Vad är DoS och DDoS?
Vad är en tillgänglighetsattack?
En tillgänglighetsattack (DoS, Denial of Service) är ett angrepp mot ett eller flera datasystem med syfte att neka legitim åtkomst till de tjänster som systemet tillhandahåller. Dessa tjänster är oftast de som en organisation väljer att göra tillgängliga för allmänheten såsom webb, dns och e-post.
Det finns i princip tre typer av tillgänglighetsattacker. Den först typen koncentrerar sig på de underliggande tjänsterna som angriparen vill störa ut. Genom att överbelasta dessa tjänster med vad som kan se ut som legitim trafik kan publik åtkomst till tjänsterna nekas. Angriparen binder alltså upp de nätverkssessioner som en server tillhandahåller och stör på så sätt ut den legitima trafiken.
Den andra typen av tillgänglighetsattacker går ut på att angriparen genererar så mycket trafik som möjligt till nätet / maskinen som ska störas ut och på så sätt tar upp all bandbredd. Denna trafik kan se ut som legitim trafik eller vara rent slumpartad. Det vanligaste är dock att angriparen använder sig av UDP-baserad trafik eller av TCP-paket med SYN flaggan satt.
I den tredje och sista typen av tillgänglighetsattacker utnyttjar angriparen brister i programvara för att få tjänster att neka legitima användare.
Vad är en distribuerad tillgänglighetsattack?
En distribuerad tillgänglighetsattack (DDoS, Distributed Denial of Service) är en tillgänglighetsattack där en angripare använder sig av flera datorer för att utföra en eller flera av angreppsmetoderna som är beskrivna ovan. Genom att utföra attacken med hjälp av flera olika system ökar angriparen sina chanser att uppnå målet att neka legitim åtkomst till tjänsterna. Vanligtvis brukar en angripare använda sig av datorer som i ett tidigare skede har blivit utsatta för ett dataintrång och nu ingår i ett större nätverk av komprometterade datorer. Ett sådant nätverk brukar kallas för ett botnet, medan datorerna som ingår i ett botnet brukar kallas för zombies.
Ett annat sätt att utföra en distribuerad attack är att få flera personer att manuellt medverka i en tillgänglighetsattack. Det kan handla om att flera personer uppmanas att till exempel skicka e-post till en viss adress eller att besöka en webbplats som i sin tur anropar trafiktunga delar av den webbplats som angriparen vill störa ut.
Hur skyddar jag mig från tillgänglighetsattacker?
Tillgänglighetsattacker är generellt sätt väldigt svåra att skydda sig mot. Det finns dock några åtgärder en organisation kan vidta för att öka sin beredskap.
En organisation bör ha väl utarbetade kontaktrutiner till det eller de företag som levererar organisationens Internetförbindelse. Vid en tillgänglighetsattack där angriparen försöker att belasta bandbredden kan internetleverantörens NOC (Network Operations Centre) eller Abuse-avdelning hjälpa till med att filtrera bort viss trafik innan den når det drabbade nätet, sk up-stream filtering. Enskilda maskiner eller större adressrymder kan också filtreras bort så att trafik från dem inte anländer till organisationens nät. Denna teknik kallas vanligen för "null routing". En internetleverantör kan också hjälpa till med att spåra förfalskad trafik (spoofing), när sådan används i en tillgänglighetsattack. Detta görs då vanligen med hjälp av en teknik som heter NetFlow.
När det handlar om sessionsbaserade tillgänglighetsattacker kan en systemadministratör ställa in antalet samtidiga uppkopplingar varje IP-adress får ha. Detta kan minska den skada varje enskild dator kan göra mot ett system men inte stoppa en distribuerad attack. Denna skyddsåtgärd kan också skapa problem om mycket legitim trafik kommer från stora proxy-servrar hos ISP:er och företag, då flera datorer delar på samma IP-adress.
Vidare kan TCP/IP-stacken ställas in så att nätverkssessioner blir mer kortlivade. Många sessioners time-out:er är satta till värden som är onödigt höga och att ställa ned dessa kan göra det svårare för en sessionsbaserad tillgänglighetsattack att lyckas. Tänk dock på att om detta görs måste det göras på alla applikationer och all nätverksutrustning som trafiken passerar för att få full verkan.
SYN-cookies är en annan teknik som kan användas för att skydda sig mot TCP-baserade SYN-attacker. SYN-cookies använder sig av en teknik för att vänta med att sätta upp en TCP-socket tills hela handskakningsproceduren är avklarad.
Att dela upp stora dokument eller bilder på flera servrar är ytterligare en teknik för att försvåra vid en sessionsbaserad tillgänglighetsattack. Genom att alla stora filer placeras på externa webbhotell eller på separata interna servrar, blir TCP-sessionen betydligt kortare och det kan göra det svårare för angriparen att lyckas med attacken. En version av hemsidan som inte innehåller varken bilder, PDF-dokument eller några andra stora filer kan också förberedas. Vid en eventuell sessionsbaserad tillgänglighetsattack kan denna version användas istället och på så sätt göra det svårare för attacken att lyckats.
Vidare kan en version av hemsidan som inte innehåller varken bilder eller stora dokument förberedas så att den kan användas.
Lastbalanserare är produkter som har till enda uppgift att fördela trafik mellan olika servrar och kan hjälpa till vid sessionsbaserade tillgänglighetsattacker. Var dock noga med att lastbalanserarna i sig själva inte blir systemets flaskhalsar.
Se till att i din organisations policy för incidenthantering ha ett avsnitt som definierar en plan för att kunna öka organisationens serverkapacitet. Externa leverantörer kan tillhandahålla sådana lösningar med kort varsel. Genom att öka antalet webbservrar vid ovanligt hög last kan en sessionsbaserad tillgänglighetsattack försvåras. Detta förutsätter dock att organisationen använder sig av någon teknik för att kunna fördela trafiken mellan servrarna, såsom DNS round-robin.
Vad gör jag om min organisation blir drabbad av en tillgänglighetsattack?
Ta reda på så mycket fakta som möjligt om attacken, vilka protokoll och portar används, från vilka IP-adresser attacken kommer från osv.
Kontakta din ISP och berätta vad det är som händer. Även i fall då problemet inte kan åtgärdas inom operatörens verksamhet, kan operatören ofta hjälpa till med många goda tips och råd.
Inlägg
Skicka en kommentar