Posted on

DDoS-angreb: Hvad de er, og hvordan man DDoS

, Author

Opdateret 10/6/2020

Et DDoS-angreb (Distributed Denial-of-Service) minder meget om et DoS-angreb (Denial-of-Service), med den eneste forskel er, at det samme angreb udføres af mange forskellige personer (eller botnets) på nøjagtig samme tid. Derfor er DDoS alt sammen et spørgsmål om skala.

Når du har valgt en tjeneste, du vil angribe, skal du følge disse fem trin for at iværksætte et DoS-angreb:

  1. Lancer et DoS-værktøj, f.eks. LOIC.

  2. Angiv IP-adressen på den server, du ønsker at angribe.

  3. Vælg en port, som du ved er åben, og som accepterer indgående forbindelser.

  4. Vælg TCP.

  5. Klik på knappen for at starte angrebet.

For at iværksætte et DDoS-angreb skal du gøre det samme som ved et DoS-angreb, men med undtagelse af HOIC-værktøjet. Sådan gør du for at udføre DDoS:

  1. Find og vælg en tjeneste.

  2. Vælg en åben port.

  3. Lancer HOIC.

  4. Opnå tråde.

  5. Søg den ønskede URL.

  6. Og øg Power til High.

  7. Vælg din Booster.

  8. Opstart angrebet.

Lad os først gennemgå et DoS-angreb, så et DDoS-angreb kan blive bedre forstået.

Hvad er et Denial-of-Service-angreb (DoS)?

DoS er et cyberangreb, der er designet til at overvælde en onlinetjeneste, få deres system til at gå ned, så kunder, medarbejdere osv. ikke kan få adgang til tjenesten. For at gennemføre et DoS-angreb skal du blot:

  1. Find og vælg en tjeneste, som du vil angribe.

  2. Vælg en åben port.

  3. Overvæld tjenesten.

Som udgangspunkt er et DoS-angreb ret ligetil og nemt at gennemføre. Det virkelige spørgsmål her er, om du har tilstrækkelig skala til at overvælde dit målsystem.

Her er en opdeling af hvert trin.

Find og vælg en tjeneste at ramme

Det første skridt til at montere en DoS er at finde en tjeneste, som du kan ramme. Det skal være noget med åbne porte og sårbarheder, og som vil acceptere indgående forbindelser.

Nogle af de tjenester, der kan opfylde disse kriterier, er f.eks:

  • Webservere

  • DNS-servere

  • Emailservere

  • FTP-servere

  • Telnet-servere

Det, der gør disse tjenester så lette at angribe, er, at de accepterer uautentificerede forbindelser.

Vælg en åben port

Se en liste over åbne porte i Windows ved at åbne DOS-kommandolinjen, indtaste netstat og trykke på Enter. Du kan få vist de porte, som en computer kommunikerer med, ved at skrive netstat -an |find /i “etableret”.

Portindstillingerne varierer fra program til program, men den generelle idé er den samme over hele linjen. Når du forsøger at få adgang til en port, ved du, at den ikke er tilgængelig, hvis “Connecting…” hænger, og vinduet derefter forsvinder. Hvis den er tilgængelig, får du et tomt vindue eller ser en skærmtekst, der ligner “220 ESMTP spoken here.”

Hvis du hellere vil det, er her tre værktøjer, du kan bruge til at finde åbne porte:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Overvæld tjenesten

Det er bedst, hvis du vælger en tjeneste, der ikke har en maksimumgrænse for antallet af forbindelser, som den tillader. Den bedste måde at finde ud af, om en tjeneste ikke har en øvre grænse, er at sende den et par hundrede tusinde forbindelser og derefter observere, hvad der sker.

For at opnå optimal effekt skal du sende specifikke forespørgsler og oplysninger. Hvis du f.eks. er rettet mod en webserver med en søgemaskine, skal du ikke bare anmode om en webside eller trykke F5 en masse gange. Anmod om en kompleks søgeforespørgsel, der vil bruge en betydelig mængde hestekræfter på at løse den. Hvis det at gøre det bare én gang har en mærkbar indvirkning på backend-serveren, så vil det at gøre det hundrede gange i sekundet sandsynligvis få serveren til at gå ned.

Du kan gøre det samme mod en DNS-server. Du kan tvinge den til at løse komplekse DNS-forespørgsler, der ikke er cachelagret. Gør det ofte nok, og det vil få serveren til at gå ned.

For en e-mail-tjeneste kan du sende masser af store vedhæftede filer, hvis du kan få en legitim konto på dens server. Hvis du ikke kan det, er det ret nemt at forfalske den.

Hvis du ikke kan ramme en bestemt tjeneste, kan du blot oversvømme en vært med trafik, bortset fra at angrebet måske ikke er så elegant og helt sikkert vil kræve en smule mere trafik.

Når du har overvældet systemet, er miljøet forberedt til et angreb.

Sådan monterer du et DoS-angreb

Når du har udført processerne med fodaftryk, scanning og optælling af netværket, bør du have en god idé om, hvad der foregår i det netværk, som du er rettet mod. Her er et eksempel på et bestemt system, som du gerne vil angribe. Det er 192.168.1.16 (en Windows 2008 Domain Controller og webserver).

For at angribe det skal du følge disse 5 trin:

1. Start dit foretrukne værktøj til at angribe systemer. Jeg kan godt lide Low Orbit Ion Cannon (LOIC). Dette er det letteste værktøj at forstå, fordi det er ret indlysende, hvad det gør.

Andre DoS-værktøjer, der kan bruges til angreb, omfatter XOIC, HULK, DDOSIM, R.U.D.Y. og Tor’s Hammer.

2. Angiv IP-adressen på den server, du ønsker at angribe, som i dette tilfælde er 192.168.1.16. Lås dig fast på den.

3. Vælg en port, som du ved er åben, og som accepterer indgående forbindelser. Vælg f.eks. port 80 for at montere et webbaseret angreb.

4. Vælg TCP for at angive, hvilke ressourcer der skal bindes.

5. Klik på knappen for at montere angrebet.

Du vil se, at de ønskede data stiger hurtigt.

Datastigningerne kan til sidst begynde at aftage en smule, dels fordi du vil forbruge ressourcer på klienten, og dels fordi serveren selv enten vil løbe tør for ressourcer eller begynde at forsvare sig mod dit angreb.

Hvad skal du gøre, når værten begynder at forsvare sig selv

Nogle værter kan konfigureres til at lede efter mønstre, identificere angreb og begynde at forsvare sig selv. For at imødegå deres forsvar kan du:

  1. Stoppe angrebet momentant (ved at klikke på den samme knap, som du klikkede på for at starte angrebet).

  2. Ændre den port, du angriber.

  3. Sænk angrebet en smule, hvilket skaber forvirring.

I vores eksempel ændrer du porten fra port 80 til port 88 (hvis du gennemgår skærmbilledet på den avancerede portscanner, vil du se, at port 88 også er åben). Når du er færdig med at ændre indstillingerne, kan du genoptage angrebet ved at klikke på angrebsknappen igen.

Du angriber nu en anden port (hvilket svarer til en anden tjeneste) på en lidt anden måde og med en anden hastighed. Hastigheden er kun vigtig, hvis du angriber fra én klient.

Det er sådan et angreb ville se ud, når du laver denne form for DoS fra kun én maskine.

Hvad er et DDoS-angreb? Angreb på flere klienter på én gang

Et DDoS-angreb (Distributed Denial of Service) udføres med det formål at nedlægge et websted eller en tjeneste ved at oversvømme det med flere oplysninger eller mere behandling, end webstedet kan håndtere. Det er praktisk talt det samme som et DoS-angreb, men forskellen er, at det udføres af mange forskellige maskiner på én gang.

Afhængigt af situationen kan en enkelt klient, der angriber på denne måde, måske eller måske ikke umiddelbart påvirke serverens ydeevne, men et DDoS-angreb behøver ikke at stoppe ved blot én klient. Typisk vil du montere dette angreb mod forskellige porte på forskellige tidspunkter og forsøge at tage et fodaftryk af, om dine handlinger påvirker tjenesterne. Bedre endnu, det vil lukke serveren ned.

Hvis angrebet giver den ønskede effekt, kan du opskalere det ved at køre LOIC på et dusin (eller endda hundredvis) af maskiner på samme tid. En stor del af denne handling kan scriptes, hvilket betyder, at du kan optage trafikken og afspille den igen på kommandolinjen på forskellige mål. Eller du kan afspille den som en del af et script fra forskellige angribere, som kan være dine jævnaldrende, dine zombier eller begge dele. Ofte bruges malware (botnets, udforsket nedenfor) til at iværksætte angrebene, fordi malware kan times til at starte på præcis samme tidspunkt.

Det er her, at hastigheden bliver mindre vigtig, fordi du har hundrede forskellige klienter, der angriber på samme tid. Man kan sænke tempoet på hver enkelt klient og stadig være i stand til at iværksætte et ganske effektivt angreb.

Skærmen ville se ens ud på hver enkelt maskine, hvis du monterede angrebet fra hundredvis eller tusindvis af maskiner, som hvis du gjorde det på en enkelt maskine.

Hvad er et botnet?

Som forklaret af Internet Society:

“Et botnet er en samling af internetforbundne brugercomputere (bots), der er inficeret med skadelig software (malware), som gør det muligt for computerne at blive fjernstyret af en operatør (botherder) via en Command-and-Control (C&C)-server for at udføre automatiserede opgaver på enheder, der er forbundet med mange computere, f.eks. at stjæle oplysninger eller iværksætte angreb på andre computere. Botnet-malware er designet til at give operatørerne kontrol over mange brugercomputere på en gang. Det giver botnet-operatørerne mulighed for at bruge computer- og båndbredderessourcer på tværs af mange forskellige netværk til ondsindede aktiviteter.”

Og selv om botnettene er en stor hjælp for hackere, er de mere en plage for en stor del af onlinesamfundet. Botnet:

  • Kan spredes over store afstande og kan endda operere i forskellige lande.

  • Begrænser internettets åbenhed, innovation og globale rækkevidde.

  • Påvirker grundlæggende brugerrettigheder ved at blokere for ytrings- og meningsfriheden og krænke privatlivets fred.

Sådan laver du et DDoS-angreb

For at montere over 256 samtidige DDoS-angreb, der vil lægge et system ned, kan et hold bestående af flere brugere bruge High Orbit Ion Cannon (HOIC) på samme tid, og du kan anvende tilføjelsesscriptet “booster”.

For at lave et DDoS-angreb skal du finde og vælge en tjeneste, vælge en åben port og overvælde tjenesten ved at følge disse trin:

  1. Lancér HOIC.

  2. Optimer trådene.

  3. Målsæt den ønskede URL.

  4. Og øg Power til High.

  5. Vælg din Booster.

  6. Opfør angrebet.

Hvorfor udfører ulovlige hackere DoS og DDoS-angreb?

DoS- og DDoS-angreb er overdrevent destruktive og kan kræve en del arbejde at iværksætte, men de bruges af cyberkriminelle som et våben til at bruge mod en konkurrent, som en form for afpresning eller som et røgslør for at skjule udtræk af følsomme data.

Der kan også forekomme angreb af en eller flere af disse årsager:

  • Internetbaserede reorkrige.

  • Et udtryk for vrede eller en afstraffelse.

  • Praksis, eller bare for at se, om det kan lade sig gøre.

  • For at det er “sjovt” at skabe kaos.

Den skade, der forårsages af DDoS-angreb, er yderst betydelig. Cisco har rapporteret om nogle øjenåbnende fakta og skøn:

  • Antallet af globale DDoS-angreb vil fordobles fra 7,9 millioner i 2018 til 15,4 millioner i 2023.

  • Den gennemsnitlige størrelse af et DDoS-angreb er 1 Gbps, hvilket kan tage en organisation helt offline.

En ITIC-undersøgelse fra 2019 viste, at “en enkelt times nedetid nu koster 98 % af virksomhederne mindst 100.000 dollars. Og 86 % af virksomhederne siger, at omkostningerne for en times nedetid er 300.000 dollars eller mere.” 34 % siger, at det koster mellem 1 og 5 millioner dollars at være nede i en time.

Et nyligt eksempel på et DDoS-angreb er Amazon Web Services-angrebet i februar 2020. Cloud computing-giganten blev målrettet og sendte op til forbløffende 2,3 terabyte data pr. sekund i tre dage i træk.

Hvis du vil se de verdensomspændende angreb, der finder sted i realtid (eller tæt på), kan du se et trusselskort over cyberangreb.

Sådan beskytter du din virksomhed mod DoS- og DDoS-angreb

For at beskytte din virksomhed mod DoS- og DDoS-angreb er her nogle anbefalinger:

  1. Installer sikkerhedssoftware, og hold den opdateret med de nyeste patches.

  2. Sikr alle adgangskoder.

  3. Brug anti-DDoS-tjenester til at genkende legitime spidser i netværkstrafikken i forhold til et angreb.

  4. Hav en backup-ISP, så din ISP-udbyder kan omdirigere din trafik.

  5. Brug tjenester, der spreder massiv angrebstrafik blandt et netværk af servere.

  6. opdatér og konfigurer dine firewalls og routere til at afvise svigagtig trafik.

  7. Integrer applikationsfront-end-hardware til at screene og klassificere pakker.

  8. Brug et selvlærende AI-system, der dirigerer og analyserer trafikken, før den når frem til virksomhedens computere.

  9. Sæt en etisk hacker til at søge og finde ubeskyttede steder i dit system.

Det er en vanskelig opgave at beskytte din virksomhed mod DoS- og DDoS-angreb, men det er en vigtig del af netværkssikkerheden at fastslå dine sårbarheder, have en forsvarsplan og finde frem til afbødningstaktikker.

Lær mere om etisk hacking

Etisk hacking er et vigtigt og værdifuldt værktøj, der bruges af it-sikkerhedseksperter i deres kamp mod dyre og potentielt ødelæggende cyberbrud. Der anvendes hacking-teknikker til at indhente oplysninger om effektiviteten af sikkerhedssoftware og -politikker, så der kan indføres en bedre beskyttelse af netværk.

De grundlæggende vejledende principper, der skal følges, når man hacker lovligt, er:

  • Nå aldrig bruge din viden til personlig vinding.

  • Gør det kun, når du har fået ret til det.

  • Brug ikke piratkopieret software i dine angreb.

  • Vis altid integritet og vær troværdig.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.