Den första DDoS-attacken var för 20 år sedan. Detta är vad vi har lärt oss sedan dess.

Ms. Tech; dator: Wikimedia commons





Den 22 juli, 1999, är ett olycksbådande datum i datorns historia. Den dagen blev en dator vid University of Minnesota plötsligt attackerad från ett nätverk av 114 andra datorer infekterade med ett skadligt skript som heter Trin00.

Denna kod fick de infekterade datorerna att skicka överflödiga datapaket till universitetet, vilket överväldigade dess dator och hindrade den från att hantera legitima förfrågningar. På så sätt slog attacken ut universitetsdatorn i två dagar.

Detta var världens första DDoS-attack (distributed denial of service). Men det tog inte lång tid för taktiken att sprida sig. Under månaderna som följde blev många andra webbplatser offer, inklusive Yahoo, Amazon och CNN. Var och en översvämmades med datapaket som hindrade dem från att acceptera legitim trafik. Och i varje fall kom de skadliga datapaketen från ett nätverk av infekterade datorer.



Sedan dess har DDoS-attacker blivit vanliga. Skadliga aktörer gör också en lukrativ handel med att pressa ut skyddspengar från webbplatser som de hotar att attackera. De säljer till och med sina tjänster på den mörka webben. En 24-timmars DDoS-attack mot ett enda mål kan kosta så lite som $400.

Men kostnaden för offret kan vara enorm i form av förlorad inkomst eller skadat rykte. Det har i sin tur skapat en marknad för cyberförsvar som skyddar mot den här typen av attacker. 2018 var denna marknad värd svindlande 2 miljarder euro. Allt detta väcker den viktiga frågan om mer kan göras för att försvara sig mot DDoS-attacker.

Idag, 20 år efter den första attacken, utforskar Eric Osterweil från George Mason University i Virginia och kollegor karaktären av DDoS-attacker, hur de har utvecklats och om det finns grundläggande problem med nätverksarkitektur som måste åtgärdas för att göra det säkrare. Svaren, säger de, är långt ifrån enkla: Landskapet med billiga, kompromissbara bots har bara blivit mer bördiga för busar och mer skadligt för Internetoperatörer.



Först lite bakgrund. DDoS-attacker utvecklas vanligtvis i etapper. I det första skedet infekterar en illvillig inkräktare en dator med programvara som är utformad för att spridas över ett nätverk. Denna första dator är känd som mastern, eftersom den kan kontrollera alla efterföljande datorer som blir infekterade. De andra infekterade datorerna utför själva attacken och är kända som demoner.

Vanliga offer i detta första skede är universitets- eller högskoledatanätverk, eftersom de är anslutna till en lång rad andra enheter.

En DDoS-attack börjar när huvuddatorn skickar ett kommando till demonerna som inkluderar adressen till målet. Demonerna börjar sedan skicka ett stort antal datapaket till denna adress. Målet är att överväldiga målet med trafik under hela attacken. De största attackerna idag skickar skadliga datapaket med en hastighet av terabit per sekund.



Angriparna går ofta långt för att dölja sin plats och identitet. Till exempel använder demonerna ofta en teknik som kallas IP-adresspoofing för att dölja sin adress på internet. Masterdatorer kan också vara svåra att spåra eftersom de bara behöver skicka ett enda kommando för att utlösa en attack. Och en angripare kan välja att använda demoner endast i länder som är svåra att komma åt, även om de själva kan vara belägna någon annanstans.

Att försvara sig mot den här typen av attacker är svårt eftersom det kräver samordnade åtgärder av en rad operatörer. Den första försvarslinjen är att förhindra skapandet av demonnätverket i första hand. Detta kräver att systemadministratörer regelbundet uppdaterar och korrigerar programvaran de använder och uppmuntrar till god hygien bland användarna av deras nätverk – till exempel regelbundet byta lösenord, använda personliga brandväggar och så vidare.

Internetleverantörer kan också ge visst försvar. Deras roll är att vidarebefordra datapaket från en del av ett nätverk till en annan, beroende på adressen i varje datapakets huvud. Detta görs ofta med liten eller ingen hänsyn till var datapaketet kom ifrån.



Men det kan ändras. Rubriken innehåller inte bara måladressen utan även källadressen. Så i teorin är det möjligt för en ISP att undersöka källadressen och blockera paket som innehåller uppenbart falska källor.

Detta är dock beräkningsmässigt dyrt och tidskrävande. Och eftersom ISP:erna inte nödvändigtvis är mål i en DDoS-attack, har de begränsade incitament att använda dyra begränsningsförfaranden.

Slutligen kan målet självt vidta åtgärder för att mildra effekterna av en attack. Ett uppenbart steg är att filtrera bort de dåliga datapaketen när de anländer. Det fungerar om de är lätta att upptäcka och om beräkningsresurserna finns på plats för att hantera mängden skadlig trafik.

Men dessa resurser är dyra och måste kontinuerligt uppdateras med de senaste hoten. De sitter oanvända för det mesta och träder i kraft först när en attack inträffar. Och även då klarar de kanske inte de största attackerna. Så denna typ av begränsning är sällsynt.

Ett annat alternativ är att lägga ut problemet på en molnbaserad tjänst som är bättre rustad att hantera sådana hot. Detta centraliserar problemen med DDoS-reducering i skuranläggningar, och många klarar det bra. Men även dessa kan ha problem med att hantera de största attackerna.

Allt detta väcker frågan om mer kan göras. Hur kan vår nätverksinfrastruktur förbättras för att hantera principerna som möjliggör DDoS-problemet? fråga Osterweil och co. Och de säger att 20-årsdagen av den första attacken borde erbjuda ett bra tillfälle att studera problemet mer i detalj. Vi tror att det som behövs är utredningar om vilka grunder som möjliggör och förvärrar DDoS, säger de.

En viktig observation om DDoS-attacker är att attacken och försvaret är asymmetriska. En DDoS-attack lanseras vanligtvis från många demoner över hela världen, och ändå sker försvaret till stor del på en enda plats - den nod som är under attack.

En viktig fråga är om nätverk skulle kunna eller bör modifieras för att inkludera ett slags distribuerat försvar mot dessa attacker. En väg framåt kan till exempel vara att göra det lättare för internetleverantörer att filtrera bort falska datapaket.

En annan idé är att göra datapaket spårbara när de reser över internet. Varje internetleverantör kan markera ett urval av datapaket – kanske ett av 20 000 – när de dirigeras så att deras resa senare kan rekonstrueras. Det skulle göra det möjligt för offret och brottsbekämpande myndigheter att spåra källan till en attack, även efter att den har avslutats.

Dessa och andra idéer har potential att göra internet till en säkrare plats. Men de kräver enighet och vilja att agera. Osterweil och co tycker att tiden är mogen för handling: Detta är en uppmaning till handling: forskarsamhället är vårt bästa hopp och bäst kvalificerade att ta upp denna uppmaning.

Ref: arxiv.org/abs/1904.02739 : 20 Years of DDoS: A Call to Action

Dölj