Denial-of-service
 |
Den här artikeln behöver fler eller bättre källhänvisningar för att kunna verifieras. (2014-02) Åtgärda genom att lägga till pålitliga källor (gärna som fotnoter). Uppgifter utan källhänvisning kan ifrågasättas och tas bort utan att det behöver diskuteras på diskussionssidan. |
Inom datasäkerhet är Denial of Service (ofta förkortat DoS) en attack mot ett datasystem i syfte att hindra normal användning av systemet. Den vanligaste angreppstypen är överbelastningsattack, där systemet kommer att använda någon knapp resurs (nästan) enbart till att hantera data genererat genom attacken.
Några kända attacker är de mot Ebay, Scientologikyrkan, Amazon, Visa och CNN under februari 2000. Överbelastningsangrepp har drabbat flera olika sektorer såsom spel- och vadslagningsföretag, banker, finansiella institut och myndigheter, och utförs exempelvis vid utpressning eller som hämnd eller elektronisk krigföring.
Tillvägagångssätt
Det finns flera olika tillvägagångssätt att genomföra en DoS-attack:
- att man missbrukar en sårbarhet eller svaghet som får systemets programvara att krascha eller låsa sig
- att man sänder så mycket trafik att systemet eller applikation kollapsar
- att man sänder så mycket skräptrafik så att legal/giltig trafik hindras att komma fram.
- att ändra systemets uppfattning om nätet eller användarna så att det inte kan fungera normalt
Program kan ofta fås att krascha genom att ge annat data än det förväntade, då kontrollen av data är bristfällig. Den klassiska attacken är genom buffertöverskridning (sådana svagheter kan också ofta utnyttjas för att ta kontroll över systemet). En historisk attack av detta slag var "ping of death", då ett överstort ICMP-paket kraschade många operativsystem[1] tills svagheten rättats till.
Om den som skall attackeras har en internetanslutning med mindre kapacitet än angriparen kan en DoS-attack genomföras genom i princip helt normal trafik, till exempel genom att efterfråga ett stort antal slumpmässigt valda stora filer från en webbserver. Denna attack är effektivast som en DDoS, se nedan.
För att överbelasta ett system som har större resurser måste man antingen få trafiken mångfaldigad eller utnyttja någon knapp resurs. En klassisk attack var att skicka broadcast-paket till systemets intranät; då alla de lokala datorerna svarade överlastades nätet också om mängden ursprungliga paket var måttligt.
En knapp resurs som utnyttjats är operativsystemets tabell över inkommande, ännu inte etablerade, TCP-förbindelser. Eftersom angripare skickar bara det första paketet för varje förbindelse behöver hans dator inte hålla reda på förbindelserna (och kan också annars använda alla datorns resurser till detta), men servern som väntar på fortsättningen måste lagra informationen, tidigare ofta i tabeller av begränsad storlek.
Ibland är datorer inställda för att blockera eller ignorera trafik från en angripare. Angriparen kan då få en legitim användare blockerad till exempel genom att upprepade gånger ange fel lösenord eller genom att skicka trafik med förfalskad IP-adress.
I många fall är systemen beroende av information från källor vars legitimitet är svår att kontrollera. Domännamnssystemet är sårbart för attacker där man ger fel information om datorers IP-adress.[2] Också om man genom SSL-certifikat eller SSH-nycklar kan undvika att skicka känslig information till fel dator kan sådana attacker hindra användare att få kontakt med den rätta servern.
Distributed Denial of Service (DDoS)
DDoS (Distributed Denial of Service) är en teknik som används mot ett datorsystem eller datornätverk, ofta genom att konsumera all tillgänglig bandbredd. Ett stort antal datorer deltar i attacken och därmed kan den inte effektivt avvärjas genom att begränsa trafiken från enskilda IP-adresser.
En DDoS-attack bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk, till exempel kan man begära stora filer från en webbserver. Det utsatta systemet överbelastas av den stora mängden anrop och endast liten kapacitet blir kvar för övrig kommunikation.
Oftast kommer denna attack från datorer som ingår i ett botnet, datorer där en angripare installerat program med vilka han kan styra dem alla över nätet, till exempel med hjälp av en trojansk häst. Datorernas innehavare är då inte medvetna om att deras dator utnyttjas på detta sätt.
Exempel
Ett av de mer uppmärksammade DDoS-anfallen i Sverige utfördes mot svenska Polisen den 1-2 juni 2006, troligen som en följd av att sajten The Pirate Bay stängdes den 31 maj och organisationens servrar togs i beslag.[3] Intensiteten uppskattades vara 500 000 anrop i sekunden och den fientliga trafiken kom från flera länder. Polisens webbsajt var utslagen från kvällen den 1 juni och stora delar av den 2 juni.[4]
Tre av de tolv DNS-rotservrarna för Internet blev närapå överbelastade den 6 februari 2007 genom DDoS-attacker.[5]
Webbhotellet One(dot)com blev den 5-6 juli 2010 kraftigt ansatta av en, enligt dem ovanligt svårkontrollerad, DDoS-attack. Flertalet av deras hostade sidor låg nere under ett antal timmar, eller tog mycket lång tid att ladda ner. Ytterligare en DDoS-attack riktades mot One(dot)com 21 februari 2014 där långa nedladdningstider, eller inkomplett nedladdning av hos One hostade sidor sågs.
Referenser
Noter
- ^ beskrivning av ping of death på insecure.org (1996)
- ^ se till exempel US-CERT: Vulnerability Note VU#800113
- ^ Mattsson, Anna; Helena, Öberg (31 maj 2006). ”Razzia mot fildelare”. Dagens nyheter. http://www.dn.se/nyheter/sverige/razzia-mot-fildelare/. Läst 29 juli 2008.
- ^ Svensk, Jessika (2 juni 2006). ”Polisens hemsida nere under halvt dygn”. Dagens nyheter. http://www.dn.se/nyheter/sverige/polisens-hemsida-nere-under-halvt-dygn/. Läst 29 juli 2008.
- ^ TT (7 februari 2007). ”Internet klarade jättelik "zombie"-attack”. Dagens nyheter. http://www.dn.se/nyheter/varlden/internet-klarade-jattelik-zombie-attack/. Läst 29 juli 2008.