Distributed Denial of Service-angreb er et problem, som alt for mange danske virksomheder har prøvet at stifte bekendtskab med.
Konsekvensen af DDoS-angreb kan være alt fra, at websider- og -servere brager ned til, at de kriminelle bruger angrebet til at maskere det egentlige angreb, eksempelvis forsøget på at stjæle følsomme data.
Der findes dog metoder til at bekæmpe DDoS-angreb. Typisk skal man op på operatørniveau for for alvor at kunne dæmme op for den uønskede trafik.
Læs også: Fire rødglødende trends presser internettet: Derfor har det svært ved at følge med
Og faktisk var det netop DDoS-problematikken, der i 2011 fik TDC til at oprette en ny sikkerhedsafdeling, Security Operations Center (SOC). Det fortæller Lars Højberg, der er chef for afdelingen.
"Med hensyn til DDoS-angreb så er det jo ikke blevet mindre. Vi ser stadig de store oversvømmelsesangreb mod vores erhvervskunder. Der er vi så inde og fjerne den ondsindede trafik i vores backbone," fortæller han til Computerworld.
Sådan kan man bekæmpe DDoS-angreb
Lars Højberg beskriver, hvordan man på operatørniveau kan bekæmpe et konkret DDoS-angreb:
"Der vil ske det, at trafik-volumenen ud mod kundens netværk overstiger en tærskelværdi, som udløser en alarm."
Når TDC har oplyst kunden om det formodede angreb, og kunden har bekræftet, at denne også selv oplever at være under angreb, så er fremgangsmåden følgende:
"Al den trafik, der går til den IP-adresse i kundens netværk, der er under angreb, router vi via en såkaldt scrubber-boks - en vaskemaskine - i vores backbone, altså i vores core net-værk."
"Det er en dedikeret boks, hvor trafikken bliver routet igennem. Den fjerner den ondsindede trafik og lader den legale trafik passere igennem til kundens netværk, forklarer han og tilføjer, at systemet også kan indstilles til automatisk at aktivere bekæmpelse af et DDoS-angreb, uden at kunden først skal bekræfte.
Lars Højberg forklarer, at TDC Security Operations Center sammen med boksen har cirka 25 'håndtag', man kan gøre brug af, afhængig af hvilken type angreb, der er tale om.
"I en angrebssituation kan vi eksempelvis blokere for al trafik, der kommer fra bestemte geografiske områder i verden," siger han.
Bot-pc'er kan også blokeres
"En anden mulighed er at blokere alle de IP-adresser, der sender med en vis volumen mod kunden."
Lars Højberg forklarer, hvordan man kan spotte og blokere for trafikken fra en bestemt maskine:
"For en typisk webserver er det begrænset, hvor meget trafik en enkelt almindelig bruger vil generere op imod den webserver."
"Er der en eller anden IP-adresse ude på det store internet, der sender med for eksempel to megabit i sekundet op imod denne her webserver, er det med stor sandsynlighed en ondsindet maskine, en bot-pc. Trafikken fra den maskine vil boksen så fjerne."
Læs også: Se oversigten her: Sådan rammes du af DDoS-angreb
Sikkerhedschefen forklarer, at den mest almindelige type DDoS-angreb fortsat er de såkaldte oversvømmelsesangreb.
"Cirka 84 procent af de DDoS-angreb, vi ser, er oversvømmelsesangreb, hvor de ondsindede sender mere trafik ind mod kunden, end kunden har båndbredde til at håndtere."
"Når det er den type angreb, er der kun et sted at fjerne trafikken, inden den lammer kundens netværk - og det er i operatørens netværk."
Kan være en afledningsmanøvre
Lars Højberg peger samtidig på, at man skal være opmærksom på, at et DDoS-angreb ikke nødvendigvis handler om at lægge ofrets servere ned - men derimod om noget helt andet.
Læs også: Pas på: DDos-angreb ofte skalkeskjul for langt mere alvorlige angreb i skjul
"Det bliver brugt som en afledningsmanøvre, eksempelvis fordi man vil forsøge at stjæle personfølsomme data fra virksomheden. Så prøver man at lamme virksomheden og få driftsafdelingen til at fokusere på DDoS-angrebet, og så går man ind ad en dør i den anden side."
TDC bliver vel også selv udsat for DDoS-angreb - hvem beskytter jer som operatør?
"Vi er ligesom andre virksomheder, så vi er også udsat for angreb. Man kan sige, at vi beskytter os selv, og at vi tager vores egen medicin."
"I den her verden er det så også sådan, at der er angreb, der er så store, at vi ikke tager dem ind i vores eget net for at bekæmpe dem, for så skaber det en tsunami-effekt gennem hele vores netværk."
"Så der er vi nødt til at blokere det på kanten af vores net. Eller vi kan gå ud til nogle af de udbydere, vi får trafik fra, og sige til dem, at de skal blokere."
Flere og mere avancerede trusler
TDC's Security Operations Center blev oprettet i 2011 og har siden udviklet sig i takt med skiftet i trusselsbilledet og TDC's øgede fokus på it-sikkerhed.
Lars Højberg venter at have 11 medarbejdere i centret ved årets udgang. De arbejder ikke kun med bekæmpelse af DDoS-angreb, men alle former for cyber-angreb.
"Kva vores størrelse har vi kunder fra alle segmenter, og derfor ser vi også den tendens, man ser i markedet i det hele taget. Virksomhederne bliver ramt bredt og ikke kun af DDoS-angreb. Det er også mere eller mindre avancerede hackerangreb, ransomware, spear phishing og så videre."
"Der er i det hele taget flere angreb, og de bliver også mere avancerede og målrettede."
Læs også:
Fire rødglødende trends presser internettet: Derfor har det svært ved at følge med
Pas på: DDos-angreb ofte skalkeskjul for langt mere alvorlige angreb i skjul