Efterhånden som teknologien udvikler sig i rasende fart, forbedrer den vores livskvalitet og mulighederne på internettet. Men på samme tid, som gennem hele menneskehedens historie, er teknologi som en mønt med to sider. En produktiv side og en destruktiv. Onlineangreb og ondsindet hacking er et destruktivt aspekt af nettet, som har oplevet massiv stigning i brugen det seneste årti. Metoderne bliver også mere sofistikerede. Et af de mest almindeligt anvendte onlineangreb er distribueret denial of service-angreb, kendt på kort form som DDoS. DDoS selv er en udviklet og mere avanceret form for DoS-angrebet (denial of service). Mens mange forskellige onlineangrebsmetoder, såsom den berygtede Trojan virus engang var frygtet og nu er blevet forældet, har DDoS-metoden til at angribe et netværk eller en server holdt stand over tid og bliver stadig brugt med stor succes i dag. Der er selvfølgelig metoder til at bekæmpe det og præventionsmetoder at tage i betragtning. Men hvad kan vi gøre, når vores hjemmenetværk er under angreb? I denne artikel vil jeg gennemgå ti løsninger og præventionsmetoder for DDoS-beskyttelse til hjemmenetværk. Men før vi løber løbsk, skal vi få definitionerne på plads.
Hvad er et DDoS-angreb?
I modsætning til den populære forestilling er DDoS et angreb og ikke en hackeroperation. Det betyder, at angriberen bag DDoS-angrebet ikke søger at tage kontrol over dit netværk eller din server. De ønsker i stedet at sætte det ud af drift og få det til at gå ned. Selvom der er flere forskellige DDoS-angrebsmetoder, der falder ind under tre generelle kategorier, følger det overordnede skema for alle dem mere eller mindre samme mønster. Ved et DDoS-angreb overbelaster angriberen det pågældende netværk eller serveren med en massiv bølge af illegitime netværksanmodninger.
Den rene hastighed og mængde af disse falske anmodninger er så høj, at den overtager båndbredden på dit netværk eller din server og tvinger det til at dedikere alle sine ressourcer til at behandle disse anmodninger. Derfor vil serveren enten ikke reagere på andre opgaver og anmodninger på grund af mangel på behandlingsressourcer, eller den vil gå helt ned. Angriberen udfører normalt disse angreb via en række enheder, der er programmeret til at spamme anmodninger. Disse enheder bliver brugt som en del af et "botnet"-netværk. Da hjemmenetværk kører på allokeret båndbredde fra en central server tilhørende din ISP, er det relativt nemmere at slå dem ud med DDoS sammenlignet med en server, du selv drifter. Det nødvendiggør DDoS-beskyttelse på routeren.
De tre typer DDoS-angreb
Det er vigtigt for dig at kende de tre generelle kategorier, som en DDoS-angriber vil anvende for at forårsage skade på dit hjemmenetværk. Disse tre kategorier er ikke angrebsmetoder i sig selv, men snarere angrebsordninger, der hver indeholder flere forskellige DDoS-angrebsmetoder. Lad os hurtigt evaluere dem.
Volumetriske angreb
Som navnet antyder, benytter angreb, der følger den volumetriske kategori, sig af ren volumen til succesfuldt at udføre et angreb. På grund af dette er de også den mest almindeligt brugte type DDoS-angreb der forekommer. Processen er ret ligetil. Angriberen vil blot stole på mængden og sende så meget illegitim trafik som muligt for at få serveren til at gå ned. Hackeren vil målrette din DNS. Hvis den første bølge af anmodninger og uønsket trafik ikke var nok, kunne de blot sende den igen og igen. Volumetriske angreb er almindelige, fordi de er nemme at udføre for næsten alle. Heldigvis betyder det også, at processen for DDoS-beskyttelse til hjemmenetværk er lettere mod denne metode.
Protokolangreb
Protokolbaserede angreb kræver lidt mere indsats at udføre, men til gengæld er deres virkninger også meget mere ødelæggende for et hjemmenetværk. Angriberen i denne metode har brug for en grundlæggende kommunikation til at blive etableret mellem dit netværk og deres. Derfor vil de sende det, der kendes som et "TCP" handshake. Hvis du accepterer dette handshake, vil det udveksle et sæt initialdata, herunder IP- og DNS-adresser. Hackeren vil så ikke fuldføre handshake-anmodningen. I stedet bruger de de nyerhvervede data til at blive ved med at lave TCP handshake-anmodninger med falske IP-adresser efter falske IP-adresser. Disse anmodninger skal have båndbredde for at behandle og endda afvise. Derfor bliver serveren overbelastet og går ned.
Applikationslag
Application Layer DDoS-angreb er den mest snedige angrebsmetode, da de bruger en applikations eller en servers egne hostede ressourcer mod sig selv. Navnet antyder også, at angrebet i stedet for at gå efter serverens grundlæggende infrastruktur foregår på "applicationslaget" for uanset hvilke data, der hostes på en server. Hvis det er et websted, vil hackeren løbende anmode om, at et illegitimt afsnit af det pågældende websted indlæses. Når dette sker, skal websiden informere dem om, at ingen sådan sektion findes med en svarspakke. Angriberen vil blive ved med at anmode om siden, indtil serveren er overvældet og ikke længere kan reagere på deres eller nogens anmodninger, hverken legitime eller illegitime.
Zero Day og andre DDoS-angrebsmetodologier
Nu har hver af de tre ovennævnte kategorier af DDoS-angreb også en række angrebsmetoder, der falder under deres paraply. De mest almindelige angrebsmetoder i protokolangrebs-kategorien er TCP-oversvømmelse og SYN-oversvømmelse. Med volumetriske angreb har vi ICMP-oversvømmelse, ping of død, og UDP-oversvømmelse. Endelig, med application layer, har vi slowloris-metoden. Alle disse metoder er velgennemgået, og der er måder at modvirke dem både på hjemmenetværk og uafhængige servere. Men der er også en anden kategori af DDoS-angreb kendt som Zero Day-angreb. Som navnet antyder, er disse angreb metoder, der endnu skal opdages, og deres eksistens kommer kun for dagen, når de først bruges mod et nyt offer. Fluiditeten i konceptet vedrørende DDoS-angreb betyder, at der er mange forskellige zero-day-angreb ved hjælp af nye og innovative angrebsmetoder. Zero-day-angreb anses for værdifulde, fordi deres protokol endnu skal opdages. Derfor antages det, at disse metoder bliver gemt fra at blive brugt mod større mål. Alle de forskellige metoder, jeg nævnte tidligere, blev også engang kaldt zero-day-angreb. Generelt er disse angreb dog det sidste, du skal bekymre dig om vedrørende DDoS-beskyttelse til dit hjemmenetværk.
HTTP-oversvømmelse er også et fremtrædende DDoS-angreb. For at beskytte dig selv fra at blive udsat for det, anbefales det stærkt, at du beskytter din HTTP, mens du surfer online på browsere som Chrome.
Motivationer bag et DDoS-angreb
Der er forskellige motivationer bag hvert DDoS-angreb. Men generelt er der et mønster i grundårsagerne til disse angreb. De større DDoS-angreb sker normalt af to grunde. For det første afpresning. Når en gruppe hackere lukker en virksomheds online tilstedeværelse, svækker de alvorligt dens markedsførings- og driftskapacitet. Derfor finder offeret det ofte lettere at betale angriberne for at ophæve DDoS-angrebet. En anden grund til store DDoS-angreb er at sende et politisk budskab eller deltage i samfundsaktivisme.
Men når et DDoS-angreb rammer et hjemmenetværk, kan motiverne være lidt anderledes. Når et hjemmenetværk specifikt målrettes med DDoS, skyldes det normalt personlige grunde. Hvis ikke, er du eller din internetudbyder sandsynligvis blevet offer for en afpresningsordning. Det vides, at nogle gamere bruger DDoS mod andre gamere i multiplayersessioner for at skabe forsinkelse for modstandere og få fordel for sig selv. Samlet set er chancerne for at blive personligt angrebet på dit hjemmenetværk med et DDoS-angreb lave, men hvad gør man når det faktisk sker? Her er ti løsninger til at beskytte dit hjemmenetværk mod DDoS.
10 metoder til DDoS-beskyttelse på hjemmenetværket
Før vi forklarer hver af disse metoder, er det vigtigt at bemærke, at ingen af disse løsninger er absolutte i forhold til at forsvare sig mod et DDoS-angreb på dit hjemmenetværk. I stedet skal de bruges sammen for at forhindre DDoS på hjemmenetværket.
1. Forebyggelse er kongen
Denne er faktisk ikke en teknisk metode til at bekæmpe DDoS-angreb. Det er snarere en tankegang. DDoS-angreb er den mest almindelige type ondsindet onlineaktivitet. Derfor, selvom det er usandsynligt, at dit hjemmenetværk lider under et DDoS-angreb, anbefales det på det kraftigste, at du udfører din egen forskning og har alle de forebyggende, advarsels- og forberedende foranstaltninger på plads, som du kan samle. Intet offer for et vellykket DDoS-angreb var nogensinde forberedt på det. Det viser klart, at nogle af de muligheder, vi skal udforske nedenfor, skal implementeres nu. Før angrebet faktisk rammer dit hjemmenetværk.
2. Skift IP-sikkerhed
Din IP-adresse er din onlineidentitet og er det primære middel til at genkende dig, dine enheder og dit netværk i onlineverdenen. Derfor er det også den primære kanal, hvorfra angreb konstant vil blive lanceret mod dig i et hypotetisk angrebsscenario. Det anbefales, at mens du deltager i risikabel onlineaktivitet, maskerer din IP-adresse. Bedre endnu kan du bruge en strategi med en udviklende IP-adresse ved at få din internetudbyder til at ændre din tildelte IP-adresse fra tid til anden. Det gør det meget sværere at målrette mod dig.
3. Brug en VPN
Mange DDoS-angribere målretter normalt en stor liste af IP-adresser, som de samler fra offentlige domæner. Der er altid en chance for, at din IP-adresse også findes i et af disse domæner. Derfor er en god løsning, i tråd med IP-sikkerhedsspørgsmålet, som jeg nævnte ovenfor, at bruge et virtuelt privat netværk. Dette VPN vil ikke kun fuldstændig maskere og ændre din faktiske IP-adresse, men vil også kryptere dine data. Det gør det betydeligt sværere at lancere et vellykket DDoS-angreb mod dit hjemmenetværk. Så det er endnu en grund til hvorfor du skal bruge et VPN.
4. MACsec
IEEE 802.1AE, også kendt som MACsec, er en netværksprotokol, der i det væsentlige gør visse aspekter af din forbindelse, såsom Ethernet og VLAN, uigennemtrængelig over for enhver overvældende DDoS-kraft. Det er rigtigt, at konfiguration af en MACsec-protokol for at yde DDoS-beskyttelse til et hjemmenetværk er en snarere vanskelig og kompliceret metode. På trods af dette forbliver det en af de mest effektive metoder til at forhindre angreb som man-in-the-middle og DDoS. Hvis dit hjemmenetværk konstant lider under DDoS, vil implementering af MACsec gøre meget for at beskytte dig.
5. Brug anti-DDoS-software
Dette er helt sikkert det mest ligetil det kan blive. Anti-DDoS-software er designet specifikt til at genkende de mønstre, der bruges af de forskellige metoder til DDoS-angreb. Efter med succes at have bestemt den indgående trafik til at være ondsindet, vil den blot blokere kommunikationen eller på anden måde helt afbryde forbindelsen mellem den ondsindet enhed og dit netværk ved at blokere deres IP. Der er mange troværdige muligheder, hvad angår anti-DDoS-programmer, som for eksempel SolarWinds' Security Event Manager, som også vil beskytte dig mod angreb, der bruges til at udnytte fjernadsgangsprotokols som SSH.
6. Hold dit operativsystem opdateret
Jeg kan ikke nok understrege, hvor vigtig det er at have dit operativsystem opdateret. Og det gælder alle enheder, der er forbundet til dit hjemmenetværk. Hvad enten det er Linux, macOS eller Windows på dine computere, eller hvis du har Android eller iOS på dine telefoner, er det afgørende, at du har dem alle opdateret til den seneste version. Forældede operativsystemversioner er et af de mest udnyttede svage punkter inden for sikkerhed, der letter alle former for angreb mod dig ved at give hackeren mulighed for først at infiltrere den forældede enhed, før han lancerer et angreb på netværket.
7. Undgå utrygge porte
Mange af os bruger dagligt underholdnings- og kommunikationssoftware, der bruger visse transmissionsporte til at overføre data mellem vores enhed og deres tjenester. De vigtigste eksempler er Steam, Netflix, Discord, Skype, Spotify, Xbox Live osv. Selvom der er officielle porte, der er sikre, er der også alternative porte, der kan bruges til at løse nogle fejl eller få adgang til nyt indhold. Det er det imidlertid ikke værd for dit netværks sikkerhed, og jeg råder dig til på ingen måde at bruge disse utrygge porte og altid at holde dig til de officielt angivne porte for hver tjeneste. Ellers bliver etablering af forbindelse til angreb som TCP-oversvømmelse virkelig let for en angriber.
8. Hold din router opdateret
Dette er et andet afgørende aspekt af din hjemmenetværks sikkerhed generelt. Dette vil ikke kun forhindre DDoS på hjemmenetværket, men er også virkelig brugbart mod alle former for ondsindet onlineaktivitet rettet mod dig. Svarende til enhederne på netværket udsteder modemer og routere også softwareopdateringer, der sigter mod at forbedre sikkerheden. Ældre versioner har følgelig svagere sikkerhed sammenlignet med senere versioner. Det er det værst tænkelige scenario at få din router infiltreret, da den vil fungere som både målpunktet for angrebet og angriberen, da den ondsindet part vil bruge routeren selv til at overbelaste netværket. Hold routerne opdaterede!
9. Sikkerhed ved stemmechat
Det er også kendt, at tjenester som Skype og lignende Discord kan have kompromitteret grundlæggende sikkerhedsniveauer. Dette giver en ondsindet angriber mulighed for at laste en simpel lydchat eller videosamtale med en UDP-pakke for at etablere en forbindelse og derefter gennemføre et fuldt DDoS-angreb. Som hovedregel skal du aldrig acceptere anmodninger om lydchats eller videosamtaler fra personer, du ikke kender på nettet. Dette stemmer overens med artikelens første tip om altid at have et defensivt mindset for at forhindre DDoS-angreb i stedet for at løse dem, når de opstår. Det er også bedst at bruge kommunikationssoftware, der ikke udsætter dig.
10. Kontakt din internetudbyder
Hvis du simpelthen ikke har computerkendskab til at udføre de forskellige løsninger på denne liste, eller hvis et fuldskala-angreb allerede er sket mod dig i sådan en grad, at netværket er helt uresponsivt, er din eneste løsning at kontakte din internetudbyder. Som administratorer af serveren kan de ændre din IP-adresse for at ophæve det igangværende angreb og derefter blokere den ansvarlige IP-adresse, der lancerede DDoS-angrebet mod dig. Mange internetudbydere tilbyder også grundlæggende DDoS-beskyttelse, så det hjælper meget at vælge en af dem.
Konklusion
DDoS-angreb er langt de mest irriterende former for ondsindet onlineaktivitet, som en person skal håndtere. Selvom skaderne ikke er rettet mod dine personlige oplysninger, gør vanskeligheden ved at spore angriberen og ophæve angrebet det ekstra irriterende. DDoS-angreb er ikke begrænset til en specifik servertype og host. De kan også forekomme, når du bruger fjernadgangsservices som VPS. Derfor anbefales det kraftigt, at du vælger en VPS-udbyder, der ikke kun har høje grundlæggende sikkerhedsniveauer med hensyn til DDoS-angreb, men kan ophæve angrebet med det samme, hvis det faktisk sker. Cloudzy tilbyder præmium DDoS-beskyttet VPS tjenester, der vil give dig ro i sindet vedrørende DDoS-bekymringer for altid. Cloudzy har også mere end 12 lokationer, skræddersyede pakker, fremragende forbindelse, en oppetid på 99,95% og endda en syv-dages pengene-tilbage-garanti.
VPS-hosting med høj ydeevne og lav pris
Nyd godt af vores overkommelige VPS-hosting til forskellige formål, herunder websted- eller spilhosting, handel, fjernskrivebord-server og app-udvikling og test.
Få en højeffektiv VPSOfte stillede spørgsmål
Kan et hjemmenetværk blive angrebet med DDoS?
Ja. Det er ikke kun muligt, men da hjemmenetværk bliver tildelt en bestemt mængde ressourcer fra en centralserver, er de særligt sårbare over for at gå ned under tyngden af et kapabelt DDoS-angreb.
Findes der routere med DDoS-beskyttelse?
Ja. Og det anbefales kraftigt, at du bruger dem. Da de kommer i softwareform, kan nogle af de ældre routere, der oprindeligt ikke havde anti-DDoS, tilføje dem med opdateringer. Derfor vigtigheden af at opdatere din router.
Hvordan registrerer jeg et DDoS-angreb på mit hjemmenetværk?
Der er flere tegn på, at et DDoS-angreb finder sted mod dig. Disse omfatter en alvorlig reduktion i netværkshastighed og timeout-fejl. Trafiktoppe, der følger et mønster, er også en klar indikator.
