Trojaner används ofta för att starta Distributed Denial of Service (DDoS) attacker mot riktade system, men precis vad är DDoS-attacken och hur utförs de?
På den mest grundläggande nivån överväger en DDoS-attack (Distributed Denial of Service) målsystemet med data, så att svaret från målsystemet antingen saktas eller stoppas helt och hållet. För att skapa den nödvändiga trafiken behövs oftast ett nätverk av zombie- eller botdatorer.
DDoS, Zombies, och Botnets
Zombies eller botnets är datorer som har äventyras av angripare, i allmänhet genom att använda trojaner, så att dessa kompromissystem kan fjärrstyras. Sammantaget manipuleras dessa system för att skapa det höga trafikflödet som krävs för att skapa en DDoS-attack.
Användningen av dessa botneter auktioneras ofta och handlas bland angripare, så ett kompromissat system kan vara kontrollerat av flera brottslingar - var och en med olika syften i åtanke. Vissa attacker kan använda botnet som ett spamrelä, andra att fungera som en nedladdningswebbplats för skadlig kod, vissa som värd för phishing-bedrägerier och andra för de ovan nämnda DDoS-attackerna.
Hur en DDoS Attack inträffar
Flera tekniker kan användas för att underlätta en Distributed Denial of Service-attack. Två av de vanligaste är HTTP GET-förfrågningar och SYN-översvämningar. Ett av de mest notoriska exemplen på ett HTTP GET-angrepp var från MyDoom-ormen, som riktade sig till SCO.com-webbplatsen. GET-attacket fungerar som namnet antyder - det skickar en begäran om en specifik sida (vanligtvis hemsidan) till målservern. När det gäller MyDoom-ormen skickades 64 förfrågningar varje sekund från varje infekterat system. Med tiotusentals datorer som beräknats vara smittade av MyDoom, visade sig attacken snabbt överväldigande till SCO.com och knackade den offline för flera dagar.
En SYN Flood är i grund och botten ett avbrutet handslag. Internetkommunikation använder en trevägs handskakning. Den initierande klienten initierar med en SYN, servern svarar med en SYN-ACK, och klienten antas sedan svara med en ACK. Med hjälp av spoofed IP-adresser skickar en angripare SYN som resulterar i att SYN-ACK skickas till en icke-begärande (och ofta inte existerande) adress. Servern väntar sedan på ACK-svaret utan nytta. När stora antal av dessa avbrutna SYN-paket skickas till ett mål är serverns resurser uttömda och servern sänker sig till SYN Flood DDoS.
Flera andra typer av DDoS-attacker kan också lanseras, inklusive UDP Fragment Attacks, ICMP Floods och Death of Ping.
