Center for Cybersikkerhed gør opmærksom på, at database-forespørgsler på websteder bliver brugt til at udføre DDoS-angreb mod websteder. Det er blandt andet sket i forbindelse med en række DDoS-angreb mod offentlige myndigheder i Europa, herunder Danmark.

Angrebene er karakteriseret ved, at der fra flere IP-adresser bliver sendt et større antal forespørgsler direkte til webapplikationen, som igen sender en forespørgsel til databasen. Det kan eksempelvis være søgefunktionen på webstedet, sideskift ved listevisninger eller andet dynamisk genereret indhold.

Metoden betyder, at den underliggende database kan blive belastet af et større antal søgninger. Det kan føre til, at databasen ikke kan håndtere mængden af forespørgsler. Alt efter opbygningen af det pågældende CMS (Content Management System) kan det betyde, at det heller ikke er muligt at generere indholdssiderne på webstedet, hvis siderne genereres dynamisk ved at hente indhold fra databasen.

Brugerne vil derfor opleve fejl og svartidsproblemer (time out), hvis de forsøger at besøge hjemmesiden.

Se også Temaartikel: DDoS-angreb mod hjemmesider

Forslag til at imødegå DDoS-angreb med database-forespørgsler

Beredskab

Grundlæggende er det vigtigt at have et beredskab for at håndtere DDoS-angreb. Udover at have en plan for, hvordan hændelsen håndteres, kan det i forbindelse med DDoS-angreb mod hjemmesider være vigtigt at planlægge alternative kommunikationskanaler.

Det kan også være en fordel på forhånd at planlægge, hvornår og hvordan der eventuelt skal etableres en alternativ webserver-løsning.

Monitorering

Monitorering er vigtigt for at identificere angrebsforsøg. Her er det væsentligt, at et angreb mod webapplikationen ikke nødvendigvis vil ligne et DDoS-angreb rettet mod internetforbindelsen til webserveren. Det kan beskrives som forskellen mellem at monitorere for angrebsforsøg mod henholdsvis Layer 7 og Layer 3 og 4 på netværket.

I denne type angreb mod applikationen, er det databasen, som bliver overbelastet. Det kan være vanskeligt umiddelbart at afgøre, hvorvidt en alarm fra databasen om for mange forespørgsler skyldes en intern fejl eller et eksternt forsøg på et DDoS-angreb. Det kan derfor være nødvendigt at koble en undersøgelse af en databasealarm med en monitorering om et usædvanligt antal forespørgsler. Hvis normalbilledet er et websted med mange besøg, kan det være nødvendigt specifikt at monitorere efter ændringer i antallet af bestemte typer databaseforespørgsler som eksempelvis søgninger.

Caching

Websteder med fortrinsvis statiske indholdssider kan med fordel gøre brug af caching. Det vil sige, at hvis en indholdsside ikke er ændret, siden den sidst blev efterspurgt, får brugeren en kopi af den HTML-side, der allerede er genereret. Caching kan derved aflaste databasen.

I tilfælde af et DDoS-angreb rettet mod søgefunktionen kan caching betyde, at brugere, der blot navigerer blandt de statiske sider, fortsat kan få præsenteret indholdet på hjemmesiden. Det vil kun være dynamisk indhold, der kræver svar fra databasen, som ikke kan vises. Det vil eksempelvis være søgninger.

Det er også muligt at cache søgeresultater, så allerede kendte søgninger ikke fører til en ny forespørgsel til databasen, men blot præsentation af en allerede genereret side med resultater.

Throttling

Det er i visse tilfælde muligt at skåne databasen ved at indsætte eksempelvis en Web Application Firewall (WAF) med et regelsæt for throttling. Det vil sige, at WAF'en begrænser antallet af forespørgsler, der sendes videre til CMS'et. Det vil typisk være en tærskel inden for et bestemt tidsrum.

Brugerne vil under et DDoS-angreb derved kunne opleve sporadiske eller vedvarende problemer med søgning eller andre funktioner på webstedet, men det bagvedliggende system bliver skånet. Derved vil webplatformen være oppe under angrebet og fungere normalt, når angrebet stopper. I kombination med caching og andre DDoS-modforanstaltninger kan det give brugerne en næsten normal brugeroplevelse på nær de perioder, hvor angrebet er på sit højeste.

Slå søgefunktionen fra

I forbindelse med et igangværende DDoS-angreb rettet mod søgefunktionen kan man som en midlertidig foranstaltning blokere for søgninger og eventuelt fjerne funktionen fra brugergrænsefladen. Det samme kan gøres for andre dynamiske funktioner, hvis man identificerer, at de bliver misbrugt til at udføre DDoS-angrebet.

Yderligere information

Se Center for Cybersikkerheds vejledning om generel beskyttelse mod DDoS-angreb: Beskyt mod DDoS-angreb.