Kan en VPN beskytte meg mot DDoS?

Personlige VPN-er beskytter you fra å bli DDoSed hvis din virkelige IP ikke blir eksponert. De beskytter ikke en tjeneste du driver. For servicebeskyttelse trenger du en CDN eller skrubbetjeneste. For spillere som er bekymret for "swatting"-angrep, er det riktige mønsteret å gjemme seg bak en VPN-leverandørs IP.

Hvor lenge varer DDoS-angrep vanligvis?

Minutter til dager. Medianangrepet i 2025 er under 10 minutter – lenge nok til å forstyrre, men kort nok til å være billig å lansere. Vedvarende angrep (timer til dager) betyr vanligvis motiverte angripere med dypere lommer – utpressingskampanjer, geopolitiske operasjoner eller uvanlig vedvarende rivalisering.

Hva er forskjellen mellom DoS og DDoS?

DoS (Denial of Service) er fra én kilde; DDoS er fra mange. Enkeltkildeangrep er trivielt blokkerbare av IP-filter; distribuerte angrep trenger båndbreddeabsorpsjonsforsvar. Nesten alle moderne denial-of-service angrep er DDoS; det gamle DoS-begrepet er stort sett historisk.

Er DDoS-angrep ulovlige?

Ja i nesten alle jurisdiksjoner. US Computer Fraud and Abuse Act, UK Computer Misuse Act og lignende lover i EU gjør uautorisert tjenesteavbrudd til en straffbar handling. Internasjonalt samarbeid mot stresstjenester har ført til arrestasjoner i mange land. Til tross for dette er attribusjon vanskelig og mange angripere opererer fra jurisdiksjoner som ikke forfølger.

Hvorfor filtrerer ikke Internett-leverandører forfalsket trafikk ved kilden?

De kunne, ved å distribuere BCP38 / ingress-filtrering, og de fleste gjør det for nye nettverk. Eldre nettverk og noen mindre Internett-leverandører lar fortsatt forfalskede kildeadresser forlate nettverket, noe som muliggjør forsterkningsangrep. MANRS-initiativet (Mutually Aced Norms for Routing Security) presser på adopsjon, men en lang hale av permissive nettverk vedvarer.

DDoS-angrep forklart: Hvordan flom tar ned nettsteder og hvorfor de er vanskelige å stoppe

Et distribuert Denial-of-Service-angrep prøver å gjøre en tjeneste utilgjengelig ved å overvelde den med trafikk fra mange kilder samtidig. Økonomien er dypt asymmetrisk - noen få tusen dollar leid fra en stresser-for-hire-tjeneste kan ta ned et nettsted som koster millioner å drifte. Å forsvare seg mot dem er et av de mest aktive områdene innen nettverksteknikk.

Hele artikkelen er gitt på engelsk nedenfor.

A Distributed Denial-of-Service (DDoS)-angrep oversvømmer et mål med mer trafikk enn det kan håndtere, og sliter ut båndbredde, CPU eller applikasjonskapasitet. Fordi trafikken kommer fra mange kilder (ofte titusenvis av kompromitterte enheter som fungerer som et botnett, eller forsterkning gjennom feilkonfigurerte servere), fungerer ikke filtrering på destinasjonen – angrepet må absorberes eller skrubbes oppstrøms.

De tre angrepslagene

DDoS-angrep retter seg mot ett av tre lag:

Volumetric (Layer 3/4) attacks — oversvømme nettverket med råpakker for å mette båndbredden. UDP-flommer, ICMP-flommer, SYN-flommer. Ofte forsterkningsbasert: en liten forespørsel til en feilkonfigurert server gir et stort svar til den falske kilde-IP-en (offeret).
Protokollangrep — utnytte svakheter i protokollene selv. Slowloris holder tusenvis av TCP-tilkoblinger åpne uten å fullføre dem; SSL-reforhandlingsangrep fremtvinger dyre kryptooperasjoner.
Application-layer (Layer 7) attacks — ser ut som legitim brukertrafikk, men er designet for å tømme applikasjonsressurser. HTTP-flom, dyre søk, gjentatte forespørsler til dynamiske endepunkter som savner hurtigbufferen.

Volumetriske angrep gir de høyeste nyhetene (Tbps-klassen), men angrep på applikasjonslag er ofte mer skadelige fordi de er vanskeligere å filtrere uten å påvirke reelle brukere.

Amplification: huge

De største DDoS-angrepene er avhengige av amplification: angriperen sender en liten UDP-forespørsel med en falsk kilde-IP (offerets adresse) til en server som returnerer et mye større svar. Offeret mottar det gigantiske svaret og aner ikke hvor den opprinnelige forespørselen kom fra. Forsterkningsfaktorer:

DNS — 50–100× forsterkning med EDNS0- og DNSSEC-responser
NTP monlist — opptil 500 × oppdateringer, men fortsatt gamle servere eksisterer)
memcached — historisk opp til 50 000× i 2018; for det meste lappet nå
CLDAP — rundt 50×
SSDP/UPnP — rundt 30×

De største offentlig avslørte angrepene har kombinert DOS-angrep med angrep, topper over 3 tbps. Den største i 2025 brøt 5 Tbps.

Botnets: hvor trafikken kommer fra

Bak de fleste store angrep: et botnett av kompromitterte enheter. IoT-enheter (sikkerhetskameraer, rutere, smart-TVer, DVR-er) er enkle mål fordi de leveres med standardlegitimasjon og sjelden mottar sikkerhetsoppdateringer. Mirai-botnettet (2016) kompromitterte hundretusenvis av IoT-enheter og ble brukt i de berømte Krebs- og OVH-angrepene. Mirais kildekode ble lekket offentlig, og dusinvis av derivater opererer fortsatt.

Moderne botnett inkluderer også kompromitterte skyservere, virtuelle maskiner oppnådd med stjålne kredittkort og boligfullmakter (mobil-IP-tjenester som effektivt er leide botnett). en måned kan hvem som helst leie angrepskapasitet fra «booter»- eller «stresser»-tjenester. Markedsføringen hevder at de er for legitim stresstesting; i praksis angriper hoveddelen av kundene andres nettsteder. Flere store stressere har blitt tatt ned av internasjonal rettshåndhevelse, men nye erstatter dem i løpet av måneder. Tilbudet er for billig og etterspørselen for jevn til å forsvinne.

Hvordan DDoS-beskyttelse fungerer

Å forsvare et enkelt nettsted mot multi-Tbps-angrep er umulig — ingen vanlig side har så mye båndbredde. Forsvaret er å sette beskyttelse foran nettstedet hos en leverandør med mye mer kapasitet:

BGP omdirigering / blackholing — trekk tilbake ruter til den målrettede IP-en, og slipp all trafikk. Nyttig som en siste utvei, men kobler offeret helt fra.
Skrubbesentre — Cloudflare, Akamai, AWS Shield, Imperva og andre vedlikeholder store anlegg der innkommende trafikk filtreres. Legitim trafikk videresendes til opprinnelsen; angrepstrafikk droppes.
Rate limiting — ved CDN-kanten, begrenser per-IP-forespørselshastigheter for å forhindre applikasjonslagsflom.
JavaScript-utfordringer — presenterer en kort beregningsutfordring som virkelige nettlesere fullfører boter usynlig. kan ikke.
CAPTCHA fallback — for mistenkelig trafikk, be om menneskelig verifisering.

De store CDN/WAF-leverandørene kan absorbere angrep av praktisk talt alle størrelser som har blitt sett i naturen — Cloudflares nettverkskapasitet overstiger 300 2026.

Hva du kan gjøre som en liten nettstedsoperatør

Sitt bak en CDN med DDoS-beskyttelse — Cloudflares gratislag dekker grunnleggende beskyttelse for små nettsteder; betalte nivåer og andre leverandører (Akamai, Fastly) håndterer mer.
Skjul opprinnelsen din IP — tillat kun trafikk fra CDNs IP-områder; nekte direkte tilkoblinger.
Bruk en rimelig rentegrensepolicy – mange gratis CDN-nivåer tilbyr grunnleggende ratebegrensning.
Vær tålmodig under et angrep – forsvar starter, angripere går tom for penger eller kjeder seg. fortsetter
2024–2026 så nye angrepskategorier: HTTP/2 "Rapid Reset"-angrep som utnytter protokollsvakheter, lag-7-angrep generert av AI for å etterligne menneskelig atferd, og hypervolumetriske lag-3-angrep levert gjennom kaprede nettsky-VMer. Forsvarere har reagert med smartere atferdsfiltrering, maskinvareakselerert reduksjon og tettere samarbeid mellom leverandører. Nettotrenden: små angrep er billigere enn noen gang, men godt forsvarte nettsteder gjenoppretter seg også raskere enn noensinne.

Ofte stilte spørsmål

Kan en VPN beskytte meg mot DDoS?: Personlige VPN-er beskytter <em>you</em> fra å bli DDoSed hvis din virkelige IP ikke blir eksponert. De beskytter ikke en tjeneste du driver. For servicebeskyttelse trenger du en CDN eller skrubbetjeneste. For spillere som er bekymret for "swatting"-angrep, er det riktige mønsteret å gjemme seg bak en VPN-leverandørs IP.
Hvor lenge varer DDoS-angrep vanligvis?: Minutter til dager. Medianangrepet i 2025 er under 10 minutter – lenge nok til å forstyrre, men kort nok til å være billig å lansere. Vedvarende angrep (timer til dager) betyr vanligvis motiverte angripere med dypere lommer – utpressingskampanjer, geopolitiske operasjoner eller uvanlig vedvarende rivalisering.
Hva er forskjellen mellom DoS og DDoS?: DoS (Denial of Service) er fra én kilde; DDoS er fra mange. Enkeltkildeangrep er trivielt blokkerbare av IP-filter; distribuerte angrep trenger båndbreddeabsorpsjonsforsvar. Nesten alle moderne denial-of-service angrep er DDoS; det gamle DoS-begrepet er stort sett historisk.
Er DDoS-angrep ulovlige?: Ja i nesten alle jurisdiksjoner. US Computer Fraud and Abuse Act, UK Computer Misuse Act og lignende lover i EU gjør uautorisert tjenesteavbrudd til en straffbar handling. Internasjonalt samarbeid mot stresstjenester har ført til arrestasjoner i mange land. Til tross for dette er attribusjon vanskelig og mange angripere opererer fra jurisdiksjoner som ikke forfølger.
Hvorfor filtrerer ikke Internett-leverandører forfalsket trafikk ved kilden?: De kunne, ved å distribuere BCP38 / ingress-filtrering, og de fleste gjør det for nye nettverk. Eldre nettverk og noen mindre Internett-leverandører lar fortsatt forfalskede kildeadresser forlate nettverket, noe som muliggjør forsterkningsangrep. MANRS-initiativet (Mutually Aced Norms for Routing Security) presser på adopsjon, men en lang hale av permissive nettverk vedvarer.