Vad är en DDoS-attack?

När svenska riksdagsvalet skulle räknas hösten 2018 låg Valmyndighetens hemsida nere i timmar. Orsaken var inte teknikfel utan en överbelastningsattack, en så kallad DDoS-attack. Samma metod har drabbat polisen, svenska medier och svenska banker vid återkommande tillfällen. En DDoS-attack innebär att en mängd uppkopplade datorer samtidigt riktar trafik mot ett mål för att tjänsten ska sluta fungera. Förkortningen står för Distributed Denial of Service och attackerna är ett av de hot CERT-SE varnar för regelbundet i sina lägesbilder.

Så bryts en server ner under en attack

En angripare som vill släcka ner en hemsida har två vägar att gå. Den första är att utnyttja en svaghet i programvaran så att servern kraschar. Den andra och mer spridda metoden är att översvämma servern med så många förfrågningar att den inte hinner svara legitima besökare. Trafiken kan se ut som vanlig surf, men volymen är på en helt annan nivå. Vid attacken mot svenska medier i mars 2016 mätte operatörerna en topp på 50 Gbit per sekund från flera olika länder.

Servern hinner inte sortera bort den falska trafiken från den verkliga. Resultatet blir samma sak som om ett varuhus fick in tiotusentals personer samtidigt: legitima kunder kommer aldrig fram till kassan. Webbplats, inloggning och bakomliggande system blir oåtkomliga, ibland i timmar och ibland i flera dygn.

Tre typer av attacker

Trafiken mot ett mål kan delas in i tre huvudkategorier. Volumetriska attacker fyller bandbredden med skräpdata, till exempel via förfrågningar mot öppna DNS-servrar som returnerar mycket större svar än det inkommande paketet, känt som DNS-amplifiering.

Protokollattacker utnyttjar hur internetprotokollen är uppbyggda. En klassisk variant är SYN-flooding, där angriparen påbörjar tusentals halvfärdiga TCP-anslutningar som servern måste hålla i minnet. Servern fyller sin tabell och kan inte ta emot fler legitima anslutningar.

Applikationsattacker, ofta kallade lager 7-attacker, riktar sig direkt mot webbapplikationen. Det kan handla om upprepade förfrågningar mot en söksida eller en betalfunktion som är tung att räkna. Volymen behöver inte vara stor om varje anrop kräver mycket av servern.

Botnät av kapade enheter

En modern DDoS-attack kommer sällan från en enskild dator. Trafiken kommer från ett botnät, ett nätverk av tusentals eller miljontals enheter som angriparen styr på distans. Enheterna är vanliga hemdatorer men också uppkopplade kameror, routrar och andra IoT-enheter med svaga lösenord. Mirai-botnätet 2016 satte rekord genom att kapa övervakningskameror och digital-tv-boxar för en attack mot tjänsten Dyn DNS, som slog ut stora delar av amerikanska internet under flera timmar. Botarna installeras ofta via skadlig kod som sprider sig automatiskt mellan dåligt skyddade enheter.

Eftersom attacken sprider sig från många olika IP-adresser går det inte att stoppa attacken genom att blockera en enskild källa. Skyddet måste filtrera bort skräpet utan att kasta ut legitima besökare.

Tecken på att en attack pågår

De flesta DDoS-attacker märks först när tjänsten saktar ner eller helt slutar svara. Några vanliga signaler:

  • Ovanligt höga trafikvolymer från IP-adresser eller länder som inte tidigare varit aktiva
  • Långsamma svarstider på hemsida eller inloggning trots normal last i övrigt
  • Hela tjänsten oåtkomlig medan andra system i nätverket fungerar
  • Loggar fylls av förfrågningar mot en specifik sida eller funktion

Övervakningsverktyg hos webbhotell, brandväggar och CDN-leverantörer fångar avvikelserna tidigt och larmar driftpersonalen. Utan sådan övervakning märks attacken oftast först när kundsupporten börjar få samtal om en sida som inte laddar.

Skydd och förberedelser

Inget enskilt verktyg stoppar alla DDoS-attacker. Branschens vanligaste lösningar bygger på flera lager som arbetar tillsammans:

  • DDoS-skyddstjänst hos webbhotell eller hos en separat operatör som filtrerar trafiken innan den når servern
  • Molnbaserad lastbalansering som kan skala upp och absorbera trafiktoppar
  • Tydliga rutiner för vem som larmar vem och var systemloggar finns
  • Övning på scenariot som del av en bredare incidentplan

Stora svenska aktörer som operatörer, banker och statliga myndigheter har skyddslösningar på plats. Mindre verksamheter saknar ofta beredskap, vilket kan göra en attack mot fel datum oproportionerligt kostsam. En kampanj eller en valnatt som tas ner mitt i blottar ofta hela trafikberoendet.

Är DDoS olagligt i Sverige?

Ja. Att medvetet störa drift av ett informationssystem är dataintrång enligt brottsbalken 4 kap 9 c § och kan ge upp till två års fängelse. Att beställa en DDoS-attack via en så kallad stresser- eller booter-tjänst är också brottsligt, även om beställaren inte själv kan tekniken. Polisens nationella IT-brottscenter har drivit flera ärenden där svenska tonåringar dömts efter att ha köpt attacker via webbtjänster.

DDoS-attacker har gått från enstaka nyhetshändelser till löpande inslag i hotbilden mot svenska företag och samhällsfunktioner. CERT-SE publicerar löpande rapporter om aktuella svenska attacker och är en bra utgångspunkt för den verksamhet som vill bygga upp egen beredskap. För en bredare bild av hur cybersäkerhet hänger ihop över olika hotbilder, läs vidare i hubsidan om cybersäkerhet, IT-säkerhet och informationssäkerhet.