Lektion 22 — Vad är DDoS? | Säkerkoll Akademi

DDoS skiljer sig från andra attacker på en viktig sak: angriparen försöker inte stjäla data eller ta över sajten. Hen försöker bara stänga av den. Det är en barriär framför dörren, inte ett inbrott. Skadan är ekonomisk — varje minut sajten är nere förlorar företaget pengar och förtroende.

01Vad DDoS egentligen är

En webbserver kan hantera ett visst antal besökare samtidigt — säg 10 000. Skickas det in 1 miljon förfrågningar per sekund kommer servern att stanna eller krascha. Riktiga användare kan inte komma fram för att servern är upptagen med skräp-trafik.

Det är inte hemligt att DDoS händer — det syns som att sajten blir långsam, timeout, eller helt enkelt går ner. Skillnaden mot "vanliga" tekniska problem är att DDoS är medvetet och rikat mot ett mål.

"Distributed" i namnet är nyckelordet. Trafiken kommer inte från en dator (DoS) — den kommer från tusentals olika IP-adresser samtidigt. Det är därför det är svårt att blockera: du kan inte bara "stänga av den IP:n".

02Var trafiken kommer ifrån — botnets

En enskild angripare har inte 100 000 datorer. De använder ett botnet: ett nätverk av hackade prylar runt om i världen som angriparen styr på distans.

2026 är det mesta i botnets inte traditionella datorer — det är IoT-prylar:

Hem-routrar med default-lösenordet "admin/admin" kvar
WiFi-kameror från billiga märken
Smarta TV-apparater som aldrig uppdateras
"Smart" termostater, dörrklockor, lampor
Industriella sensorer som glömts bort

De här prylarna är online 24/7, har en internetuppkoppling, och är dåligt säkrade. Perfekt för en angripare.

┌──── ANGRIPARE ─────┐ │ (Command Server) │ └──────────┬──────────┘ │ ┌─────────────┼─────────────┐ │ │ │ ┌────▼───┐ ┌────▼───┐ ┌────▼───┐ │ Router │ │ Kamera │ │ TV │ ... × 100 000 │ (hack)│ │ (hack)│ │ (hack)│ └────┬───┘ └────┬───┘ └────┬───┘ │ │ │ └─────────────┼─────────────┘ ▼ ┌───────────────┐ │ MÅL-SAJT │ ← 5 miljoner requests/sek │ (kraschar) │ └───────────────┘

03Hur en attack går till, konkret

"Betala 5 BTC eller webshopen är nere på Black Friday"

En angripare har redan ett botnet på 80 000 hackade IoT-prylar runt om i världen. De har "infekterats" tidigare via Mirai-liknande malware som söker efter prylar med default-lösenord.
Angriparen skickar ett kommando till sitt command-server: "Skicka 1000 requests/sek till example-shop.se från varje bot."
Tre sekunder senare börjar 80 000 IoT-prylar samtidigt skicka HTTP-requests mot webshopen. 80 miljoner requests per sekund.
Webbservern hanterar 50 000 requests/sek normalt. Den når CPU-tak inom 2 sekunder och slutar svara.
Riktiga kunder ser "den här sidan svarar inte" i sin browser. Black Friday-trafiken försvinner till konkurrenten.
Angriparen skickar ett mejl till webshopen: "Betala 5 BTC innan kl 18:00 så slutar attacken."
Webshopen tappar 2 miljoner kr i försäljning första timmen. De överväger att betala.

04Olika typer av DDoS

Volymetrisk — översvämma bandbredden. Skickar så mycket data att ledningen till sajten fylls. Mäts i Gbps eller Tbps.
Protocol attack — utnyttja svagheter i TCP/IP. Klassisk: SYN flood, skickar massor av "hej vill koppla upp"-paket utan att slutföra. Servern reserverar minne för varje. Tar slut.
Application layer (L7) — riktig HTTP-trafik som ser legitim ut. Skickar t.ex. dyrara förfrågningar (sök-querys, login-attempts) som tvingar servern att jobba hårt.
Amplification — angriparen skickar små förfrågningar till felkonfigurerade tredje-parts-servrar (DNS, NTP), som svarar med stora paket till offrets IP. 1 MB in → 50 MB ut. Hävstångseffekt.

05Den största attacken hittills

Oktober 2024 — Cloudflare blockerade en attack på 5,6 Tbps. Det är fem och en halv terabit per sekund. För perspektiv: hela Sveriges utlandstrafik är ungefär 10 Tbps. En enskild attack utgjorde alltså mer än hälften av Sveriges totala internettrafik.

Attacken kom från ett botnet på cirka 13 000 hackade Mikrotik-routrar runt om i världen. Varje router skickade i snitt 430 Gbps. Sajten som var målet — ett Cloudflare-skyddat e-handelsföretag — märkte inget.

06Varför du som privatperson bör bry dig

Du är troligen inte målet för en DDoS. Men du kan vara delen av nästa attack.

Om din router har default-admin-lösenordet, är felkonfigurerad eller kör en gammal firmware — kan den vara hackad just nu, utan att du märker det. Den verkar fungera som vanligt, men i bakgrunden skickar den DDoS-trafik mot någon annans sajt. Du betalar för el och bandbredd som används till brott.

Samma sak gäller din WiFi-kamera, din smart-TV, dina IoT-prylar.

07Försvar

För sajter: använd en CDN/skydd som Cloudflare (gratis tier funkar för de flesta), AWS Shield, eller liknande. De har tillräcklig kapacitet att absorbera attacker och kan filtrera ut botnet-trafik på sin sida.
För hemnätverket: byt routerns admin-lösenord från default till något långt. Bara den ändringen tar dig ur 90% av botnet-faror.
Uppdatera router-firmware. Logga in på 192.168.1.1, leta efter "Firmware Update" eller "System Update". Aktivera autouppdatering om det finns.
Stäng av UPnP i routern. Det är en funktion som öppnar portar automatiskt och är en av de vanligaste sätten IoT-prylar exponeras mot internet.
För IoT-prylar: sätt dem på ett separat WiFi-nätverk (gäst-WiFi) skilt från din vanliga dator. Då kan en hackad kamera inte också nå din PC.
Kontrollera din routers status: sajten shodan.io indexerar internet-exponerade enheter. Sök på din publika IP — om din router/IoT-prylar dyker upp där så är de exponerade.

08Vad du lärt dig

DDoS = översvämma en sajt så den blir oanvändbar för riktiga besökare
"Distributed" = trafiken kommer från tusentals hackade prylar (botnet)
2026 är botnets mest IoT-prylar — routrar, kameror, smart-TV med default-lösenord
Försvar för sajter: CDN som Cloudflare
Försvar för dig: byt admin-lösenord på routern, uppdatera firmware, separera IoT-nätet
Din router kan vara del av nästa attack utan att du märker det

Vad är DDoS-attacker?