DDoS – ikke bare stammespråk

ddosDenne sommeren var det flere som fikk ferien forstyrret av en 17-årig bergenser som moret seg med å gjennomføre et såkalt distribuert tjenestenektangrep (DDoS) mot firma som Telenor og DnB. Nå på tampen av ferien kunne det kanskje passe å se litt nærmere på hvordan et slikt angrep egentlig fungerer?

botnetEt tjenestenektangrep (DoS) består ganske enkelt av å sende så mange forespørsler til en tjeneste at den ikke makter å besvare alle, slik at andre som prøver å benytte tjenesten ikke får svar. Det er lite sannsynlig at en enkelt maskin ville kunne generere nok trafikk til dette, og det ville uansett være lett for tjenesten å oppdage og filtrere bort et angrep fra en enkelt maskin. Det er her ordet “distribuert” kommer inn i bildet.

Den vanligste måten å gjennomføre et DDoS-angrep på, er via et botnet, som vist på figuren over. Botmasteren (som vi kaller den som kontrollerer et botnet) etablerer først et antall Command & Control (C&C) noder, typisk ved å spre skadevare (malware). Deretter infiseres et stort antall maskiner ved ukritisk spredning av skadevare; når hver enkelt maskin smittes, vil det startes en prosess som kobler seg opp mot C&C-nodene og legger seg i bakgrunnen for å vente på videre instrukser.

Når botmasteren skal aktivere botnettet i et DDoS-angrep, kontakter den vanligvis ikke C&C-nodene direkte; i stedet er det vanlig å bruke kringkastingsmedier som Internet Relay Chat (IRC), der kommandoer sendes som kodeord på en egen kanal. C&C-nodene vil så videresende kommandoene til hele eller deler av botnettet, avhengig av hva botmasteren ønsker. Hver enkelt bot vil så gjøre det den blir bedt om, f.eks. koble seg opp mot en angitt webtjeneste.

Et slikt DDoS-angrep er svært vanskelig å beskytte seg mot, ettersom bot-ene kan være spredd over hele verden, og trafikken i utgangspunktet ser ut som vanlig, lovlig trafikk.

Oppdatering:
De som er interessert i flere detaljer oppfordres til å ta en titt på følgende presentasjon av Oddbjørn Steffensen:
http://www.slideshare.net/oddbjorn/tjenestenektangrep-dndl

Illustrasjon ved Matt Joyce, CC BY 2.0