Nätverksattacker

Nätverksattacker är försök att störa, skada eller få obehörig åtkomst till ett nätverk, dess enheter eller den information som överförs. Hotaktörer använder olika tekniker för att samla information, ta kontroll över system eller göra tjänster otillgängliga.

För att förstå hur man skyddar ett nätverk behöver man känna till hur attacker fungerar och vilka mål de har. De vanligaste typerna av nätverksattacker är:

  • Rekognoscerings attacker – kartläggning av nätverk och system.
  • Åtkomst attacker – försök att ta sig in eller stjäla information.
  • Tjänsteförnekelseattacker (DoS/DDoS) – överbelastning som gör nätverk otillgängliga.

Genom att förstå dessa nätverksattacker kan du som nätverksadministratör bygga ett mer robust och motståndskraftigt nätverk.

Vad är en rekognoscerings attack?

En rekognoscerings attack är en inledande informationsinsamling där hotaktörer försöker lära känna målet innan en mer riktad attack genomförs. Det är ofta det första steget bland flera andra i en nätverksattack — ju mer information angriparen får, desto lättare blir nästa steg.

Hotaktören använder lättillgängliga verktyg och öppna källor (OSINT) för att samla fakta, till exempel:

  • nslookup — visar vilka IP-adresser som är kopplade till ett domännamn.
  • whois — visar vem som registrerat en domän eller IP-block och ger kontakt-/registreringsuppgifter.
  • Google och företags webbplatser — kan ge information om nätverksstruktur, tjänster och publicerade dokument.

När hotaktören identifierat ett IP-intervall börjar ofta en kartläggning av vilka adresser som är aktiva. Detta görs med ping-förfrågningar — manuellt eller automatiserat med verktyg som fping eller gping — vilket snabbt visar vilka hostar som svarar.

Varför är rekognoscering farligt?

Informationen som samlas in (aktiva adresser, öppna portar, publicerade tjänster) gör det mycket enklare för en hotaktör att planera effektiva attacker — till exempel portskanning, exploatering av kända sårbarheter eller social engineering.

Några verktyg som kan användas för nätverksattacker:

Hotaktören söker initial information om ett mål. Olika verktyg kan användas för detta — exempelvis Google-sökningar, organisationers webbplatser, whois-uppslagningar och andra öppna källor — för att kartlägga infrastruktur och identifiera potentiella svagheter.

Nästa steg är att göra ett ping-sweeps, alltså att skicka pingar till en serie IP-adresser för att avgöra vilka hostar som svarar. De adresser som svarar är aktiva system som kan bli mål för nästa fas av attacken.

När aktiva IP-adresser hittats gör angriparen en portskanning. Det innebär att hen testar vilka portar (tjänster) som är öppna på varje dator.

Öppna portar avslöjar ofta vilken typ av tjänst som körs – till exempel webbserver, e-postserver eller fjärradministration – och det ger hotaktören värdefull information för nästa steg i attacken.

Åtkomstattacker

Åtkomstattacker utnyttjar kända svagheter i autentiserings tjänster, FTP- och webbtjänster för att ta sig in i webbkonton, konfidentiella databaser eller annan känslig information. Syftet är att ge obehöriga åtkomst till resurser de inte har rätt till.

Åtkomstattacker kan delas in i fyra huvudtyper: lösenordsattacker, utnyttjande av förtroenden, portomdirigering och man-in-the-middle (MitM).

Lösenordsattack

Hotaktörer använder flera tekniker för att knäcka eller stjäla lösenord:

  • Brute-force – automatiserade verktyg provar stora mängder lösenords kombinationer tills rätt hittas.
  • Trojaner – skadlig programvara som loggar tangenttryckningar eller fångar upp inloggningsuppgifter och skickar dem till angriparen.
  • Paketavlyssning – verktyg som fångar upp nätverkstrafik och extraherar användarnamn och lösenord om de skickas okrypterat.

Utnyttjande av förtroenden

I en förtroende-exploaterings attack utnyttjar hotaktören relationer eller förtroende-konfigurationer mellan system. Exempel:

System A litar på System B, och System B har bredare åtkomst rättigheter. Genom att kompromettera System B kan hotaktören nå System A via den etablerade tilliten.

Portomdirigering

Hotaktören använder ett komprometterat system som mellanhand för att komma åt andra mål.

Exempel:

Hotaktören ansluter via SSH (port 22) till komprometterad host A. Eftersom host A är betrodd av host B kan angriparen därefter använda A som språngbräda och ansluta till host B via Telnet (port 23) eller andra protokoll.

Man-in-the-Middle (MitM)

I en MitM-attack placerar hotaktören sig mellan två legitima parter för att avlyssna, manipulera eller injicera data i kommunikationen.

Exempel på ett MitM-flöde:

  1. Offret begär en webbsida — trafiken avleds till angriparens maskin.
  2. Angriparen hämtar den riktiga sidan från den legitima servern.
  3. Angriparen kan modifiera sidans innehåll eller stjäla data (t.ex. inloggningsuppgifter).
  4. Den manipulerade sidan skickas vidare till offret, som oftast inte märker något.

Tjänsteförnekelseattacker (Denial of Service – DoS)

Denial of Service (DoS) är en av de mest kända och omtalade typerna av cyberattacker – och samtidigt en av de svåraste att helt eliminera. De är ofta enkla att genomföra men kan orsaka mycket stora skador. Därför måste säkerhets administratörer ge dem särskild uppmärksamhet.

Vad är en DoS-attack?

En DoS-attack syftar till att förhindra legitima användare från att använda en tjänst genom att överbelasta systemet.
Attacken kan exempelvis förbruka bandbredd, CPU, minne eller andra resurser, vilket leder till att systemet inte längre kan svara på riktiga förfrågningar.

Det finns många varianter av DoS-attacker, men de har alltid samma mål: Att störa normal drift och förneka tillgång till tjänster.

Distribuerad DoS-attack (DDoS)

En DDoS-attack (Distributed Denial of Service) fungerar på samma princip som en vanlig DoS-attack, men den kommer från många samordnade källor. Detta gör attacken betydligt svårare att stoppa.

Skydd mot DoS-attacker

För att minska risken för och effekten av DoS-attacker bör man:

  • hålla operativsystem och program uppdaterade med de senaste säkerhetsfixarna
  • använda brandväggar och intrångsdetekteringssystem (IDS)
  • övervaka nätverkstrafik kontinuerligt för att snabbt upptäcka avvikande beteende

Exempel:

En DoS-attack kan stoppa nätverkskommunikation och orsaka stora förluster i både tid och pengar.
Det krävs inte ens avancerade kunskaper – även en oerfaren hotaktörer kan utföra en DoS-attack med hjälp av enkla verktyg som finns tillgängliga på internet.

En hotaktör infekterar ett stort antal datorer med skadlig kod – dessa datorer blir så kallade zombies.

De infekterade datorerna kopplas samman till ett botnät.

Angriparen styr botnätet via ett kommandocenter (CnC – Command and Control).

När kommandot ges, skickar tusentals eller miljontals datorer samtidiga förfrågningar mot målet, vilket överbelastar det tills tjänsten kraschar eller blir otillgänglig.