DDoS angrep – hva skjer under et angrep?
Skrevet av: Trond Olav Ånesen

I denne artikkelserien ser nettverksadministrator Trond nærmere på DDoS angrep. Hva det er, hvorfor det skjer og hvordan det kan håndteres. Serien er i 3 deler og hver uke publiseres en ny del.

I del 1 så vi på hva et DDoS angrep er, hvem som kan utføre disse og hvilke hensikter de kan ha. I denne artikkelen skal vi se nærmere på hva som egentlig foregår når angrepet skjer.

Hva skjer under et DDoS angrep?

‘Distributed’ betyr at det er mange enheter (hjemmepc, kontorpc, servere og lignende) som er med på angrepet. I de aller fleste tilfeller er eierne av disse enhetene helt intetanende til dette.

I tilfellet nettsider, så kan disse som regel håndtere fra et titalls, til noen millioner treff i sekundet, avhengig av leverandør, server, oppsett og lignende.

proisp blogg ddos del 2 hacker

Det kreves altså mange enheter for å utføre et vellykket angrep. Som nevnt er eierne av enhetene ikke klar over at de er med på angrepet, og da kaller vi ofte disse enhetene for «zombier». En enhet/maskin/PC blir en zombie hvis den blir infisert, noe en angriper kan gjøre via nettsider brukeren av enheten besøker, epost sendt til brukeren/eieren osv. Når angriper har infisert en enhet kan denne kontrolleres via kommandoer kjørt fra angriper. Har man mange nok infiserte enheter under egen kontroll, kaller man det et zombie-nettverk, eller bot-net. I de tilfellene hvor man leier DDoS angrep er det disse zombie-nettverkene man faktisk betaler for å benytte.

Hvorfor oppdages ikke dette av eieren av den infiserte enheten/PCen/serveren? Vel; selv om anti-virus, brannmur og lignende er kjente begreper, er det svært mange som ikke tar dette alvorlig nok. Man har utdaterte versjoner eller ikke noen sikkerhetsprogramvare i det hele tatt. Koden som er plassert på enheten er laget på en måte slik at eier ikke skal oppdage det, og en av grunnene til at eierne(e) ikke oppdager dette er at trafikken som sendes fra hver enkelt infisert enheter er svært liten.

Siden kommandoer sendt fra angriperen til zombie-enheten ikke påvirker ytelsen til den infiserte enheten, og heller ikke båndbredde/Internett-hastighet i særlig grad, kan en enhet være en zombie hele sin levetid uten å vekke mistanke.
Selv om trafikken fra hver enkelt enhet ikke er stor, blir det fort veldig mye hvis man har mange nok enheter man kan benyttes.

Hvordan fungerer det i praksis?

La oss ta utgangspunkt i en standard hostingleverandør og en standard nettside plassert hos dem. Vanligvis har en konto hos en hostingleverandør begrenset ressursbruk, både fysisk på serveren (cpu, ram) og når det gjelder båndbredde som kan benyttes. Dette vil si at det ikke nødvendigvis kreves så veldig store angrep.

Når man skriver inn en adresse i nettleseren sin, er det første som skjer at din enhet sender en forespørsel til serveren nettsiden er plassert på, dette i form av: HTTP GET request.

Når server mottar denne forespørselen svarer den med å sende innholdet på fremsiden for nettsiden man besøker, til besøkerens nettleser. Båndbredden som benyttes avhenger da av størrelsen på nettsiden som skal lastes, men la oss ta utgangspunkt i at en besøkende krever 1mbit/s i 5 sekunder for å få lastet hele nettsiden. Mange leverandører har som nevnt begrensninger på hvor mye båndbredde en enkelt konto kan benytte, eks 100mbit/s. Med andre ord; dersom 100 personer besøker nettsiden på nøyaktig samme tidspunkt, vil i praksis båndbredden til nettsiden være brukt opp i 5 sekunder, og alle andre som forsøker å laste siden i denne tidsperioden vil oppleve lang lastestid på siden, og eventuelt få feilmelding (gjerne 503 error).

Å ta ned en nettside som ligger i et hostingmiljø er altså ikke nødvendigvis så vanskelig, og hvis vi tar i betraktning at et zombie-nettverk kan bestå av flere millioner enheter, er skadepotensialet enormt mye større.

Hvor stor skade kan et DDoS angrep gjøre?

Når vi snakker om DDoS snakker vi ofte om størrelsen på angrepene, og det er da snakk om trafikkvolum. Selv om intensjonen til angriperen er å ta ned en enkelt nettside, kan skaden bli mye større.

La oss si at hostingleverandøren til nettsiden har en internettforbindelse på 500Mbit/s. Et DDoS angrep kan svært enkelt «fylle opp» båndbredden på denne forbindelsen, og i praksis tar da ikke angriper ned kun en nettside, men hele leverandøren og potensielt tusenvis av sider og kontoer.

Hvis vi «zoomer» litt ut; hostingleverandøren har en underleverandør som leverer internettforbindelsen til det datarommet/datasenteret hvor hostingleverandøren har sine servere/tjenester plassert. Denne underleverandøren har eksempelvis 2Gbit/s båndbredde, som deles mellom hostingleverandøren og X antall andre kunder. Et angrep som i utgangspunktet skal ta ned en nettside, tar da plutselig ned ikke bare hostingleverandøren, men også alle andre kunder internettleverandøren leverer tjenester til.

Hva fører DDoS angrep til?

Det kan kanskje være vanskelig å skjønne dette med båndbredde, ytelse og kapasitet hvis man ikke er kjent med fagspråket. For å forklare det så enkelt som mulig;

Se for deg at nettsiden din er 1 av mange butikker i et kjøpesenter, hvor kjøpesenteret i denne sammenhengen er serveren, og de andre butikkene er andre kontoer/nettsider på samme server.

Hvis din butikk får 3000 kunder en dag, men kun har kapasitet til å yte service til 1000, vil din butikk i praksis være utilgjengelig for de 2000 som står i kø. Hvis noen så sender 10 000 kunder til din butikk, vil hele kjøpesenteret fylles av folk, og ingen av butikkene vil kunne besøkes. Øker vi til 100 000 kunder vil alle veier i området rundt kjøpesenteret fylles opp, som gjør at andre sentere og butikker også i praksis blir utilgjengelige.

Med andre ord; et DDoS angrep fører til fullt kaos på veiene til/fra en server.

I denne artikkelen har vi sett på hvordan zombie-enheter benyttes til å utføre et DDoS direkte. Dette er bare en av mange måter man kan utføre et angrep på og de tekniske løsningene som ligger bak vil naturlig nok variere og endre seg.

Et annen måte å forklare det på er denne visuelle fremstillingen av en nettside som fungerer som normalt:

Som motsetning viser videoen nedenfor en visuell fremstilling av en nettside under DDoS angrep:

I del 3 kan du kunne lese om hvordan DDoS angrep kan håndteres.

Kilder:
List of HTTP status codes 

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.

Share This