En kendt og meget brugt metode til at forårsage overbelastning er at udnytte ”three-way handshake” (SYN, SYN-ACK, ACK pakkesekvensen) processen, når en TCP-forbindelse skal oprettes. Angriberen sender en SYN-pakke, som offeret svarer på med en SYN-ACK pakke. Herefter forventer offeret en ACK-pakke, som dog aldrig kommer. Efter en tid timer ”opkaldet” ud, men indtil da, er ressourcer hos offeret optaget. Hvis offeret fra fx et botnet modtager mange samtidige ”opkald” af denne type, vil alle ressourcer hos offeret være opbrugt, og reelle forsøg på at etablere en TCP-forbindelse vil blive afvist. Denne form for DDoS-angreb går under navnet TCP SYN flood og er selv i dag meget anvendt på grund af sin enkelthed.
NetDesign services til beskyttelse mod DDoS-angreb
Her er en beskrivelse af NetDesign’s to løsninger til beskyttelse mod DDoS-angreb.
TDC DoS Protection
TDC DoS Protection fjerner DDoS-angreb centralt i TDC’s netværk, inden det rammer kundens internetforbindelse.
Produktet består af tre dele:
- Monitorering for DDoS-angreb
- Bekæmpelse af DDoS-angreb
- Rapportering
Med TDC DoS Protection monitorerer NetDesign kundens internetforbindelse døgnet rundt for DDoS-angreb. I tilfælde af et angreb udløses en alarm, som sendes til NetDesign’s 24/7 Security Operations Center (SOC). SOC’en kontakter kunden for at aftale, om angrebet skal bekæmpes. I givet fald dirigeres al trafikken til den angrebne ip-adresse via TDC’s centralt placerede scrubber-bokse. TDC’s scrubber-bokse fjerner den uønskede trafik og videresender den legitime trafik.
Kunden har ligeledes mulighed for selv at kontakte SOC’en for at starte bekæmpelse af et DDoS-angreb.
En månedsrapport sendes til kunden med oplysninger om trafikken til de beskyttede servere samt en oversigt over de udløste alarmer. I tilfælde af bekæmpelse af et angreb udarbejdes en rapport med oplysninger om angrebet, og hvordan angrebet er blevet bekæmpet.
Som alternativ til den manuelle fremgangsmåde ved et angreb, kan kunden tilvælge automitigering. Herved vil et angreb blive bekæmpet automatisk ud fra nogle forudaftalte teknikker og med en hurtig reaktionstid.
TDC DoS Protection Always On
TDC DoS Protection-løsningen kan suppleres med en boksløsning, TDC DoS Protection Always On, som opstilles i kundens net, og som så vil fungere som ”first line of defence” ved DDoS-angreb.
Boksløsningen har følgende fordele:
- Er ”Always on” og ser al trafik på kundens linie
- Stor ”trafiksynlighed” betyder bedre muligheder for at bekæmpe applikationsrettede angreb
- Hurtig reaktionstid ved angreb
Denne boks vil automatisk kunne bekæmpe de forskellige typer af DDoS-angreb – lige undtagen de store såkaldte ”oversvømmelsesangreb” pga. boksens fysiske placering. Kommer kunden ud for et stort ”oversvømmelsesangreb”, vil boksen derfor automatisk signalere (”råbe om hjælp”) til den centrale løsning i TDC’s backbone (TDC DoS Protection) for at få umiddelbar hjælp til bekæmpelse af angrebet. Den centrale løsning vil herefter automatisk tage over mht. at bekæmpe angrebet.
De mest almindelige DDoS-angrebstyper
ICMP flood
Et ICMP flood-angreb er et ”oversvømmelsesangreb”, hvor typisk et botnet sender så mange ICMP Echo Request (ping) pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem. Et ICMP flood-angreb kan også overbelaste serveren, der modtager ICMP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne.
UDP flood
Et UDP flood-angreb er et ”oversvømmelsesangreb”, hvor typisk et botnet sender så mange UDP-pakker mod offeret, at offerets internetforbindelse fyldes op og reel trafik ikke kan komme igennem. Et UDP flood-angreb kan også overbelaste serveren, der modtager UDP-pakkerne, da den skal bruge ressourcer på at behandle pakkerne.
Amplification-angreb
Ved et reflection amplification-angreb (også blot kaldet amplification-angreb) sender et botnet angrebstrafik via åbne servere (porte) på nettet for at få forstærket sit angreb. For eksempel anvendes åbne servere, der understøtter følgende UDP-baserede protokoller:
- DNS
- NTP
- SNMP
- SSDP
- CharGen
Et DNS amplification-angreb fungerer eksempelvis på den måde, at et større antal botmaskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender ip-adresse mod åbne DNS-servere. DNS-serverne vil, som DNS-servere altid gør, sende svaret på forespørgslerne tilbage til afsenderadressen. Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNS-svar til denne server.
De åbne DNS-servere bliver altså anvendt som reflektorer (”relæmaskiner”) for angrebet, men også som forstærkere, da et DNS-svar typisk fylder meget mere end en DNS-forespørgsel.
