Posted on

DDoS-attacker: Vad de är och hur man DDoS

, Author

Uppdaterad 10/6/2020

En DDoS-attack (Distributed Denial-of-Service) liknar i hög grad en DoS-attack (Denial-of-Service), med den enda skillnaden att samma attack utförs av många olika personer (eller botnät) vid exakt samma tidpunkt. Därför är DDoS en fråga om skala.

När du har valt en tjänst som du vill angripa följer du de här fem stegen för att genomföra en DoS-attack:

  1. Lansera ett DoS-verktyg, till exempel LOIC.

  2. Specificera IP-adressen till den server som du vill angripa.

  3. Välj en port som du vet är öppen och som accepterar inkommande anslutningar.

  4. Välj TCP.

  5. Klicka på knappen för att starta attacken.

För att montera en DDoS-attack gör du på samma sätt som för en DoS-attack, förutom med HOIC-verktyget. Så här gör man för DDoS:

  1. Hitta och välj en tjänst.

  2. Välj en öppen port.

  3. Starta HOIC.

  4. Öka trådarna.

  5. Målar upp önskad URL.

  6. Öka Power till High.

  7. Välj din Booster.

  8. Mount attacken.

Låts oss först gå igenom en DoS-attack så att en DDoS-attack kan förstås bättre.

Vad är en Denial-of-Service-attack (DoS)?

DoS är en cyberattack som är utformad för att överväldiga en onlinetjänst, få deras system att krascha och på så sätt neka service till kunder, anställda osv. För att genomföra en DoS-attack behöver du bara göra följande:

  1. Hitta och välja ut en tjänst som du vill angripa.

  2. Välj ut en öppen port.

  3. Överväldiga tjänsten.

En DoS-attack är i grund och botten ganska okomplicerad och enkel att genomföra. Den verkliga frågan här är om du har tillräckligt stor skala för att överväldiga ditt målsystem.

Här följer en uppdelning av varje steg.

Finn och välj en tjänst att sikta på

Det första steget för att montera en DoS är att hitta en tjänst som du kan sikta på. Detta måste vara något med öppna portar och sårbarheter och som accepterar inkommande anslutningar.

Några tjänster som kan uppfylla dessa kriterier är:

  • Webservrar

  • DNS-servrar

  • E-postservrar

  • FTP-servrar

  • Telnet-servrar

Det som gör dessa tjänster så lätta att rikta in sig på är att de accepterar oautentiserade förbindelser.

Välj en öppen port

Se en lista över öppna portar i Windows genom att öppna DOS-kommandoraden, ange netstat och trycka på Enter. Om du vill se vilka portar en dator kommunicerar med skriver du netstat -an |find /i ”established”.

Portsinställningarna varierar från program till program, men den allmänna idén är densamma över hela linjen. När du försöker komma åt en port vet du att den inte är tillgänglig om ”Connecting…” hänger och sedan försvinner fönstret. Om den är tillgänglig får du ett tomt fönster eller en text som liknar ”220 ESMTP spoken here.”

Om du hellre vill det här är tre verktyg som du kan använda för att hitta öppna portar:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Tjänsten är överväldigad

Idealfallet väljer du en tjänst som inte har en maxgräns för hur många anslutningar den tillåter. Det bästa sättet att ta reda på om en tjänst inte har en övre gräns är att skicka den några hundratusen anslutningar och sedan observera vad som händer.

För att uppnå optimal effekt måste du skicka specifika förfrågningar och information. Om du till exempel riktar dig till en webbserver med en sökmotor ska du inte bara begära en webbsida eller trycka på F5 en massa gånger. Begär en komplex sökfråga som kommer att kräva en betydande mängd hästkrafter för att lösas. Om det bara gör det en gång ger en märkbar effekt på backend, så kommer det förmodligen att få ner servern om du gör det hundra gånger i sekunden.

Det går att göra samma sak mot en DNS-server. Du kan tvinga den att lösa komplexa DNS-frågor som inte är cachade. Gör det tillräckligt ofta och det kommer att få ner servern.

För en e-posttjänst kan du skicka många stora e-postbilagor, om du kan få ett legitimt konto på dess server. Om du inte kan det är det ganska lätt att förfalska det.

Om du inte kan rikta in dig på någon specifik tjänst kan du helt enkelt översvämma en värd med trafik, förutom att attacken kanske inte är lika elegant och säkert skulle kräva lite mer trafik.

När du har överväldigat systemet är miljön förberedd för en attack.

Hur man monterar en DoS-attack

När du har gjort nätverkets fotavtryck, skanning och uppräkningsprocesser bör du ha en god uppfattning om vad som pågår i det nätverk som du riktar dig mot. Här är ett exempel på ett visst system som du vill attackera. Det är 192.168.1.16 (en Windows 2008 Domain Controller och webbserver).

För att attackera den följer du de här fem stegen:

1. Starta ditt favoritverktyg för att attackera system. Jag gillar jonkanonen i låg omloppsbana (Low Orbit Ion Cannon, LOIC). Detta är det enklaste verktyget att förstå eftersom det är ganska uppenbart vad det gör.

Andra DoS-verktyg som kan användas för att attackera är bland annat XOIC, HULK, DDOSIM, R.U.D.Y. och Tor’s Hammer.

2. Ange IP-adressen till servern du vill attackera, vilket i det här fallet är 192.168.1.16. Lås dig på den.

3. Välj en port som du vet är öppen och som accepterar inkommande anslutningar. Välj till exempel port 80 för att montera en webbaserad attack.

4. Välj TCP för att ange vilka resurser som ska bindas upp.

5. Klicka på knappen för att montera attacken.

Du kommer att se att de begärda uppgifterna ökar snabbt.

Dataökningarna kan så småningom börja avta lite, dels för att du förbrukar resurser på klienten, dels för att själva servern antingen skulle få slut på resurser eller börja försvara sig mot din attack.

Vad ska man göra när värden börjar försvara sig själv

Vissa värdar kan konfigureras så att de letar efter mönster, identifierar attacker och börjar försvara sig själva. För att motverka deras försvar kan du:

  1. Stoppa attacken tillfälligt (genom att klicka på samma knapp som du klickade på för att starta attacken).

  2. Ändra porten du attackerar.

  3. Släpp attacken lite grann, vilket skapar förvirring.

I vårt exempel ändrar du porten från port 80 till port 88 (om du granskar skärmdumpen på den avancerade portscannern ser du att port 88 också är öppen). När du är klar med att ändra inställningarna kan du återuppta attacken genom att klicka på attackknappen igen.

Du attackerar nu en annan port (som motsvarar en annan tjänst) på ett något annorlunda sätt och med en annan hastighet. Hastigheten är bara viktig om du attackerar från en klient.

Det är så här en attack skulle se ut när du gör den här typen av DoS från bara en maskin.

Vad är en DDoS-attack? Attackera flera klienter samtidigt

En DDoS-attack (Distributed Denial of Service) utförs med målet att slå ut en webbplats eller tjänst genom att översvämma den med mer information eller bearbetning än vad webbplatsen kan hantera. Det är praktiskt taget samma sak som en DoS-attack, skillnaden är att den utförs av många olika maskiner samtidigt.

Avhängigt av situationen kan en klient som attackerar på detta sätt omedelbart påverka serverns prestanda eller inte, men en DDoS-attack behöver inte stanna vid en enda klient. Typiskt sett skulle du montera denna attack mot olika portar vid olika tidpunkter och försöka ta fotspår om dina åtgärder påverkar tjänsterna. Ännu bättre är det att stänga ner servern.

Om attacken ger önskad effekt kan du skala upp den genom att köra LOIC på ett dussin (eller till och med hundratals) maskiner samtidigt. En stor del av denna åtgärd kan vara skriptbaserad, vilket innebär att du kan fånga upp trafiken och spela upp den på kommandoraden på olika mål. Eller så kan du spela upp den som en del av ett skript från olika angripare, som kan vara dina kamrater, dina zombies eller båda. Ofta används skadlig kod (botnät, som beskrivs nedan) för att starta attackerna eftersom skadlig kod kan tidsinställas så att den startar vid exakt samma tidpunkt.

Detta är när hastigheten blir mindre viktig eftersom du har hundra olika klienter som attackerar samtidigt. Man kan sakta ner saker och ting på varje enskild klient och ändå kunna sätta upp en ganska effektiv attack.

Skärmen skulle se likadan ut på varje enskild maskin om du monterade attacken från hundratals eller tusentals maskiner, som om du gjorde det på en enda maskin.

Vad är ett botnät?

Som förklaras av Internet Society:

”Ett botnät är en samling internetanslutna användardatorer (bots) som är infekterade med skadlig programvara (malware) som gör det möjligt för datorerna att fjärrstyras av en operatör (bot herder) via en Command-and-Control-server (C&C) för att utföra automatiserade uppgifter på enheter som är anslutna till många datorer, t.ex. att stjäla information eller starta attacker mot andra datorer. Botnet malware är utformat för att ge operatörerna kontroll över många användardatorer samtidigt. Detta gör det möjligt för botnetoperatörer att använda dator- och bandbreddsresurser i många olika nätverk för skadlig verksamhet.”

Och även om botnät är till stor hjälp för hackare är de snarare ett gissel för en stor del av onlinesamhället. Botnät:

  • Kan spridas över stora avstånd och kan till och med verka i olika länder.

  • Begränsar internets öppenhet, innovation och globala räckvidd.

  • Påverkar grundläggande användarrättigheter genom att blockera yttrande- och åsiktsfriheten och kränka privatlivet.

Hur man gör en DDoS-attack

För att montera över 256 samtidiga DDoS-attacker som får ett system att gå omkull kan ett team med flera användare använda High Orbit Ion Cannon (HOIC) samtidigt, och du kan använda tilläggsskriptet ”booster”.

För att göra en DDoS-attack ska du hitta och välja en tjänst, välja en öppen port och överväldiga tjänsten genom att följa dessa steg:

  1. Starta HOIC.

  2. Öka trådarna.

  3. Målar den önskade URL:en.

  4. Höj Power till High.

  5. Välj din Booster.

  6. Företa attacken.

Varför utför illegala hackare DoS- och DDoS-attacker?

DoS- och DDoS-attacker är överdrivet destruktiva och kan kräva en del arbete att starta, men de används av cyberkriminella som ett vapen att använda mot en konkurrent, som en form av utpressning eller som en rökridå för att dölja utvinning av känsliga uppgifter.

Också ibland genomförs attacker av en eller flera av dessa anledningar:

  • Internetbaserade revirstrider.

  • Ett uttryck för ilska eller en bestraffning.

  • Praktik, eller bara för att se om det går att göra.

  • För att det är ”roligt” att orsaka förödelse.

Den skada som orsakas av DDoS-attacker är extremt stor. Cisco har rapporterat några uppseendeväckande fakta och uppskattningar:

  • Antalet globala DDoS-attacker kommer att fördubblas från 7,9 miljoner år 2018 till 15,4 miljoner år 2023.

  • Den genomsnittliga storleken på en DDoS-attack är 1 Gbps, vilket kan ta en organisation helt offline.

En ITIC-undersökning från 2019 visade att ”en enda timmes driftsstopp kostar nu 98 procent av företagen minst 100 000 dollar. Och 86 % av företagen säger att kostnaden för en timmes driftstopp är 300 000 dollar eller mer”. Trettiofyra procent säger att det kostar mellan 1 och 5 miljoner dollar att vara nere i en timme.

Ett aktuellt exempel på en DDoS-attack är attacken mot Amazon Web Services i februari 2020. Molntjänstjätten var måltavla och skickade upp till häpnadsväckande 2,3 terabyte data per sekund i tre dagar i sträck.

Om du vill bläddra bland de världsomspännande attacker som äger rum i realtid (eller nästan) kan du kolla in en hotkarta för cyberattacker.

Hur du skyddar ditt företag från DoS- och DDoS-attacker

För att skydda ditt företag från DoS- och DDoS-attacker följer här några rekommendationer:

  1. Installerar du säkerhetsprogram och håller dem uppdaterade med de senaste patcherna.

  2. Säkra alla lösenord.

  3. Använd anti-DDoS-tjänster för att känna igen legitima toppar i nätverkstrafiken kontra en attack.

  4. Har en reserv-ISP så att din ISP-leverantör kan omdirigera din trafik.

  5. Använd tjänster som sprider massiv angreppstrafik till ett nätverk av servrar.

  6. Uppdatera och konfigurera dina brandväggar och routrar så att de avvisar bedräglig trafik.

  7. Integrera hårdvara för tillämpningens front-end för att screena och klassificera paket.

  8. Använd ett självlärande AI-system som dirigerar och analyserar trafiken innan den når företagets datorer.

  9. Anställ en etisk hackare som söker och hittar oskyddade platser i ditt system.

Det är en svår uppgift att skydda ditt företag från DoS- och DDoS-attacker, men att fastställa dina sårbarheter, ha en försvarsplan och komma fram till taktiker för begränsning av skador är viktiga delar av nätverkssäkerhet.

Lär dig mer om etisk hackning

Etisk hackning är ett viktigt och värdefullt verktyg som används av IT-säkerhetsexperter i deras kamp mot dyra och potentiellt förödande cyberbrott. Man använder hackningstekniker för att få information om effektiviteten hos säkerhetsprogram och -policyer så att ett bättre skydd av nätverken kan införas.

De grundläggande vägledande principerna att följa när man hackar lagligt är:

  • Använd aldrig din kunskap för personlig vinning.

  • Gör det bara när du har fått rätten.

  • Använd inte piratkopierad programvara i dina attacker.

  • Har alltid integritet och är pålitlig.

Lämna ett svar

Din e-postadress kommer inte publiceras.