OM CERT-SE
WEBBKARTA
Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
Hem CERT-SE:s incidenthanteringsprocess Steg 3 - Begränsa Begränsa DDoS
Navigering
De viktigaste frågorna vid en incident

Vid en första kontakt med en intressent som har råkat ut för en misstänkt incident så är det några frågor som organisationen bör få svar på. De viktigaste är listade nedan.

  • Vad har hänt, hur och när upptäcktes problemet?
  • Vilka åtgärder har gjorts?
  • Är incidenten fortfarande pågående, kan data läcka ut?
  • Vad vill organisationen ha hjälp med?
  • Vilka har organisationen kontaktat?
  • Kan organisationen tänka sig att dela med sig av information, data eller loggar till tredje part eller andra drabbade organisationer?
  • Vill organisationen polisanmäla incidenten?

 

Begränsa DDoS - Vad? Hur? När? Var? Vem?

I den här delprocessen behandlas begränsning och avbrott av pågående attack, minimering av spridning samt insamling av bevis för vidare analys.

 

Följande punkter behandlas:

 

Begränsa/avbryta en DDoS-attack

Det är sällan en organisation kan avhjälpa en DDoS-attack helt på egen hand. För att avbryta eller begränsa en attack så behövs det ofta hjälp av andra organisationer så som ISP:er, CERT:ar, Polismyndigheter. Därför är god kommunikation och bra kontakter med sådana organisationer en förutsättning för att underlätta hanteringen av en DDoS-incident.

För att underlätta vid en attack så är det viktigt att ha gått igenom de förebyggande stegen i incidenthanteringsprocessen.

Om organisationen vill ta ärendet vidare för polisanmälan så är det viktigt att spara så mycket loggar som möjligt för bevisföring. Det här är en väldigt känslig del i incidenthanteringsprocessen. Det är ytterst viktigt att följa rätt rutiner för insamling, behandling och förvaring av data som ska användas som bevis.

Under denna delprocess dyker frågor upp som handlar om polisanmälan, egna undersökningar för att hitta och åtala förövaren. CERT-SE behandlar inte dessa frågor utan beskriver dem lite kortfattat och i de fall där det behövs, hänvisar till andra externa parter som kan hjälpa till.

 

Vad kan CERT-SE bidra med? 

  • Notice & takedown
  • Kontakter
  • Information
  • Samordning
  • Råd och rekommendationer
  • Insamling av data
  • Analys av insamlat data
  • Ta fram information om IP-adresser

 

Förutsättningar och terminologi

Förutsättningar för att hantera en DDoS-attack innebär vanligen att ett förebyggande arbete är gjort. Vilket vanligen inkluderar kontakter med ISP:er, CERT:ar, polismyndigheter, programvarutillverkare m.fl. Dessutom så är det viktigt att ha kännedom om de egna systemen och näten samt kapaciteten hos dessa.

DoS = Denial Of Service

DDoS = Distributed Denial Of Service

Notice & Takedown = Begäran om hjälp av nedtagning av system

Black Hole Route = Omdirigera nätverkspaket till det tomma intet

TTL = Time To Live (värde som anger hur länge en DNS cachar information samt hur många hopp ett nätverkspaket får leva)

 

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är eller inte är vidtagna.

För att kunna avgöra hur eller om man ska avbryta incidenten så är det viktigt att sätta sig in situationen. Det finns ett antal parametrar som är avgörande för hur organisationen kan hantera avbrytandet av en incident.

 

Nedan följer några frågor som bör ställas i ett tidigt skede.

  • Finns det loggar från nätverk eller drabbat system?

  • Vad är det för typ av attack?

  • Går det att blockera trafik i router eller brandvägg?
  • Vad har organisationen gjort för att att begränsa/avbryta attacken?
  • Är någon ISP kontaktad?
  • Är någon CERT kontaktad?
  • Är systemet "outsourceat"?

 

Insamling av data

(se även under Identifiera Intrång)


Insamling av loggar

För att få en god helhetsbild av situationen så är det viktigt att så tidigt som möjligt sätta upp en nätverkssniffer och spela in trafiken för att få en uppfattning om vilken typ av attack drabbat organisationen. Alla typer av loggar från nätverksutrustning och andra system är också av största vikt att samla in för att få en bild av incidenten. 

Loggar som bör samlas in (om de finns att tillgå):

  • ISP-loggar

  • Brandväggsloggar

  • Routerloggar

  • IDS-loggar

  • IPS-loggar

  • Systemloggar

  • Flowdata

 

Analys av insamlat data

  • Ta fram information om IP-adresser för att senare används vid "notice & takedown"
  • Analysera tillvägagångssätt och trafikflöden

  

Metoder för att begränsa eller avbryta attacken

Här anges ett antal metoder för att begränsa eller avbryta attacken.  

  • Notice & Takedown (ytterligare information angående nedstängning av IP-adresser och domäner)
  • Kontakta ISP - öka bandbredd, få dem att routa bort 
  • Kontakta ISP:n för att se om de kan erbjuda skydd mot eller vara behjälpliga vid en attack (bör kanske göras i ett förebyggande skede)
  • Konfigurera filter (ACL:er) i routrar eller brandväggar att blockera vissa kända typer av trafik som vanligen används i DDoS-attacker
  • Använda lastbalanserare för publika tjänster
  • Förbereda en webbserver - vilken aktiveras vid en attack - som bör innehålla  ett minimum av bilder och dokument (vilket bör verifieras då och då)
  • Sprida bilder och dokument på flera webbservrar t.ex. på andra nätsegment eller ett externt webbhotell
  • Se över konfigurationer av publika servrar
  • Ställa ner TTL-tiden på DNS:er för att underlätta vid en nödvändig ompekning av en tjänst till ny IP-adress under en attack
  • Minska sessions-"time out" för TCP-sessioner
  • Aktivera SYN-cookies för att skydda sig mot "TCP-SYN"-attacker
  • "Black Hole Routing" - routa angripande IP-adresser ut i det tomma intet

 

Länkar

Länkar till externa dokument eller webbsidor som behandlar metoder för att begränsa eller avbryta attacken. 

http://www.symantec.com/connect/articles/closing-floodgates-ddos-mitigation-techniques

http://documents.iss.net/whitepapers/ddos.pdf (länk till extern PDF)

Uppdaterad 2011-01-10 12:05 | Publicerad 2010-09-21 15:37
CERT-SE
Telefon: 08-678 57 99
E-post: cert@cert.se - PGP-nyckel
Om cookies
[FiRST][TI]