• Meny
  • Sv/En

Sannah Westerlund — 30/03/16

Gästinlägg: Så hanterar ni en DDoS-attack

 

Att distribuerade överbelastningsattacker (DDoS) är vardag för många företag pratas det väldigt lite om. Men förra helgen inträffade en DDoS-attack mot flertalet stora mediasajter i Sverige, som fick stor medial uppmärksamhet.

(En DDoS-attack är – förenklat – en organiserad attack mot nätverk eller datorsystem. Som bilden ovan illustrerar, riktas ett stort antal datorer (s.k. zombies eller agents) mot ett eller flera mål. Oftast är datorernas ägare inte medvetna om att dem utför attacken. Målet träffas av attacken och blir överbelastad, vilket resulterar i att t.ex. en webbsida inte går att nå.)

En IT-infrastrutur som kan hantera och förmildra en DDoS-attack går att bygga med hjälp av tjänster som är utspridda över världen med hjälp av olika former av teknik, såsom anycast DNS. Även så behövs ett bra och nära samarbete med sin internetleverantör (ISP), så att denna kan filtrera och begränsa trafik från olika delar av världen.

Det är viktigt att upprätta och testa en handlingsplan så denna fungerar över tid. Den kan bestå i att ingen enskild vital komponent går att sänka vid stora mängder datatrafik. Det rör sig om hemsida, DNS, API och E-post exempelvis.

Det är också viktigt att ha en statisk nöd-sajt, exempelvis på WordPress.com eller Blogger.com, som uppdateras och berättar löpande om pågående incident. Tyvärr är dock denna enkla och simpla devis något som tyvärr inte många följer. Vi såg även under helgens attacker att medieföretag med dessa nöd-sajter glömde bort att länka till dessa när huvudsajten låg nere pg.a. DDoS. Och glöm inte heller bort att nyttja sociala-medier och informera om nöd-sajten, men även om pågående status.

Ställ krav på din leverantör och fråga om och hur dessa hanterar en DDoS. Minst vid upphandling eller inköp av ny tjänst/produkt och se sedan till att denna följs vid incidenter.

Loggning är även en viktig del och spårbarhet. Se till att logga så mycket som möjligt och spara detta lång tid, helst även råa trafikloggar (pcap) och kasta den data som är äldst (fifo). Med hjälp av dessa loggar går det sedan att titta i detalj vad som skickas från vem när och eventuellt vilka typ av verktyg som används.

Ovan är ett gästinlägg av:

Jonas Lejon, IT-säkerhetsexpert

Styrelseledamot i ISOC-SE samt IIS
Bloggar på kryptera.se samt driver IT-säkerhetsföretaget Triop AB.