OM CERT-SE
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem CERT-SE:s incidenthanteringsprocess Steg 1 - Förebygga Förebygga DDoS
Navigering
De viktigaste frågorna vid en incident

Vid en första kontakt med en intressent som har råkat ut för en misstänkt incident så är det några frågor som organisationen bör få svar på. De viktigaste är listade nedan.

  • Vad har hänt, hur och när upptäcktes problemet?
  • Vilka åtgärder har gjorts?
  • Är incidenten fortfarande pågående, kan data läcka ut?
  • Vad vill organisationen ha hjälp med?
  • Vilka har organisationen kontaktat?
  • Kan organisationen tänka sig att dela med sig av information, data eller loggar till tredje part eller andra drabbade organisationer?
  • Vill organisationen polisanmäla incidenten?

 

Förebygga DDoS

I den här delprocessen beskrivs vad en organisation kan göra för att ha en viss beredskap ifall en it-säkerhetsincident skulle inträffa.


 Följande punkter behandlas:

 

Förberedelser

Det bästa receptet för en lyckad incidenthantering är att vara förberedd på att en incident kommer att inträffa förr eller senare. Generella förberedelser finns att läsa i delprocessen Förebygga Intrång.

Det är mycket svårt att skydda sig mot en DDoS-attack men med rätt förberedelser kan en organisation mildra ett framtida angrepp. Förberedelser inför en DDoS-attack handlar om planering av organisationens egna infrastruktur samt att etablera goda kontakter med organisationer som t.ex. den egna ISP:n.

En väldigt viktig framgångsfaktor i hantering av DDoS-attacker är tillgången till loggar. Utan loggar inga svar på vilken typ av attack eller från vilka IP-adresser som varit inblandade.

 

Vad kan CERT-SE bidra med?

  • Rådgivning
  • Ytterligare information

  

Förslag på förberedelser

  • Logghantering, se till att det finns loggar tillgängliga från system som: FW, router, DNS, Webbserver m.fl.
  • Utse en grupp som kommer att vara ansvarig för hanteringen av en framtida attack
  • Kontakta ISP:n för att se om de kan erbjuda skydd mot eller vara behjälpliga vid en attack
  • Konfigurera filter i routrar eller brandväggar att blockera vissa kända typer av trafik som vanligen används i DDoS-attacker
  • Etablera en baslinje över systemlasten för att upptäcka en attack i ett tidigare skede
  • Använda lastbalanserare för publika tjänster
  • Förbereda en webbserver - vilken aktiveras vid en attack - som bör innehålla  ett minimum av bilder och dokument (vilket bör verifieras då och då)
  • Sprida bilder och dokument på flera webbservrar t.ex. på andra nätsegment eller ett externt webbhotell
  • Se över konfigurationer av publika servrar
  • Ställa ner TTL-tiden på DNS:er för att underlätta vid en nödvändig ompekning av en tjänst till ny IP-adress under en attack
  • Minska sessions-"time out" för TCP-sessioner
  • Aktivera SYN-cookies för att skydda sig mot "TCP-SYN"-attacker
  • Använda ett enhetligt loggformat

 

Kontakter

Det är viktigt att etablera goda kontakter med andra organisationer som kan vara till hjälp vid en eventuell attack. Vilka som bör kontaktas kan vara individuellt från organisation till organisation. Den viktigaste länken vid ett fall av DDoS är nog organisationens ISP som är den första länken till Internet, där ett visst skydd och motmedel kan etableras.

  • ISP:er
  • Polis och myndigheter
  • CERT-organisationer

 

Referenser och länkar till ytterligare information 

CERT-SE:s råd angående tillgänglighetsattacker

http://en.wikipedia.org/wiki/Denial-of-service_attack

http://www.iwar.org.uk/comsec/resources/dos/ddos_en.htm

http://zeltser.com/network-os-security/ddos-incident-cheat-sheet.html

Uppdaterad 2011-01-10 14:28 | Publicerad 2010-09-21 15:19
CERT-SE
Telefon: 08-678 57 99
E-post: cert@cert.se - PGP-nyckel
Om cookies
[FiRST][TI]