En DDOS-attack går ut på att överbelasta den server som hemsidan är kopplad till. Detta görs i regel genom att rikta en mycket stor trafik mot ett och samma ställe, antingen genom ett mindre antal mycket kraftfulla datorer eller typiskt genom att samla ihop en mycket stor mängd datorer som styrs simultant.

Det senare kallas för ett "botnet". Ett sådant skapas ofta genom att i förväg smitta vanliga datorer i hem och på arbetsplatser runt om i världen med skadlig kod som sedan gör att de kan styras från en central dator.

LÖÄS OCKSÅ: Riksbanken uppges vara nytt mål för nätattack

Det är med andra ord inte omöjligt att du som läser detta har en dator hemma som deltagit i attacken mot svenska myndigheter de senaste dagarna.

Enligt CERT-se, en avdelning inom Myndigheten för samhällsskydd och beredskap (MSB), som arbetar med IT-säkerhet på myndigheter och företag, finns nära 14 000 infekterade datorer bara i Stockholmsområdet.

– Vi har sett att det finns ett visst inslag av svenska IP-adresser som varit med i attackerna, säger Anders Hansson, tillförordnad chef på Cert-se.

För att smittas med koden behöver man i dag inte ha besökt någon skum hemsida eller laddat ner porr från nätet. Det kan räcka med att du klickar på en länk som har tar dig till en hemsida designad för att överföra den smutsiga koden till din dator.

För de som drabbas av en omfattande DDos-attack är det enligt Anders Hansson ingen idé att kämpa emot.

– Låt oss säga att man har en kapacitet för att ta emot cirka 500 000 besökare samtidigt på en hemsida. Lägger man då upp något, exempelvis en extra intressant artikel, som 2 miljoner människor plötsligt vill läsa samtidigt. Ja då kraschar servern. Det är samma sak vid överbelastningsattacker. Det skulle kosta för mycket att ligga på den allra högsta kapacitetsnivån. Och det är ändå inte säkert att det skulle räcka för att stå emot en större attack, säger Anders Hansson och förklarar att det istället bara är filtrering som gäller.

Det innebär i korthet att man låter servern gå ner samtidigt som man analyserar den data som skickas mot den i attacken.

– Man kan titta på ip-adresser, vilka som kontaktar min server. Sen kan man börja arbeta med att stänga av dem från sajten, säger han och förklarar att ju fler källorna är desto svårare är det att få in alla i det spärrfilter man konstruerar.

– Det andra man kan titta på är vad är det de frågar efter. De är ju faktiskt så att datorerna som deltar i attacken är beordrade att ställa en fråga som är gemensam. Det kan vara till exempel en bild på sajten som de är inställda på eller något som innebär ett visst typ av trafikmönster. Och kan jag få servern att sluta ge svar på just den frågan eller bryta frågeställningen redan innan de träffar webbsidan så kan jag filtrera bort dem.

– Det innebär att de kommer skjuta men de kommer inte få svar. Man så att säga tappar paketet som aldrig levereras, säger Anders Hansson.

Den här filtreringen kan rent tekniskt göras på olika sätt. Många företag och myndigheter har inte någon egen utrustning för detta

– Det går att göra en del inställningar med brandväggar men ISP:n (Internet Service Provider eller kort och gott internetleverantören reds. anm) har ofta tjänster som kan hjälpa till att filtrera undan sådan här trafik just mot den som är utsatt, säger Anders Hansson och poängterar att för att så snabbt och effektivt som möjligt komma upp igen efter att ha blivit nedskjuten i mångt och mycket handlar om att ha ett bra samarbete för att kunna dämpa anstormningen i olika delar. Har man outsourcat hela it-verksamheten är det dem man måste ha bra kontakter med.

Det verkar som att många av de som attackerats de senaste dagarna ändå gör det hyfsat bra, de flesta har ju bara legat nere några timmar, eller?

– Ja, fast det är först efteråt när man vet hur länge attacken har pågått som man kan ställa det i relation till hur väl man har hanterat situationen. Ibland varar en attack bara i en halvtimme. Andra gånger kan den hålla på i princip oavbrutet i flera dagar.

Är DDOS-attacker det som är vanligast numera?

– Ja, jag skulle vilja säga det. Det här är ju ett sätt att demonstrera mot något, en händelse, ett uttalande eller något sådant. Förr gick man ut med plakat i handen och var det bra väder så kom det många men regnade blev det färre. I dag kan man sitta hemma i soffan och demonstrera samtidigt som man tittar på sin favoritfilm.

Hur många som verkligen står bakom en sådan här demonstration är dock omöjligt att säga. I princip behövs bara en person med tillräckliga it-kunskaper.

Enligt Anders Hansson finns det, förutom de vars datorer har smittats ovetande, också de som aktivt väljer att installera programvara på sina datorer så att någon annan får möjlighet att använda den för att utföra den här typen av attacker. Men hur många de är vet man inte.

Vid attacken mot Socialstyrelsen hade man även lämnat ett meddelande på hemsidan, tyder det på en anan typ av attack också?

– Ja det är vad vi kallar ett riktat intrång. För det krävs en del merjobb. Där hade man på något sätt tagit sig in i den första nivån av systemet, säger Anders Hansson.

Hur kan det gå till?

– På ett eller annat sätt har man hittat en säkerhetsbrist på hemsidan. Det kan till exempel vara det som man kallar för ifyllnadsfält. En enkät eller någonstans där man kan fylla i uppgifter. Om du istället skickar in kod i dessa rutor kan du få programmen att bete sig annorlunda och på så sätt hamna i ett läge där du får tillgång till mer information.