OM CERT-SE
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem CERT-SE:s incidenthanteringsprocess Steg 2 - Identifiera Identifiera DDoS
Navigering
De viktigaste frågorna vid en incident

Vid en första kontakt med en intressent som har råkat ut för en misstänkt incident så är det några frågor som organisationen bör få svar på. De viktigaste är listade nedan.

  • Vad har hänt, hur och när upptäcktes problemet?
  • Vilka åtgärder har gjorts?
  • Är incidenten fortfarande pågående, kan data läcka ut?
  • Vad vill organisationen ha hjälp med?
  • Vilka har organisationen kontaktat?
  • Kan organisationen tänka sig att dela med sig av information, data eller loggar till tredje part eller andra drabbade organisationer?
  • Vill organisationen polisanmäla incidenten?

 

Identifiera DDoS - vad har hänt?

I den här delprocessen behandlas insamling samt analys av information och data för avgörande om en incident har inträffat.


Följande punkter behandlas :

 

Upptäcka och identifiera en DDoS-attack 

DDoS är en typ av attack som är mycket svår att skydda sig emot. Det finns ett antal steg som kan vidtas för att mildra en eventuell attack. Dessa steg beskrivs under delprocessen förebygga.

Upptäckten av en DDoS-attack sker vanligen genom att åtkomst till Internet känns segt som sirap eller inte fungerar över huvud taget alternativt att vissa system inte går att nå från egna eller externa nät. I vissa fall är det så att externa parter är de som upptäcker att t.ex. webbservern inte svarar. Det finns även programvaror som kan upptäcka DDoS-attacker.

  

Vad kan CERT-SE bidra med?

  • Information om DoS och DDoS

  • Insamling av information kring incidenten

  • Analys av loggar

  • Stöd i form av "tekniskt bollplank"

  • Länkar till mer information

  • Kontaktinformation till andra aktörer inom området
  • Hjälpa till med att stänga ner angripande IP-adresser
  • Kontakta  ISP:er i andra länder
  • Kontakta CERT-organisationer i andra länder
  • Analys av data från maskin delaktig i DDoS-attack

 

Förutsättningar och terminologi

Det finns flera typer av belastningsattacker: DoS eller DDoS.


En DoS-attack kan bestå av endast ett specialformaterat paket som orsakar att systemet kraschar eller tjänster slutar att fungera. Den typen av attacker är ofta riktad mot en specifik tjänst som i många fall innehåller en sårbarhet eller är felaktigt konfigurerad.

 

DDoS är distribuerade attacker som vanligen bygger på en amplifiering (förstärkning) av angrepp genom att använda massvis av avsändaradresser. DDoS kan vara oberoende av sårbarheter

En vanlig typ av DDoS-attack kan vara så kallade flood-attacker som kan bestå av ofullständiga uppkopplingar t.ex. SYN-paket eller ICMP-paket där angriparen fyller upp offrets bandbredd med nätverkstrafik.

 

DDoS kan också vara angrepp mot specifika system som t.ex. en webbserver där målet är att få systemet att sluta att svara på anrop. Detta kan uppnås genom att begära stora dokument eller bilder. Andra metoder kan vara att skicka specialformaterade paket som orskar en systemkrasch.

 

För att kunna hantera en DoS/DDoS-attack krävs det att det finns loggar att tillgå från t.ex. webbservrar, brandväggar, routrar, IDS/IPS samt eventuellt en sniffer.

 

DoS = Denial Of Service

DDoS = Distributed Denial Of Service

Sniffer = Utrustning som spelar in nätverkstrafik

SYN = Det första paketet i en TCP-handskakning

ICMP = Internet Control Message Protocol (felhanteringsprotokoll för sessionslösa protokoll t.ex.UDP)

 

 

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är eller inte är vidtagna (glöm inte de viktigaste frågorna som finns i separat dokument).

  • Vad får organisationen att tro att systemet/organisationen är drabbad?

  • Vilka observationer är gjorda?

  • Hur upptäcktes problemet?

  • När upptäcktes problemet?

  • Var upptäcktes problemet? (fysisk placering av det drabbade systemet{outsoucing, co-loc})

  • Vem upptäckte problemet?

  • Vad är det för typ av system?

  • Kritiskt? I så fall på vilket sätt kritiskt [Sekretess | Riktighet | Tillgänglighet]

  • Kopplingar eller beroenden mot andra system?

  • Vilket OS?

  • Användningsområde eller syfte?

  • Var är systemet beläget, vilket nätverks-segment?

  • Driftas systemet av egen eller extern organisation?

  • Kan eller får systemet stänga ner?

  • Vilka åtgärder är tagna?

  • Är systemet intakt?

  • Har systemet startats om?

  • Har nätverk kopplats bort?

  • Finns det centrala eller/och lokala loggar?

  • Vilken typ av loggar finns att tillgå? (lokala, nätverk)

  • Vilka typer av systemloggar finns ? (IDS, FW, IPS...)

  • Har loggarna vuxit onormalt mycket?

  • Kan något annat system ha drabbats?

  • Vilken tidzon har drabbad?
  • Vilken ISP har drabbad
  • Vill drabbad dela med sig av information om incidenten till andra som drabbats av samma/liknande angrepp?
  • Vill drabbad dela med sig av info och erfarenheter till betrodd tredje part (EGC, FIRST)?

 

Insamling av data

Förutom att samla in loggar från t.ex. brandväggar, routrar, DNS med mera så är det bra ur analyssynpunkt  att sätta upp en sniffer (om det är möjligt) och spela in trafiken som flödar på det drabbade nätsegmentet. Det kan vara till stor hjälp till vid en senare analys av attacken.

Följande data är intressant att samla för vidare analys.

  • Loggar (från ISP, FW, Router, IDS/IPS, WWW, Mail, DNS, Sniffer m.fl.)
  • Insamling av data från maskin delaktig i DDoS-attack (se Identifiera intrång)
  • Vilken typ av attack är det?

 

Analys av insamlad information och data 

I ett första steg så analyseras information och data för att fastställa om en incident verkligen har inträffat eller inte. Om den analysen visar att en incident har skett så går incidenthanteringsprocessen in i nästa fas. Där görs ytterligare mer insamling av data samt en grundligare analys där bevisinsamling, spegelkopia av hårddisk samt sökning efter information om angripare sker.

Det data som samlats in under den här delprocessen kommer även att analyseras i nästa steg.

 

Förslag på  program för att analysera situationen

Vid analyser av nätverksloggar kan följande program användas:

Wireshark (analyserar Pcap-data)

Argus (analyserar NetFlow- och Pcap-data)

Nfdump (analyserar NetFlow-data)

  

Vilka steg bör vidtas vid en DDos-attack?

I första hand så måste attacken identifieras och loggar analyseras för att avgöra vilken typ av attack det handlar om (det är viktigt att spara alla typer av loggar som kan användas vid analys av incidenten). När detta är fastställt så gäller det att avbryta eller begränsa effekten av attacken. Organisationen bör sedan kontakta sin ISP som kan hjälpa till att blockera angripande IP-adresser.

Nästa steg kan vara att kontakta CERT-organisationer i de länder där attacken härstammar ifrån. I det fall det handlar om ett angrepp från ett botnet så kan det innebära att attacken kommer från massor av olika länder.

Mer om hantering av DDoS-attacker beskrivs under delprocessen: Begränsa DDoS.

 

 

Förebyggande råd samt ytterligare information för att underlätta vid DDoS-attacker.

 

Länkar till förebyggande råd att tillgå från CERT-SE:s webbplats Tillgänglighetsattack vad är det...

 

Länkar

Länkar till ytterligare extern information inom delprocessen:

http://en.wikipedia.org/wiki/Denial-of-service_attack

Uppdaterad 2011-01-10 14:27 | Publicerad 2010-09-21 15:29
CERT-SE
Telefon: 08-678 57 99
E-post: cert@cert.se - PGP-nyckel
Om cookies
[FiRST][TI]