al-Qassam Cyber Fighters” flera DDoS-attacker mot amerikanska banker, enligt uppgift som svar på en kontroversiell filmtrailer på YouTube. Senare samma år lovade gruppen att utöka omfattningen av sina attacker. I december följde den upp och slog till mot sex framstående banker under loppet av tre dagar, vilket störde tjänsterna och orsakade en allvarlig fördröjning. Även om attacken var större än de som skedde några månader tidigare, gjorde den tidigare vågen att cybersäkerhetsexperter var bättre förberedda på att hantera den botnätstaktik som gruppen använde. Vid sin topp nådde attackerna 63,3 Gbps.

I takt med att de senaste DDoS-attackerna fortsätter att utvecklas arbetar cybersäkerhetsexperter hårt för att motverka deras effekter och minska deras påverkan. Även om en DDoS-attack fortfarande är något som varje företag bör oroa sig för, finns det många sätt att skydda verksamheten mot dem, från DDoS-begränsningstjänster till datacenteralternativ som blandad ISP-anslutning. Dessa insatser kanske inte kan göra DDoS-attacker till ett minne blott, men de gör dem till en mindre effektiv strategi för att störa verksamhet och tjänster.