Temaartikel: DDoS-angreb mod hjemmesider

Overbelastningsangreb mod hjemmesider er ét af de redskaber, aktivistiske hackergrupper oftest benytter, fordi det har en synlig og forstyrrende effekt. Der sker dog sjældent varig skade, og selv hvis angrebet er en succes for aktivisterne, rykker de som regel videre til nye mål efter en dag eller to.

Fænomenet har eksisteret længe, men metoderne har udviklet sig. Det gør det også vanskeligere at dæmme op for alle typer overbelastningsangreb. I denne artikel gennemgås de forskellige former for overbelastningsangreb mod webservere og metoder til at imødegå dem og begrænse effekten.

Artiklen er et supplement til de overordnede anbefalinger til beskyttelse mod overbelastningsangreb i Center for Cybersikkerheds vejledning: Beskyt mod DDoS-angreb.

For et overblik over den aktuelle udvikling inden for cybertruslen fra cyberaktivisme, se Center for Cybersikkerheds trusselsvurdering: CFCS hæver trusselsniveauet for cyberaktivisme mod Danmark.

DDoS-angreb

Overbelastningsangreb er også kendt som DDoS-angreb (Distributed Denial-of-Service). Helt overordnet kan man tale om tre typer DDoS-angreb: Volumen-angreb, protokol-angreb og applikations-angreb. Dem kan man læse om i vejledningen "Beskyt mod DDoS-angreb". I forhold til DDoS-angreb mod hjemmesider, så anvendes der relativt få protokoller, nemlig TCP og til tider UDP på netværkslaget og HTTP/HTTPS på applikationslaget. Denne artikel ser derfor nærmere på forskellige typer volumen- og applikations-angreb.

Målet med et DDoS-angreb er at overvælde en tjeneste, så legitime brugere ikke kan tilgå den. Denne effekt kan ske utilsigtet, som det eksempelvis kendes fra, når mange brugere på samme tid vil læse en nyhed, købe billet til en koncert eller tjekke deres årsopgørelse.

Det, der sker ved et DDoS-angreb mod en webserver, er, at den ikke kan håndtere de mange samtidige brugere. En moderne webserver vil ofte kunne skalere, hvis antallet af legitime brugere stiger. Men hvis belastningen kommer fra et DDoS-angreb, vil det være specifikt rettet mod at opbruge serverens ressourcer i langt højere grad, end hvis trafikken kom fra almindelige brugere.

Overordnet er der tre strategier, der kan bruges til at udføre et DDoS-angreb:

• Sårbarheder.
• Volumen.
• Asymmetri.

Sårbarheder ses sjældnere i dag. Historisk har der været sårbarheder i internetvendte tjenester, software eller protokoller, som er blevet udnyttet til at lægge både enkelte systemer ned, men også forstyrre store dele af internettet. I visse tilfælde har DDoS-effekten været utilsigtet som for eksempel Morris Worm (1988), eller en bivirkning af at have ramt et meget stort antal servere som eksempelvis internetormene Code Red (2001) eller SQL Slammer (2003).

Volumen er et element i de fleste DDoS-angreb. Det første 'D' for 'Distributed' afspejler, at serveren overbelastes ved et mange-til-én-angreb. Det vil sige, at trafik fra mange computere på samme tid sender forespørgsler til den server, man vil ramme med angrebet. Det er det samme, der sker, når effekten sker utilsigtet ved at mange brugere forsøger at gå ind på en hjemmeside på samme tid.

Volumen kan opnås på flere måder. Det kan være et netværk af kompromitterede enheder (et botnet), som er inficeret med malware. Det kan også være internetopkoblede enheder, der kan snydes til at sende forespørgsler til den server, man vil angribe. Eller det kan være et socialt netværk af personer, som har hentet et program til manuelt at deltage i DDoS-angreb.

Asymmetri kan både afspejle, at serveren, der udsættes for angrebet, skal arbejde mere pr. forespørgsel end afsenderen, eller at afsenderen har langt større kapacitet end den angrebne server.

I såkaldte DNS amplification-angreb kan man eksempelvis sende en kort forespørgsel til en DNS-server. Man kan forfalske den IP-adresse, man sender forespørgslen fra, så DNS-serveren vil forsøge at sende svaret til den IP-adresse, man vil ramme. Svaret fra DNS-serveren er mange gange større end den forespørgsel, man sender til DNS-serveren. Derfor kan man sende et stort antal forespørgsler til forskellige DNS-servere, som så vil sende deres svar til webserveren på samme tid.

Asymmetri kan også ske ved at sende en HTTP GET-forespørgsel til webserveren, som ikke kan besvares med indhold fra serverens cache, men skal genereres dynamisk og eventuelt med en forespørgsel til den underliggende database. Det kan eksempelvis være søgninger på tilfældige tekststrenge via søgefunktionen på hjemmesiden.

Netværket eller webapplikationen?

Center for Cybersikkerhed (CFCS) har set, at de cyberaktivistiske grupper bruger forskellige metoder til overbelastningsangreb på samme tid. Dels vil de angribe netværkslaget, og dels går de efter webapplikationen. CFCS har også set, at grupperne varierer angrebet både med eksempelvis varierende tilfældig tekst sendt til webstedets søgefunktion, og samtidig justerer de deres angreb som reaktion på de modforanstaltninger, der bliver sat op.

DDoS-angreb mod netværkslaget er den mest almindelige type DDoS-angreb ifølge opgørelser fra de firmaer, der yder beskyttelse mod DDoS-angreb. Det er også relativt simpelt, fordi man blot skal bruge den IP-adresse, man ønsker at angribe. Ved et angreb mod webapplikationen er det for visse typer angreb nødvendigt at finde nogle specifikke funktioner, som man kan rette angrebet mod.

Et vellykket angreb mod webapplikationen kan imidlertid være meget effektivt, fordi det er svært at skelne mellem det ondsindede angreb og legitim trafik. Samtidig er netværkskomponenterne generelt bedre rustet til at håndtere en høj belastning end en webapplikation, der skal levere ikke-cachet indhold.

CFCS har set cyberaktivistiske grupper kombinere angreb mod netværkslaget og angreb mod webapplikationen. For eksempel kan angrebet indledes med et angreb mod netværkslaget som eksempelvis en TCP SYN flood, som følges op med et angreb mod webapplikationen som for eksempel en HTTP GET flood. For angreb fra disse grupper bør man derfor være forberedt på, at der vil blive vekslet mellem fremgangsmåderne.

I det følgende ser vi nærmere på forskellige typer DDoS-angreb, og hvad man kan gøre for at begrænse deres effekt. Det kan være vigtigt at være opmærksom på, at der findes forskellige metoder til DDoS-angreb, fordi visse angreb eksempelvis ikke overbelaster netværksudstyret eller internetforbindelsen, men i stedet løber webservere tør for ressourcer. Samtidig er det ikke sikkert, at der er noget mistænkeligt at se i webserverens logfiler. Derfor kan visse DDoS-angreb i første omgang blive forvekslet med et internt serverproblem.

DDoS-angreb mod webapplikationen

Der er flere dele af webserveren, som potentielt kan overbelastes. En webserver består af flere komponenter, heriblandt en HTTP server og typisk både en database og en applikation, der kan bygge på platforme som for eksempel PHP eller ASP.Net. Derudover består webserveren også af et styresystem og i mange tilfælde et virtualiseringsmiljø.

Målet med et overbelastningsangreb er at udtømme serverens ressourcer. For en webserver kan det være hukommelsen, storage I/O, processoren eller netværks I/O. Det konkrete angreb har størst effekt, hvis det rammer en komponent, hvor relativt få forespørgsler kan optage mange ressourcer.

Angreb mod applikationslaget er set, hvor trafikken er meget vanskelig at skelne fra legitim trafik. Det er ikke altid, at afsender-IP bliver forfalsket (spoofet), og der kan ske et helt normalt TCP handshake og en legitim forespørgsel.


Slow attacks
En type overbelastningsangreb er kategorien "slow attacks". Formålet er at udnytte, at kommunikationen med en webserver kan holdes åben, mens en forespørgsel fuldføres. Ved at lade hver forespørgsel tage meget lang tid er det muligt at opbruge det maksimale antal åbne forbindelser, webserveren kan håndtere.

Et slow attack kan eksempelvis ske ved at opdele en HTTP request i flere dele. Man kan både bruge HTTP GET og POST. I begge tilfælde læses eller sendes data så langsomt, at forbindelsen lige akkurat ikke når at udløbe (timeout), men tager meget lang tid at gennemføre. Det kan være ned til en enkelt byte i løbet af et minut.

På den måde kan få enheder åbne et stort antal forbindelser til webserveren. Det kræver forholdsvis lidt båndbredde, men man vil kunne se, at webserveren løber tør for tilgængelige forbindelser. Det er imidlertid ikke sikkert, at man kan se denne type angreb i webserverens logfiler, hvis webserveren først skriver til logfilen, når en request er fuldendt.

For at beskytte mod denne type angreb skal man være i stand til at analysere og filtrere forespørgslerne til webserveren. Det kan for eksempel være en funktion i selve webserveren, en firewall, en load balancer, en web application firewall eller en dedikeret sikkerhedsenhed.

Det kan være nødvendigt at kende normalbilledet, altså hvordan trafikken til webserveren normalt ser ud. Eksempelvis kan man, hvis man har mistanke om et slow attack, sætte udløbstiden på en forbindelse baseret på en statistisk værdi ud fra den tid, legitime brugere normalt har brug for. Tilsvarende kan man fastsætte en grænse for, hvor langsom en forbindelse må være. Forbindelser, der ikke svarer til det normale, kan afbrydes og afvises.

Man kan også begrænse antallet af samtidige forbindelser fra én enkelt IP-adresse. Det bør igen være baseret på normalbilledet. Man bør være opmærksom på, at der kan være legitime grunde til, at mange brugere fra eksempelvis en virksomheds netværk, optræder med den samme IP-adresse udadtil.
 

Flood attacks
Hver gang en bruger klikker på et link i sin browser, bliver der sendt en HTTP-forespørgsel til en webserver. Forespørgslen beder om information fra webserveren, typisk en bestemt side på hjemmesiden. Webserveren vil forsøge at hente eller generere informationen og returnere den til brugeren. Hver gang webserveren skal håndtere en forespørgsel, skal der bruges hukommelse, processorkraft og input/output (I/O), hvis data skal hentes fra en disk.

Et "flood attack" er et forsøg på at overbelaste webserveren med flere forespørgsler, end den kan opfylde på samme tid. Det kan eksempelvis ske ved at anvende et botnet bestående af kompromitterede enheder, som på samme tid instrueres til at forsøge at hente sider på en hjemmeside.

Flood attacks kan bruge både HTTP GET og POST forespørgsler (requests), når det rammer webapplikationen. Begge dele udnytter helt normal funktionalitet på webserveren og ligner den normale trafik. Det, der kan skille sig ud i forhold til normalbilledet, er ofte, at der vil være et stort antal næsten enslydende forespørgsler fra de samme IP-adresser inden for et kort tidsrum.

Selvom der er et meget højt antal forespørgsler til webserveren, er det ikke nødvendigvis lig med et højt forbrug af båndbredde. Sikkerhedsenheder, der holder øje med forsøg på overbelastningsangreb mod netværkslaget (TCP og UDP), vil derfor ikke nødvendigvis opdage, at webserveren bliver kritisk belastet. I stedet vil problemerne først vise sig ved, at webserveren løber tør for ressourcer eller ikke kan besvare legitime forespørgsler.

HTTP GET er den mest simple af de to. Den er mest effektiv, hvis den rettes mod sider med dynamisk indhold. Det vil sige sider, hvor dele af informationen eksempelvis skal trækkes fra en database eller genereres eller behandles af et program eller script på webserveren. Statiske sider uden dynamisk indhold kan lagres i webserverens cache. Cachen kan typisk håndtere et meget højt antal forespørgsler, fordi der er tale en statisk datablok eller fil, der skal findes og leveres.

Et angreb mod dynamiske sider forudsætter en vis analyse af hjemmesiden. Det kan være manuelt eller ved en automatisk søgning efter potentielt sårbare sider. For en aktør gælder det om at finde sider, der ikke kan leveres fra webserverens cache.

Tilsvarende udnytter et angreb ved hjælp af HTTP POST sider, hvor der bliver sendt information med forespørgslen. Det kan være en kontaktformular eller et søgefelt. Her tvinges webserveren til at behandle søgningen og returnere et svar. Det forudsætter derfor, at aktøren har fundet de sider, hvor der kan sendes en POST-forespørgsel til webserveren.

En række af de værktøjer, der bliver brugt til disse typer DDoS-angreb, indeholder en funktion til at sende tilfældige data med forespørgslen. Det skal gøre det vanskeligere at filtrere forespørgslerne eller levere eksempelvis en cachet version af søgeresultater. Hvis søgningen er på en unik, tilfældig tekststreng, vil den almindeligvis ikke være cachet.

Det kan stadig være muligt at filtrere ud fra mønstre i de forespørgsler, der bliver brugt. Det kræver dog en vis manuel konfiguration af filtrene, og det kan være nødvendigt at justere filtrerene løbende under angrebet for at kompensere for, at aktøren også tilpasser sine angrebsmetoder. I mange angreb vil der desuden være mønstre i headeren på forespørgslen, som man kan bygge filtre ud fra. Det kan eksempelvis være den User-Agent, der bliver brugt.

Denne type overbelastningsangreb kan både laves ved hjælp af et botnet, men også ved hjælp af klienter, som et større antal enkeltpersoner frivilligt har installeret for at deltage i angrebet. Selvom deltagerne i angrebet kan anvende VPN-tjenester, eller IP-adressen kan forfalskes (spoofes), så kan angrebene i visse tilfælde begrænses ved at anvende en blokering baseret på IP reputation.

Det vil sige, at man forsøger at identificere IP-adresser, hvorfra der ikke kommer legitim trafik, men kun ondsindet. Man kan så tildele en IP-adresse en værdi ud fra, hvorvidt man kun har set mistænkelig trafik eller trafik på tidspunkter, hvor webserveren har været under angreb. Flere løsninger til DDoS-beskyttelse indeholder denne type reputation-baserede filter.

En generel strategi til at imødegå flood attacks er "rate limiting". Det vil sige, at man beskytter webserveren ved at begrænse antallet af forbindelser og forespørgsler fra hver klient, som identificeres ud fra for eksempel IP-adressen. En anden taktik kan være et "challenge response" og for eksempel kræve, at klienten skal løse en CAPTCHA eller lave en JavaScript-beregning.

DDoS-angreb mod netværkslaget

DDoS-angreb mod netværkslaget er forsøg på at overvælde kapaciteten i netværket. Det kan være selve forbindelsen til internetudbyderen eller kapaciteten på en router, som ikke kan håndtere den trafikmængde, der bliver sendt.

Det kan i visse tilfælde også være tilstrækkeligt at generere nok trafik til, at internet-, hosting- eller cloududbyderen lukker ned for hjemmesiden for at forhindre, at angrebet påvirker tilgængeligheden for andre kunder.

Angreb mod netværkslaget sker for webservere typisk via TCP. Mange webservere har ikke behov for at modtage ekstern trafik via UDP. Derfor kan man ofte blokere for UDP-trafik. Hvis man har indhold, der skal streames, som eksempelvis video eller lyd, eller har behov for at kunne foretage eller besvare DNS-opslag, kan UDP være nødvendig. Men for mange hjemmesider kan man eventuelt droppe UDP-trafik hos internetudbyderen, mens et forsøg på DDoS står på.

Til gengæld kan dele af den infrastruktur, som websitet er afhængigt af, være sårbar over for UDP-baserede angreb. Eksempelvis forsøger DNS flood attacks at overvælde de DNS-servere, som websitets domæne er tilknyttet. Det er en type angreb, der forudsætter et kraftigt botnet, da angrebet er symmetrisk, og mange DNS-servere kan håndtere store mængder trafik. Til gengæld kan det besværliggøre, at man flytter websitet til en kraftigere infrastruktur i forbindelse med et DDoS-angreb, fordi man ikke kan annoncere de nye IP-adresser, hvis DNS-serverne er utilgængelige.
 

TCP flood og slow attacks
Den mest simple type flood attack er SYN flood. Det udføres ved at sende SYN forespørgsler til webserveren, som svarer med SYN-ACK, men ikke modtager det sidste ACK fra klienten for at afslutte TCP handshaket. Formålet er at opbruge webserverens ressourcer ved at åbne nye forbindelser hurtigere end webserveren lukker dem igen.

En almindelig modforanstaltning er at nedsætte levetiden for ufuldendte forbindelser eller begynde at genbruge kapaciteten ved at droppe de ældste halvåbne forbindelser, inden serveren løber tør for kapacitet.

SYN er ikke den eneste del af et TCP handshake, som kan misbruges. En anden type flood attack er PSH og ACK floods. I alle varianter af denne type, modtager webserveren ACK eller PSH pakker, uden der er etableret en forbindelse. Mange firewalls giver mulighed for at forsøge at filtrere disse angreb fra.

Flood attacks vil ofte være meget synlige for netværksadministratorer. Det kan være vanskeligere at identificere slow attacks mod netværkslaget. Målet i denne type angreb er at udtrætte webserveren ved at etablere legitime forbindelser, men svare så langsomt, at serverens kapacitet for nye forbindelser bliver opbrugt.

Slow attacks viser sig typisk ved, at gennemsnitstiden for transaktioner på serveren vokser. Et veletableret billede af, hvordan trafikken normalt ser ud, gør det lettere at identificere problemet. Ellers risikerer man at forveksle et igangværende DDoS-angreb med andre mulige problemer med performance på webserveren.

Slow attacks kan udføres med relativt få ressourcer, men kan til gengæld imødegås, hvis man identificerer det som et slow attack, ved for eksempal at øge det maksimale antal forbindelser, serveren tillader. Da de forbindelser, der etableres som del af angrebet, kun opbruger ledige forbindelser, men ellers kun belaster serveren i begrænset omfang, kan man tillade flere åbne forbindelser end normalt.

Amplification og reflection
Det er muligt at forfalske eller spoofe den IP-adresse, man sender en forespørgsel fra. Det vil sige, at en aktør kan angive sin afsender-IP-adresse som IP-adressen på målet for DDoS-angrebet og sende en forespørgsel til et stort antal enheder på internettet. De vil forsøge at sende deres svar retur til den spoofede adresse, altså til målet for angrebet, som derved modtager en stor mængde uventet trafik. Denne brug af spoofing kaldes reflection.

Reflection kan gøres mere effektiv ved hjælp af amplification. Det vil sige, at den indsats aktøren skal lægge i angrebet, forstærkes mange gange af de enheder, der bruges til at reflektere angrebet. Den enkleste måde er antallet af enheder. En internetopkoblet enhed behøver ikke være kompromitteret for at blive brugt til et reflection attack. Dermed kan en aktøren involvere et meget stort antal enheder i angrebet.

Den, der bliver ramt af sådan et angreb, kan ikke selv forhindre disse enheder i at reflektere forespørgslerne. Det er i stedet op til internetudbydere tæt på kilden til angrebet at detektere og blokere spoofede pakker.

Reflection og amplification er vanskelig at beskytte mod. Den mest effektive metode er, at internetudbyderen stopper pakker, der bliver sendt med en spoofet afsender-IP-adresse. Der er imidlertid en række scenarier, hvor dette ikke er muligt, og der er derfor mange muligheder for en aktør for at sende forfalskede pakker.

Der findes desuden sikkerhedsløsninger, som inspicerer pakkerne (deep packet inspection) og filtrerer forfalskede forespørgsler fra.

Endelig er det væsentligt, at man begrænser muligheden for, at den infrastruktur, man selv har, ikke bliver misbrugt til at udføre DDoS-angreb. Eksempelvis ved at begrænse adgangen til Internet of Things-enheder såsom overvågningskameraer og forbrugerelektronik.

Modforanstaltninger

For DDoS-angreb rettet mod en webserver er den rette netværksarkitektur en forudsætning for at modvirke angreb. En webserver bør sidde bag en firewall og gerne en load balancer eller cache-server, som kan kombineres med en web application firewall (WAF). Det er samtidig væsentligt er at holde webserveren adskilt fra øvrige tjenester, så DDoS-angrebet kun påvirker tilgængeligheden af hjemmesiden.

Ved at isolere webserveren kan man også blokere for alt andet end HTTP/HTTPS (TCP port 80/443). Dermed eliminerer man blandt andet de DDoS-angreb, som benytter UDP eller andre netværksporte.

Der findes en række moduler og værktøjer til forskellige webservere, som blandt andet kan identificere og blokere for de IP-adresser, der forsøger at etablere usædvanligt mange forbindelser eller sender mange forespørgsler inden for meget kort tid.

Center for Cybersikkerhed har udgivet en vejledning: Beskyt mod DDoS-angreb. Den beskriver de grundlæggende forudsætninger for at imødegå DDoS-angreb.

Som nævnt i denne artikel kan der derudover være forskellige modtræk, der kan imødegå bestemte typer angreb. En væsentlig forudsætning er, at man kan identificere ikke blot, at et DDoS-angreb er i gang, men også hvordan det bliver udført. Særligt for angreb mod applikationslaget kan det være vanskeligt at identificere, at der er tale om et DDoS-angreb, hvis man ikke har etableret monitorering, som kan sætte den aktuelle trafik op mod et normalbillede.

Overordnet er der tre strategier til at håndtere DDoS-angreb. Den første er blot at holde ud og vente, indtil angrebet stopper. De fleste angreb varer ikke mere end halvandet til to døgn. Man skal dog være opmærksom på, at et DDoS-angreb er meget synligt for legitime brugere.

En anden strategi er at forberede sin infrastruktur på at håndtere forskellige DDoS-angreb. Den rette it-arkitektur, sikkerhedsløsninger, beredskabsplaner og monitorering kan gøre en organisation i stand til at håndtere mange DDoS-angreb. Det er imidlertid en strategi, der kræver ressourcer, og det kan være vanskeligt at afprøve modforanstaltningerne på realistisk vis.

Den tredje strategi er at alliere sig med udbydere af tjenester til at imødegå DDoS-angreb. Der findes dedikerede tjenester, som kan håndtere de største DDoS-angreb. Det bedste er at indgå aftaler på forhånd, hvis man ønsker at minimere effekten af et eventuelt angreb.

Læs mere om at forberede sig på at håndtere DDoS-angreb i vejledningen: Beskyt mod DDoS-angreb 

Uanset om man selv håndterer et angreb eller har uddelegeret opgaven til en specialiseret leverandør, så skal man særligt for visse cyberaktivistiske grupper være opmærksom på, at de ofte opererer manuelt til en vis grad. Det vil sige, at de tilpasser deres angreb og justerer løbende. Man skal derfor være forberedt på at tilpasse sine modforanstaltninger tilsvarende.


Negative effekter af DDoS-beskyttelse
DDoS-angreb mod hjemmesider udnytter, at hjemmesider er offentligt tilgængelige. Det giver en udfordring for dem, der skal forsvare mod DDoS-angreb, fordi angrebet ofte blot gør det samme som de legitime brugere skal kunne gøre, men forstærket mange gange. For de typer DDoS-angreb, hvor det er svært at skelne mellem angrebet og legitim trafik, er det ikke sikkert, at man kan blokere for angrebet uden også at blokere for de legitime brugere.

På den måde kan man risikere selv at opnå samme resultat som angrebet set fra brugernes perspektiv. Derfor er væsentligt at være opmærksom på, at visse modforanstaltninger bør være midlertidige. Det gælder især for de foranstaltninger, der enten begrænser webstedets funktionalitet eller udelukker visse brugere fra at tilgå webstedet.

Når man vurderer, hvilke modforanstaltninger man skal tage i brug, bør man derfor fastsætte, hvor længe de bør benyttes. Det skal holdes op mod, hvor længe man forventer, at det egentlige DDoS-angreb vil stå på. I de fleste tilfælde, hvor cyberaktivistiske grupper har udført DDoS-angreb, har angrebet stået på i mindre end 36 timer. Det gælder især den type angreb, hvor aktivisterne er nødt til at tilpasse deres fremgangsmåde i forhold til de tiltag, der bliver sat i værk for at forsvare mod angrebet.

Mange firewalls giver mulighed for at blokere for større blokke af IP-adresser. Det kan være baseret på adresser, der bliver brugt i det konkrete angreb, men det kan også være lister baseret på tidligere aktivitet eller den internetudbyder, adressen er tildelt.

For lister baseret på tidligere aktivitet bør man være opmærksom på, at IP-adresser (IPv4) ofte tildeles dynamisk. Derfor kan en adresse selv inden for kort tid være blevet tildelt en ny enhed. Der er derfor en risiko for, at man blokerer for legitime brugere, som blot er blevet tildelt en adresse, som tidligere er blevet set i et DDoS-angreb.

Tilsvarende er det vanskeligt at blokere ud fra den internetudbyder, der administrerer IP-adressen. Dette kaldes også geoblokering. Blokering af alle IP-adresser, der tilhører internetudbydere i et bestemt land betyder, at man også blokerer for alle legitime brugere, der opholder sig i det pågældende land. I et DDoS-angreb kan man eksempelvis se trafik fra mere end 20 forskellige lande, og det er ofte lande, hvor man også får legitim trafik fra. Aktøren bag DDoS-angrebet kan benytte et botnet eller VPN og på den måde skabe trafik fra et tredjeland, som man reelt ikke ønsker at blokere for.

Hvis man anvender blokering mod større blokke af IP-adresser, kan det være fornuftigt at kommunikere om det på en alternativ kanal, så legitime brugere får at vide, hvorfor de eventuelt ikke kan tilgå hjemmesiden.