Denial-of-service

Inom datasäkerhet är en denial-of-service (DoS) attack en attack mot ett datasystem i syfte att hindra normal användning av systemet. Den vanligaste angreppstypen är överbelastningsattack, där systemet kommer att använda nästan alla resurser enbart till att hantera data genererat genom attacken.

För operativsystemet, se DOS.

Några kända attacker är de mot riksdagsvalet 2018,^[1] Ebay, Scientologikyrkan, Amazon, Visa och CNN under februari 2000. Överbelastningsangrepp har drabbat flera olika sektorer såsom banker, finansiella institut, myndigheter, massmedia och spel- och vadslagningsföretag. De har utförts exempelvis vid utpressning eller som hämnd eller vid elektronisk krigföring.

Tillvägagångssätt

Det finns flera olika tillvägagångssätt att genomföra en DoS-attack:

• att man missbrukar en sårbarhet eller svaghet som får systemets programvara att krascha eller låsa sig
• att man sänder så mycket trafik att systemet eller applikation kollapsar
• att man sänder så mycket trafik att enheten inte kan använda sig av funktionalitet för energibesparing (även kallat Denial-of-Sleep^[2])
• att man sänder så mycket skräptrafik så att legal/giltig trafik hindras att komma fram.
• att ändra systemets uppfattning om nätet eller användarna så att det inte kan fungera normalt

Program kan ofta fås att krascha genom att ge annat data än det förväntade, då kontrollen av data är bristfällig. Den klassiska attacken är genom buffertöverskridning (sådana svagheter kan också ofta utnyttjas för att ta kontroll över systemet). En historisk attack av detta slag var "ping of death", då ett överstort ICMP-paket kraschade många operativsystem^[3] tills svagheten rättats till.

Om den som ska attackeras har en internetanslutning med mindre kapacitet än angriparen, kan en DoS-attack genomföras genom i princip helt normal trafik, till exempel genom att efterfråga ett stort antal slumpmässigt valda stora filer från en webbserver. Denna attack är effektivast som en DoS (se nedan).

För att överbelasta ett system som har större resurser måste man antingen få trafiken mångfaldigad eller utnyttja någon knapp resurs. En klassisk attack var att skicka broadcast-paket till systemets intranät; då alla de lokala datorerna svarade överlastades nätet också om mängden ursprungliga paket var måttligt.

En knapp resurs som utnyttjats är operativsystemets tabell över inkommande, ännu inte etablerade, TCP-förbindelser. Eftersom angriparen bara skickar det första paketet för varje förbindelse behöver hans dator inte hålla reda på förbindelserna (och kan också annars använda alla datorns resurser till detta), men servern som väntar på fortsättningen måste lagra informationen, tidigare ofta i tabeller av begränsad storlek.

Ibland är datorer inställda för att blockera eller ignorera trafik från en angripare. Angriparen kan då få en legitim användare blockerad till exempel genom att upprepade gånger ange fel lösenord eller genom att skicka trafik med förfalskad IP-adress.

I många fall är systemen beroende av information från källor vars legitimitet är svår att kontrollera. Domännamnssystemet är sårbart för attacker där man ger fel information om datorers IP-adress.^[4] Också om man genom SSL-certifikat eller SSH-nycklar kan undvika att skicka känslig information till fel dator kan sådana attacker hindra användare att få kontakt med den rätta servern.

Distributed denial-of-service (DDoS)

En DDoS-attack (distributed denial-of-service attack) är en teknik som används genom att ett stort antal datorer deltar i attacken. Den kan därmed inte effektivt avvärjas genom att begränsa trafiken från enskilda IP-adresser.

En DDoS-attack bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk. Till exempel kan man begära stora filer från en webbserver. Det utsatta systemet överbelastas av den stora mängden anrop och endast liten kapacitet blir kvar för övrig kommunikation.

Oftast kommer denna attack från datorer som ingår i ett botnet, datorer där en angripare installerat program med vilka han kan styra dem alla över nätet, till exempel med hjälp av en trojansk häst. Datorernas innehavare är då inte medvetna om att deras dator utnyttjas på detta sätt.

Exempel

• Ett av de mer uppmärksammade DDoS-anfallen i Sverige utfördes mot svenska polisen den 1-2 juni 2006, troligen som en följd av att fildelningssajten The Pirate Bay stängdes den 31 maj och organisationens servrar togs i beslag.^[5] Intensiteten uppskattades vara 500 000 anrop i sekunden och den fientliga trafiken kom från flera länder. Polisens webbsajt var utslagen från kvällen den 1 juni och stora delar av den 2 juni.^[6]

• Tre av de tolv DNS-rotservrarna för Internet blev närapå överbelastade den 6 februari 2007 genom DDoS-attacker.^[7]

• Webbhotellet One(dot)com blev den 5-6 juli 2010 kraftigt ansatta av en, enligt dem ovanligt svårkontrollerad DDoS-attack. Flertalet av deras hostade sidor låg nere under ett antal timmar, eller tog mycket lång tid att ladda ner. Ytterligare en DDoS-attack riktades mot One(dot)com 21 februari 2014 där långa nedladdningstider, eller inkomplett nedladdning av hos One hostade sidor sågs.

• Den 19 mars 2016 skedde en attack riktad mot svenska medier, uppdelad i två delar. Den första var stor, den uppgick till 50 Gb/s. Andra attacken var större, man kunde dock inte mäta hur mycket lasttrafiken uppgick till. Efter händelsen kallade inrikesminister Anders Ygeman till ett möte. En ny attack skedde kvällen den 24 mars.^[8]

Referenser

Noter

1. ”DOS-attack som sänkte valmyndighetens sajt på valkvällen”. https://www.friatider.se/dos-attack-som-s-nkte-valmyndighetens-sajt-p-valkv-llen. Läst 27 januari 2020.
2. Gallais, Antoine; Hedli, Thin-Hinen; Loscri, Valeria; Mitton, Nathalie (2019-04-XX). ”Denial-of-Sleep Attacks against IoT Networks”. 2019 6th International Conference on Control, Decision and Information Technologies (CoDIT): sid. 1025–1030. doi:10.1109/CoDIT.2019.8820402. https://ieeexplore.ieee.org/document/8820402. Läst 7 maj 2021.
3. beskrivning av ping of death på insecure.org (1996)
4. se till exempel US-CERT: Vulnerability Note VU#800113
5. Mattsson, Anna; Helena, Öberg (31 maj 2006). ”Razzia mot fildelare”. Dagens nyheter. https://www.dn.se/nyheter/sverige/razzia-mot-fildelare/. Läst 29 juli 2008.
6. Svensk, Jessika (2 juni 2006). ”Polisens hemsida nere under halvt dygn”. Dagens nyheter. https://www.dn.se/nyheter/sverige/polisens-hemsida-nere-under-halvt-dygn/. Läst 29 juli 2008.
7. TT (7 februari 2007). ”Internet klarade jättelik "zombie"-attack”. Dagens nyheter. https://www.dn.se/nyheter/varlden/internet-klarade-jattelik-zombie-attack/. Läst 29 juli 2008.
8. ”IT-attacker mot svenska medier”. Aftonbladet ab.se. Arkiverad från originalet den 27 mars 2016. https://archive.today/20160327183031/http://www.aftonbladet.se/senastenytt/ttnyheter/inrikes/article22508995.ab. Läst Läst 25 mars 2016.