Et DDoS-angrep (distribution-denial-of-service) er en type nettangrep som brukes til å forstyrre den normale trafikken til et nettsted eller en tjeneste med forespørsler. Angrepet påvirker forskjellige plattformer, inkludert nettsteder og videospill.
I et DDoS-angrep opplever serverinfrastrukturen som en online tjeneste er avhengig av, uventet trafikk og tvinger den offline.
Siden det første denial of service-angrepet i 1974 har DDoS-angrep blitt den viktigste cyberangrepstypen. Denne artikkelen vil undersøke hvordan angripere som bruker en DDoS har blitt mer sofistikerte, samt gi metoder for å redusere risikoen for angrepene sine.
Hvordan fungerer en DDoS?
Nettverk av maskiner koblet til internett kan brukes til å utføre DDoS-angrep. Typer av maskiner brukt i et DDoS-angrep inkluderer datamaskiner. Samlingen av enheter som brukes til en DDoS er kjent som botnett.
DDoS-angripere bruker skadelig programvare for å få kontroll over enhetene, slik at de kan styre angrep eksternt. Det er vanskelig å skille mellom et botnet og en normal enhet, da systemer vanligvis gjenkjenner botnett som legitime internett-enheter.
Her er typene måter DDoS-angrep kan utføres på og hvordan de kan påvirke deg.
1. Windows Remote Desktop Protocol
Windows Remote Desktop Protocol (RDP) brukes til å koble datamaskiner over nettverk. Microsofts anstendighetsprotokoll har gjort det enkelt for folk å koble datamaskiner over nettverk.
Forskning av Netscout viser at Windows RDP har blitt brukt til å forsterke DDoS-angrep og utnytte nye vektorer. User Diagram Protocol (UDP) var en viktig komponent som ble brukt av angripere for å utføre DDoS-angrep med serverne.
UDP er en kommunikasjonsprotokoll som brukes til tidssensitive sendinger som tale og videoer. Hastigheten er basert på at den ikke formelt oppretter en forbindelse før dataoverføring. Dette har flere ulemper, inkludert pakker som går tapt i transitt og sårbarheter for DDoS-angrep.
Selv om ikke alle RDP-servere ble misbrukt, brukte nettkriminelle Windows RDP for å sprette og forsterke søppeltrafikk for sine DDoS-angrep. Angripere benyttet seg av systemer der RDP-autentisering ble aktivert på UDP-port 3389 på toppen av standard TCP-port 3389. Angripere sendte UDP-pakker til UDP-portene til RDP-servere før de ble reflektert til målrettede enheter.
2. Jenkins-servere
Jenkins er en åpen kildekodeserver som brukes til å automatisere programvareutviklingsoppgaver. En Jenkins-server kan brukes til å utføre en rekke kritiske programvareutviklingsoppgaver, inkludert bygging, testing, distribusjon og kontinuerlig integrering.
Det ble identifisert en sårbarhet som gjorde det mulig å starte DDoS-angrep med Jenkins. Mens feilen ble løst, kastet sårbarheten lys over noen av DDoS-risikoene knyttet til feil på serverne.
Hvis du kjører en offentlig Jenkins-forekomst, vennligst oppdater til 2.204.2 LTS eller til 2.219+ ukentlig. Eldre versjoner kan være et mål for denial-of-service-angrep. Se SIKKERHET-1641 / CVE-2020-2100: https://t.co/NtuNHzsOGx
- Jenkins (@jenkinsci) 13. februar 2020
Sikkerhetsforskere oppdaget at en angriper kunne bruke Jenkins UDP-oppdagelsesprotokoll (på UDP-port 33848) for å forsterke DDoS-angrep, og spratt trafikken fra serveren til det tiltenkte målet. Angripere kan da bruke de sårbare Jenkins servere for å forsterke trafikken opptil 100 ganger.
Feilen gjorde det også mer sannsynlig at serverne ble lurt til å sende kontinuerlige pakker til hverandre. Dette kan føre til uendelige løkker og krasj.
3. Web Services Dynamic Discovery (WS-DD) protokoll
Web Services Dynamic Discovery (WS-DD) Protocol er en multicast discovery-protokoll som brukes til å lokalisere tjenester eller enheter i et lokalt nettverk. Videoovervåking og utskrift er noen eksempler på aktiviteter WS-DD brukes til.
I slekt: Microsoft prøver å forhindre DDoS-angrep på Xbox Live
Forskning avslører at nettkriminelle har brukt WS-DD som en UDP-forsterkningsteknikk. I 2019 utførte angripere over 130 DDoS-angrep med protokollen, og brukte over 630 000 enheter for å forsterke DDoS-angrepene. Når bruken av IoT-enheter (Internet of Things) øker, kan disse typer angrepsvektorer bli mer bekymringsfulle.
4. DDoS-sårbarheter på 5G
5G lover å forbedre hastigheten og responsen til trådløse nettverk. 5. generasjons mobilnettverk vil koble mennesker og deres enheter som aldri før, med bedre båndbredde og avansert antenneteknologi.
En økning i antall tilkoblede enheter kan imidlertid føre til at risikoen for DDoS-angrep vokser.
A3:... Et eksempel på et nytt farenivå ville være til og med for organisasjoner som ikke selv bruker 5G - økt DDoS-angrepsstørrelse... De "gode gutta" er ikke de eneste som kan utnytte økt tilgjengelig båndbredde ...#BIZTALKS#CyberSecurity#InfoSec#Sikkerhet# 5G
- Joseph Steinberg (@JosephSteinberg) 21. oktober 2020
Etter hvert som størrelsen på IoT-enhetsnettverket vokser sammen med introduksjonen av 5G, kan angrepsflaten for DDoS-angrep utvides. Det finnes mange sårbare og ubeskyttede IoT-enheter.
Uunngåelig vil det være mange sikkerhetsforbedringer å gjøre i de innledende implementeringsstadiene for et nytt nettverk som 5G. Det kombinerte sårbarheter i IoT-enheter og den nye sikkerhetsstrukturen til 5G-nettverk kan gjøre 5G-enheter til et enkelt mål for kreative nettkriminelle.
Nettkriminelle vil sannsynligvis bruke 5G for å utvide DDoS-angrepsbåndbredden. Den ekstra båndbredden kan forbedre virkningen av volumetriske angrep der båndbredde brukes til å mette båndbredden til målet.
5. ACK DDoS med pulserende bølger
Webinfrastrukturfirma Cloudflare oppdaget et DDoS-angrep som sender trafikk i pulserende bølger, i likhet med en trommeslag. Skaperne av angrepet kan ha valgt å bruke den mindre konvensjonelle metoden for å sende trafikk for å lure sikkerhetssystemer.
Det globalt distribuerte angrepet varte i to dager, ved hjelp av noder for å sende like mange pakker til samme hastighet. Kreativiteten var imidlertid ikke nok. Over 700 angrep ble oppdaget og kontrollert.
6. Multi-Vector-angrep
Flervektorangrep innebærer å bruke en kombinasjon av forskjellige teknikker for å utføre angrep på flere angrepsvektorer i nettverket, applikasjonen og datalagene.
De siste årene har flere vektorangrep blitt mer populære ettersom hackere finner nye måter å angripe plattformer på. Flervektorangrep kan være ekstremt vanskelig å forsvare seg på grunn av hvor vanskelig det kan være å forberede ressurser til å svare på mangefasetterte angrep.
Etter hvert som flere protokoller implementeres på internett, vil angrepsvektorene som nettkriminelle kan bruke øke. Fremgang innen maskinvare og programvare over hele verden gir nye muligheter for nettkriminelle å eksperimentere med nye angrep. BitTorrent, HTML og TFTP er blant de mest brukte angrepsvektorene.
💂♂️🛡️Smart innsikt i anatomien til en DDoS-trussel @Impervahttps://t.co/OgpF0d0d0g og fremveksten av multivektor #DDoS angrep på bedrifter (📽️#video@ A10Networks) #IoT#Cybersecurity#Infosecurity#Cloudsec#CISO#DataBreach#Botnet#Skadevare#Ransonmware#SMM#SEOpic.twitter.com/zecdoDe291
- Benson M | Utover data (@Benson_Mwaura) 12. september 2018
7. Botnets som påvirker Android-enheter
Et nytt botnet bruker Android-enheter til å starte DDoS-angrep. Botnet, Matryosh, bruker et kommandolinjeprogram, Android Debug Bridge (ADB), i Googles Android-programvareutviklingssett (SDK) for å utføre angrep. ADB lar utviklere eksternt utføre kommandoer på enheter.
ADB er ikke godkjent. Dette betyr at en angriper kan misbruke den ved å aktivere Debug Bridge på en Android-enhet. Det som er verre er at mange produkter har blitt sendt med Debug Bridge aktivert. Slike enheter kan lett nås eksternt og ha skadelig programvare installert i dem for å utføre DDoS-angrep.
Når Matryosh kjøres på en enhet, får den en TOR-proxy for å skjule aktiviteten. Dette kan gjøre det mye vanskeligere for antivirusprogramvaresystemer å identifisere skadelig programvare og angrep.
I slekt: Hva er et Botnet, og er datamaskinen din en del av ett?
Redusere risikoen for DDoS-angrep
Risikoen for DDoS-angrep kan reduseres kraftig med tilstrekkelig forberedelse. Skyteknologi, responsplaner og forståelse av advarselsskilt er blant nøkkelfaktorene som avgjør om DDoS-angrepsrisiko blir til.
Skibaserte tjenesteleverandører
DDoS-forebygging kan outsources til skybaserte tjenesteleverandører. Selv om dette kan være kostbart på kort sikt, gir det fordeler som kan redusere langsiktige kostnader. Cloud har vanligvis flere båndbreddressurser enn private nettverk. I tillegg er det vanskeligere for angripere å nå sitt tiltenkte mål gjennom skybaserte applikasjoner på grunn av den bredere tildelingen av ressurser og svært sofistikerte brannmurer.
Advarselskilt for angrep fra DDoS
Det er viktig å ha god forståelse av de røde flaggene som kan indikere et DDoS-angrep. Dette kan gjøre det lettere å raskt distribuere løsninger for å redusere risikoen for tap som et angrep kan forårsake. Nettstenging, nedgang i nettverk og betydelig reduksjon i kvaliteten på brukeropplevelsen er blant de vanligste tegnene på et angrep.
DDoS-responsplan
En DDoS-responsplan er nødvendig for å implementere en god forsvarsstrategi. Planen skal være basert på en grundig sikkerhetsvurdering. En DDoS-responsplan bør være detaljert og utført med presisjon. Planen skal inneholde detaljer om responsteamet, kontakter, varslingsprosedyrer, opptrappingsprosedyrer og en systemsjekkliste.
Tilpass og overvinn
Nettkriminelle utvikler seg kontinuerlig når de søker nye måter å utnytte systemer for personlig vinning. Etter hvert som ny teknologi blir introdusert, vil flere angrepsvektorer uunngåelig opprettes, noe som gir muligheter til å implementere kreative DDoS-metoder.
Ikke bare må vi ta ekstra tiltak for å beskytte oss mot angrep fra eldgamle sårbarheter, men også, vi trenger å takle risikoen som følger med en ny tid med mer variert og avansert teknologier.
Hvordan påvirker disse seks nye typene DDoS din online sikkerhet?
- Teknologi forklart
- Sikkerhet
- Skadevare
- DDoS
- Botnet
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.
