Senaste dagarna har varit galna och hektiska för många personer ute på Internet. De flesta har nog hört någon form av nyhetsrapportering kring några uppmärksammade överbelastningsattacker, eller rättare sagt ”Distributed Denial of Service (DDoS)” attacker mot svenska företag och myndigheter, men även internationella företag som Visa och Mastercard.
För Excedo Networks och tjänsten Excedo DNS powered by Dynect har vi noggrant följt och övervakat denna utveckling samtidigt som vi har kontrollerat och övervakat våra systems prestanda i kombination med att vi har fått utvärdera och tillämpa våra DDoS riskreducerande strategier.
Nedan kommer jag belysa några av de tekniska aspekterna av DDoS, vad DDoS är och några tips om vilka åtgärder som kan vidtas för nätverksdesign och andra riskreducerande åtgärder. Viktigt att notera är att det handlar om Distributed Denial of Service (DDoS) attacker och inte om attacker mot Domain Name System (DNS). Många gånger förväxlas dessa två och framförallt lyckas inte media hålla isär på detta i sin rapportering.
Vad är DDoS?
En DDoS är alla försök som genomförs direkt av en person eller genom mänskligt skapad-mjukvara med syftet att neka användare åtkomst till någon sorts tjänst, genom genomförandet av en distribuerad samordnad attack. Angriparens mål är att slå ut måltavlans datasystem på ett sådant sätt att det inte längre kan tillhandahålla den avsedda tjänsten till behöriga användare av systemet.
En DDoS-attack bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk, till exempel kan man begära stora filer från en webbserver. Det utsatta systemet överbelastas av den stora mängden anrop och endast liten kapacitet blir kvar för övrig kommunikation.
Nedan följer några exempel:
Exempel 1:
Använd multipla datorer för att skapa många ICMP ”ping” paket till ett mål så snabbt som möjligt för att överbelasta internetanslutningen, brandväggen eller det målsystem som man försöker slå ut. Genom att slå ut någon av komponenterna i detta system medför att nätverket ”kvävs” och behöriga användare nekas åtkomst till det.
Exempel 2:
Sprid skadlig kod till så många maskiner som du kan som körs på intet ont anande användares datorer, och använd koden för att ta kontroll över dessa maskiner genom att koden gör det möjligt att det sker en koppling bakåt till en central värd som du har kontroll över. Använd därefter den kontroll som fås att styra ”de kapade maskinerna” till att skicka ut massor av SPAM. Ja, att skicka skräppost är en typ av DDoS attack. Den här typen av komplexa nätverk av kontrollerade värdar och ”kapade maskiner” är något som man i branschen kallar en ”Botnet”, och den har många fler funktioner än att bara skicka ut SPAM.
Exempel 3:
Ta med alla dina kollegor (> 20st) och gå närmsta kafé mitt under rusningstid under lunchen. Gå in samtidigt och försök genomföra en beställning samtidigt. Givetvis så ska ni beställa den maträtt som kräver störst arbetsinsats från personalen vid tillagningen. Ni kommer effektivt att inleda en DDoS-attack (distribuerad = flera personer som är samordnade == alla har planerat det) mot kafépersonalen.
Under Internets tidigare dagar såg vi en mer grundläggande form av dessa attacker, Denial of Service (DoS) attacker, där en maskin på Internet attackerade en annan maskin på Internet, en mot en. I detta fall var effekten av DoS begränsad till kapaciteten på varje parts Internetanslutning eller datorresurser.
Sammanfattningsvis kan man säga att en DDoS-attack är ett försök att ”kväva” eller slå ut den svagaste länken av ett Internetsystem genom att från distans överlasta det.
Måltavlor för DDoS
I många av de senaste attackerna har målet varit webbplatsens servrar. De som genomförde attacken försökte sannolikt att överbelasta Internetanslutningen till dessa platser, brandväggar, lastbalanserare eller webbservrarna. Detta är en direkt attack mot själva hemsidan.
Men vänta lite nu, det finns andra typer av attacker också. Kom ihåg att för att överhuvudtaget komma till en hemsida som du vill gå till, så måste datorn göra en DNS-förfrågan för att bestämma IP-adressen till den webbplats som du vill till. Därmed kan åtkomst till en hemsida slås ut även om DDoS attacken görs mot DNS-servrarna. Många svenska företag förlitar sig helt på sina leverantörer av DNS som inte erbjuder DNS som sin primära tjänst – och är därför väldigt sårbara eftersom DNS-lösningarna många gånger håller väldigt låg standard utifrån ett säkerhets- och kapacitetsperspektiv. Av denna anledning är det lämpligt att låta din DNS-drift skötas av experter, som levererar en lösning med senaste Anycast teknik och som fokuserar på DNS primärt!
Skydda din hemsida
Effekterna av de insatser som görs blir bara mindre och mindre med tiden. Om du inte är en måltavla för DDoS attacker kommer du att spendera massor med pengar för att vara helt skyddad. Om du är en måltavla för DDoS attacker kommer du spendera massor med pengar för att skydda dig. Och när du är en måltavla kommer du med största sannolikhet hamna i en duell med de som genomför attackerna där ni kommer tävla om vem som kan skapa det största och mest kraftfulla nätverket för att antingen generera DDoS eller filtrera och mildra effekterna av DDoS. Enbart fåtalet leverantörer i världen idag har nätverk och tjänster med tillräcklig kapacitet för det sistnämnda.
De viktigaste punkterna om hur man förebygger och mildrar DDoS är enkla:
1) Gör inte dig själv till en måltavla – Håll ditt nätverk rent från spammare och andra oseriösa individer som kan skapa problem – du kommer kunna undvika att bli delaktig i deras upptåg.
2) Medvetenhet – Ha koll på ditt nätverks normala beteende så att du kan identifiera när du utsätts för DDoS. Det finns många olika verktyg som kan hjälpa dig med detta såsom; Netflow, sFlow, Splunk, Nagios, Cacti, Smokeping, Munin med flera.
3) Kapacitet – Om du kan, bygg det största nätverk som du kan, med effektiva komponenter vid routrarna mot Internet för Layer 3 och 4 begränsning, och ett lager av ”deep packet inspection / caching / scrubbing” i kärnan av nätverket för mer avancerad begränsning i Layer 4 till 7 . Slutligen, se till att du har tillräckligt med serverkapacitet, och att de är anpassade för bästa prestanda vid hög belastning.
4) Öva – Testa dina försvarsplaner. Att veta hur du ska tillämpa din försvarsstrategi är minst lika viktigt som att köpa och installera den. Om du inte vet hur man använder den effektivt, varför bry sig om att överhuvudtaget skaffa den?
Lycka till!
Källa: Mynewsdesk.
